DQS im Dialog
DQS Website Abonnieren

IT-Sicherheit im Krankenhaus: ab 2022 für alle verpflichtend

Seit 30. Juni 2017 verpflichtet das IT-Sicherheitsgesetz (§8 BSI-Gesetz) Betreiber von Kritischen Infrastrukturen im Sektor Gesundheit, technische und organisatorische Vorkehrungen zu ergreifen, um ihre IT-Systeme nach dem „Stand der Technik“ abzusichern. Im Zuge dieser gesetzlichen Anforderungen muss die oberste Leitung eines Krankenhauses ab 30.000 vollstationären Fällen pro Jahr nicht nur die Rechenschaftspflicht für die Wirksamkeit des Qualitätsmanagementsystems nach ISO 9001 übernehmen, sondern auch für ein Informationssicherheits-Managementsystem Führung und Verpflichtung zeigen. Mit dem Patientendaten-Schutz-Gesetz wurden im Oktober 2020 erneut Änderungen in Bezug auf die IT-Sicherheit festgelegt und im Sozialgesetzbuch (§ 75c SGB V) konkretisiert. Damit sind ab dem 1. Januar 2022 alle Krankenhäuser in Deutschland verpflichtet, angemessene Schutzmaßnahmen zur IT-Sicherheit zu treffen.
© iStock IT-Sicherheit Krankenhaus ab 2022 verpflichtend - DQS

IT-Sicherheit im Krankenhaus: Wer ist betroffen?

Das BSI (Bundesamt für die Sicherheit in der Informationstechnik) hat am 22. Oktober 2019 offiziell die Eignung des von der Deutschen Krankenhausgesellschaft erarbeiteten Branchenspezifischen Sicherheitsstandards (B3S) zur Umsetzung der Anforderungen des § 8a Abs. 2 BSI-Gesetz festgestellt. Krankenhäuser, die den Schwellenwert von 30.000 vollstationären Fällen erreichen, nutzen den B3S zur Nachweiserbringung ihrer IT-Sicherheit und gewährleisten damit die gesetzlichen Anforderungen.

Das Patientendaten-Schutz-Gesetz (PDSG) legte im Oktober 2020 erneut Änderungen in Bezug auf die IT-Sicherheit fest. Damit sind auch kleine Krankenhäuser in der Pflicht, ausreichende Schutzmaßnahmen für ihre IT-Systeme zu treffen, um die Sicherheit von Patientendaten zu gewährleisten. Mit dem PDSG wurde ein neuer § 75c in das Sozialgesetzbuch (SGB) V eingefügt.

Nach dem neuen § 75c SGB V sind ab dem 1. Januar 2022 alle Krankenhäuser in Deutschland verpflichtet, angemessene organisatorische und technische Vorkehrungen zur IT-Sicherheit zu treffen. Konkret bedeutet das: Jegliche Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie weiterer Schutzziele der informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Dabei soll der „Stand der Technik“ eingehalten werden.

Auch kleine Krankenhäuser in der Nachweispflicht

Organisatorische und technische Schutzmaßnahmen zur IT-Sicherheit sind angemessen, wenn der dafür erforderliche Aufwand im Verhältnis zu den Folgen eines Ausfalls, einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die IT-Systeme und IT-Prozesse sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Die vom § 75c SGB V betroffenen Krankenhäuser müssen derzeit keinen Nachweis an das BSI (Bundesamt für die Sicherheit in der Informationstechnik) übermitteln. Allerdings erhalten sie per Gesetz die Empfehlung (Absatz 2) den Branchenstandard einzusetzen und sich an diesem zu orientieren. Parallel dazu wird der Bund die digitale Ausstattung dieser Krankenhäuser mit über vier Milliarden Euro fördern.

Der B3S – Wirksame Leitlinien für mehr IT-Sicherheit im Krankenhaus

Der branchenspezifische Sicherheitsstandard für Krankenhäuser orientiert sich an

  • der in der Praxis etablierten internationalen Norm ISO 27001 für ein Informationssicherheits-Managementsystem,
  • der darüber hinaus gehenden branchenspezifischen Anforderungen von ISO 27799,
  • dem Stand der Technik, als auch an
  • den für den Geltungsbereich relevanten Risiken.

Die Grundlage des B3S ist ein Informationssicherheits-Managementsystem (ISMS) gemäß der anerkannten Norm ISO 27001. Durch ihre prozessorientierte und risikobasierte Herangehensweise bietet sie einen systematischen Ansatz zum Erreichen der gesetzten Informationssicherheitsziele. Parallelen im B3S zu bekannten Themen aus dem Qualitätsmanagement (ISO 9001) sind auf den ersten Blick ebenfalls leicht zu finden.

Kurzum: Der B3S für Krankenhäuser orientiert sich an bereits bekannten Strukturen des Qualitäts- und Risikomanagements.

Ein Qualitätsmanagementbeauftragter wird sich darin sicher fühlen, „Führung und Verpflichtung“, „Kontext der Organisation“ oder „Risiken und Chancen“ zu bewerten.

Managementsysteme - Zertifizierung durch die DQS

Managementsysteme für Informationssicherheit

Managementsystemnormen bieten einen systematischen und strukturierten Rahmen, gesetzliche Verpflichtungen zu berücksichtigen und in die Geschäftsprozesse zu integrieren. Gerne informieren wir Sie über Lösungen für einen BSI-konformen Umsetzungsnachweis.

Kontakt zur DQS

Der B3S – der rote Faden für alle Krankenhäuser

Der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus besteht im Wesentlichen aus 168 Maßnahmen. Diese sind in Muss-, Soll- und Kann-Anforderungen untergliedert. Zentrale Themen sind die vier Schutzziele eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001:

  • Verfügbarkeit
  • Integrität
  • Authentizität
  • Vertraulichkeit

Plus, ontop zwei weitere Ziele:

  • Patientensicherheit
  • Behandlungseffektivität
IT-Sicherheit im Krankenhaus, B3S vom 22.10.2019
IT-Sicherheit im Krankenhaus, B3S vom 22.10.2019

Oberstes Ziel des Branchenstandards ist es, die medizinische Versorgung der Patienten zu gewährleisten. Daher rücken nicht nur die technischen Aspekte ins Rampenlicht, sondern auch die organisatorische, strukturelle und prozessuale Verantwortung der Geschäftsführung.

Es geht um mehr als IT-Sicherheit im Krankenhaus

Der branchenspezifische Sicherheitsstandard nutzt allen Kliniken als roter Faden auf dem Weg zur Digitalisierung und mehr IT-Sicherheit. Er beschreibt die Prozesse und erforderlichen Maßnahmen, um den aktuellen Stand der Technik zu gewährleisten und damit die medizinische Versorgung und Gesundheit der Patienten sicherzustellen.

37 Managementanforderungen beziehen sich auf ein Informationssicherheits-Risikomanagement. Der Standard fordert die Klinikbetreiber ebenso auf, die Kritikalität zu bewerten, um die Ausfallwahrscheinlichkeiten im Blick zu behalten. 40 Bedrohungsszenarien mit Schwachstellen und potenziellen Gefahren werden beispielhaft genannt.

IT Sicherheit im Krankenhaus - Nachweis mit der DQS

Expertenwissen aus erster Hand

Spannendes Thema? Gern unterstützen wir Sie mit aktuellstem Wissen – unsere Auditoren sind im Arbeitskreis BAK med vertreten und an der Weiterentwicklung des B3S Krankenhaus beteiligt.

Wir freuen uns auf das Gespräch mit Ihnen

Grundsätzlich gilt der Allgefahren-Ansatz. Dieser bezieht alle Aspekte, die den Betrieb beeinflussen könnten, in der Gefährdungsanalyse mit ein, nicht nur die IT-Sicherheit, sondern Informationssicherheit im Allgemeinen.

BETEILIGTE BEREICHE

  • Verantwortung der Geschäftsführung
  • Anforderung nach einem Informationssicherheits-Managementsystem (ISMS)
  • Risikomanagement
  • Datenschutz
  • Brandschutz
  • Versorgungstechnik
  • Kommunikationstechnik
  • Medizintechnik
  • Informationstechnologie
  • Externe Partner

BETEILIGTE BERUFSGRUPPEN

  • Verwaltung
  • Ärztlicher Dienst
  • IT-Mitarbeiter
  • Datenschützer
  • Qualitätsmanager
  • Risikomanager
  • Techniker
  • Medizintechniker
  • MA Funktionsdienste
  • Pflegedienst

Der Branchenstandard verpflichtet die oberste Leitung zur Bekanntgabe und Durchsetzung von Zielen der Informationssicherheit und fordert neben dem Datenschutzbeauftragten und der IT-Leitung einen Informationssicherheitsbeauftragten (ISB bzw. CISO). Die Klinikleitung muss notwendige organisatorische, personelle und finanzielle Mittel zur Verfügung stellen sowie die Wirksamkeit des Informationssicherheits-Managementsystems überprüfen.

Erste Schritte zur Umsetzung des B3S

Auch den vom § 75c SGB V betroffenen Krankenhäusern wird empfohlen, den Branchenstandard einzusetzen und sich an diesem zu orientieren. Denn IT-Sicherheit kann für Klinikbetreiber zum Wettbewerbsvorteil werden. Mit dem B3S als Leitlinie haben Sie die geeignete Grundlage für Ihr weiteres Vorgehen. Vor allem im Zuge der steigenden Anforderungen und Sanktionen des geplanten IT-Sicherheitsgesetzes 2.0.

Auditoren der DQS sind im Arbeitskreis BAK med vertreten und an der Weiterentwicklung des Branchenspezifischen Sicherheitsstandards (B3S) Krankenhaus beteiligt. Sie können jederzeit mit aktuellstem Wissen unterstützen.

B3S Compliance Check Krankenhaus – Ihr Self-Assessment für den einfachen Start

Mit dem B3S Compliance Check Krankenhaus der DQS erhalten Sie mehr Sicherheit und Transparenz über Ihre informationstechnischen Systeme. Das webbasierte Self-Assessment führt Sie virtuell und unkompliziert durch den Branchenstandard. So können Sie die Anforderungen für sich selbst bewerten, abspeichern und nach und nach befüllen oder gegebenenfalls ändern. Sie bestimmen dabei den Ort und die Zeit für sich selbst.

Bei Bedarf steht Ihnen remote auch ein erfahrener B3S-Auditor für Fragen zur Verfügung. Nach Bewertung und Abschluss aller Anforderungen schließen Sie Ihre virtuelle Reise ab. Die Software generiert automatisch einen Bericht (Maßnahmenplan) in Form einer GAP-Analyse sowie relevante, BSI-konforme Nachweisdokumente für Sie.

Die GAP-Analyse zeigt Ihnen grafisch aufbereitet:

  • Wo stehen Sie derzeit mit Blick auf den B3S Krankenhaus?
  • Was ist noch zu tun, um den aktuellen Stand der Technik zu erreichen? Ein Maßnahmenplan zeigt nächste Schritte auf.
  • Wie wird das notwendige Zeit- und Kostenvolumen dafür eingeschätzt? Profitieren Sie von einer Entscheidungsgrundlage für weitere Investitionen.
B3S Compliance Check Krankenhaus

B3S Compliance Check Krankenhaus

Mit unserem webbasierten Self-Assessment erhalten Sie detailliertes Feedback über
– den Status Quo
– die nächsten Schritte
– notwendige Investitionen

Gern informieren wir Sie.

Anfrage starten

B3S-Workshop der DQS

Ein guter Start zum aktuellen Stand der Technik ist der DQS B3S-Workshop. Dabei steht die Aufrechterhaltung des im jeweiligen Krankenhaus etablierten Versorgungsniveaus im Mittelpunkt der Betrachtung.

  • Definieren Sie gemeinsam mit einem DQS-Auditor Ihren Geltungsbereich.
  • Entwickeln Sie Ihre Informationssicherheitspolitik und ermitteln Sie die für Sie relevanten Compliance-Anforderungen. Bitte lassen Sie die IT-Abteilung damit nicht alleine, denn es geht um mehr als nur IT-Sicherheit.
  • Ziel ist die Sicherstellung und Aufrechterhaltung der kritischen Versorgungsdienstleistung und der hierfür benötigten Geschäftsprozesse.
Andreas Ritter präsentiert Ergebnisse eines Seminars

DQS B3S-Workshop

Wertvolles Expertenwissen zur Sicherstellung und Aufrechterhaltung Ihrer kritischen Versorgungsdienstleistung.

Informieren Sie sich. Wir freuen uns auf das Gespräch mit Ihnen.

Kontakt aufnehmen

Geben Sie unsere Einladung gerne auch weiter: an alle, die in Ihrem Haus mit Aufgaben rund um die IT-Sicherheit betraut sind.

IT-Sicherheit im Krankenhaus – Förderungen

Der Bund hat das Thema IT-Sicherheit 2019 als neuen Fördertatbestand in den Krankenhausstrukturfonds (KHSF) aufgenommen. Für die aktuelle Förderperiode bis 2024 stehen jährlich 500 Millionen Euro zur Verfügung, in Summe rund 4 Mrd. Euro. Krankenhäuser, die unter die KRITIS-Verordnung fallen und Investitionen in ihre IT-Sicherheit planen, können somit besonders vom Krankenhausstrukturfonds profitieren.

Kleinere Krankenhäuser, die unter den Schwellenwert fallen und damit nicht zu den Kritischen Infrastrukturen zählen, können Fördergelder aus dem Krankenhauszukunftsfonds beziehen, der im Rahmen des Krankenhauszukunftsgesetzes 2020 eingerichtet wurde. Im September 2020 hat die Bundesregierung das neue Krankenhauszukunftsgesetz (KHZG) zur Förderung der Digitalisierung in Krankenhäusern verabschiedet. Die Fördergelder betragen 4,3 Milliarden Euro und die Beantragung ist noch bis Dezember 2021 möglich. Die Bewilligung dieser Fördergelder ist an die Verbesserung der IT-Sicherheit geknüpftMindestens 15 Prozent des Geldes müssen investiert werden, um die IT-Security zu erhöhen. 

Im Rahmen des Krankenhauszukunftsgesetzes sind sowohl Krankenhausbetriebe förderbar, die als Kritische Einrichtungen (KRITIS) definiert sind, als auch kleine Krankenhäuser. Eine Ausnahme betrifft die Förderung von Projekten, die ausschließlich der Verbesserung der IT-Sicherheit dienen. Solche Projekte können für KRITIS-Betreiber im Rahmen des KHZG nicht gefördert werden, da sie bereits durch den Krankenhausstrukturfond förderfähig sind.

Die DQS – Der richtige Partner an Ihrer Seite

Als KRITIS-Betreiber zählen nicht nur die Benennung einer jederzeit erreichbaren Kontaktstelle und die Meldung erheblicher Störungen an das BSI zu Ihren Pflichten. Sie stehen auch vor der Aufgabe, die gesetzlichen Vorgaben in zuverlässige und sichere Prozesse zu integrieren und dem BSI gegenüber nachzuweisen. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, KRITIS-Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen, zum Beispiel ISO 27001, oder der vom BSI anerkannte Branchenspezifische Sicherheitsstandards zugelassen.

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihrer Einrichtung. Als vom BSI zugelassene Prüfstelle stellen wir Ihnen gerne alle geforderten Kompetenzen für einen BSI-konformen Nachweis zur Verfügung:

– spezielle Prüfverfahrenskompetenz
– Auditkompetenz
– IT-Sicherheitskompetenz
– Branchenkompetenz 

Kleineren, vom § 75c SGB V betroffenen Krankenhäusern wird ebenfalls empfohlen, sich am B3S zu orientieren. Nutzen Sie für die gezielte Kurzanalyse die Kompetenz der DQS: Unser Quick Check bietet Ihnen einen geeigneten Einstieg in das Thema.

DQS Zertifizierung von Managementsystemen

Gern beantworten wir Ihre Fragen!

Informieren Sie sich.

Ganz unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail.