DQS im Dialog
DQS Website Abonnieren

KRITIS: Fristende 30. Juni 2019 – Status Quo

Am 30. Juni 2019 ist es soweit: Spätestens dann müssen Betreiber Kritischer Infrastrukturen die sorgfältige und vollständige Umsetzung der gesetzlichen Anforderungen aus dem IT-Sicherheitsgesetz nachweisen. Was passiert bei Fristverletzungen? Antworten von DQS-KRITIS-Experte Andreas Altena.
Interview © iStock KRITIS: Informationssicherheit im Krankenhaus

Am 30. Juni 2019 wird es für KRITIS-Betreiber ernst.

Herr Altena, werden alle betroffenen Kliniken der Einhaltung der gesetzlichen Anforderungen bis zum Stichtag nachkommen?

Nein, nach meinem aktuellen Kenntnisstand werden es nicht vollumfänglich alle schaffen, aber ein Großteil der betroffenen KRITIS-Betreiber befinden sich auf einem guten Weg. Viele sind ihren Verpflichtungen bereits nachkommen, was aktuell diverse Veröffentlichungen in der Presse zeigen. Inwieweit allerdings die Umsetzung den gesetzlichen Anforderungen entspricht, ist eine andere Frage. Die bisherigen Erfahrungen zeigen schon jetzt eine große Spannweite im Grad der Umsetzung. Damit meine ich sowohl die Qualität als auch die Effektivität der getroffenen Maßnahmen. Wie dies durch das BSI bewertet wird, bleibt abzuwarten.

Worauf führen Sie die unterschiedliche Umsetzung zurück?

Sicherlich hat dies mehrere Gründe. Allen voran sind die finanziellen und personellen Ressourcen in der Branche eine der größeren Herausforderungen. In meiner Praxis erlebe ich es immer wieder, dass in den IT-Bereichen über mehrere Jahre hinweg notwendige Investitionen ausgesetzt werden. In diesem Fall wird der gesetzlich geforderte Nachweis zum aktuellen „Stand der Technik“ nur schwer möglich sein. Auf der anderen Seite zeigen die Erkenntnisse aus zahlreichen Gesprächen, dass viele Organisationen den tatsächlich entstehenden Aufwand schlichtweg unterschätzen. Nicht ohne Grund haben wir als DQS bereits im Jahr 2017 unsere Kunden darauf hingewiesen, sofort mit der Implementierung zur Erfüllung der Anforderungen an KRITIS zu starten.

Wie kann ein BSI-konformer Nachweis erfolgen?

Grundsätzlich ist eine Vielzahl an Prüfgrundlagen möglich, sofern diese geeignet sind, die Erfüllung von § 8a Absatz 1 BSIG nachzuweisen. Ein gutes Referenzdokument ist der im April erschienene „B3S für die Gesundheitsversorgung im Krankenhaus“. Auch eine Verknüpfung mit einer Zertifizierung gemäß ISO 27001 ist eine Möglichkeit.

Wichtig ist allerdings, dass eine „prüfende Stelle“ wie die DQS über die geforderten Kompetenzen in den folgenden Bereichen verfügt:

  • spezielle Prüfverfahrenskompetenz für § 8a BSIG
  • Auditkompetenz
  • IT-Sicherheitskompetenz bzw. Informationssicherheits-Kompetenz
  • Branchenkompetenz

Der Kompetenznachweis kann ggf. auch durch die geeignete Zusammenstellung eines Prüfteams mit der Abdeckung aller Kompetenzbereiche erfolgen. Leider musste der ein oder andere KRITIS-Betreiber schon die schmerzliche Erfahrung machen, dass nicht jedes Prüfteam die entsprechenden Kompetenznachweise vorlegen kann. Und das sogar in bereits laufenden Prüfprozessen – das ist dann besonders ärgerlich!

Was passiert, wenn die Frist 30. Juni 2019 nicht eingehalten wird?

Eine Verlängerung der Nachweisfrist ist seitens der KRITIS-Betreiber prinzipiell möglich. Jedoch muss mit Sanktionen aufgrund des Verstoßes durch die nicht fristgerechte Nachweisführung gerechnet werden. Bei einer Überschreitung der Frist ist der KRITIS-Betreiber aber weiterhin verpflichtet, den jeweiligen Sachverhalt ausführlich zu begründen und dem BSI umgehend darzulegen. Wichtig ist hierbei die Angabe guter und nachvollziehbarer Gründe für eine Fristüberschreitung. Weiterhin muss dem BSI bestätigt werden, dass die notwendigen Maßnahmen zur Erfüllung des § 8a BSIG (BSI-Gesetz) grundsätzlich umgesetzt werden. Und das zeitnah!

Was empfehlen Sie betroffenen KRITIS-Betreibern?

Zunächst einmal ist es wichtig, dem BSI einen konkreten Umsetzungsplan vorzulegen, in dem die notwendigen Maßnahmen dargelegt werden. Diese müssen verbindlich dazu führen, dass der geforderte Nachweis zeitnah erbracht werden kann. Dazu gehört auch der Beleg, dass der Betreiber sich bereits in Verhandlungen mit einer prüfenden Stelle wie der DQS befindet und ein konkreter Prüfungstermin in Aussicht steht (max. 2-3 Monate Verlängerungsfrist).

Hält sich eine Organisation nicht an den beschriebenen Prozess, können die zuständigen Aufsichtsbehörden weitere Sanktionen verhängen. Wir als DQS stellen selbstverständlich in gewohnter Art und Weise sicher, dass auch die Kompetenzen des Prüfteams in dem erforderlichen Umfang zur Verfügung stehen.

Unabhängig von den gesetzlichen Anforderungen sollte jedoch nicht unerwähnt bleiben, dass ich in zahlreichen Gesprächen mit Betreibern trotz der Komplexität und der erforderlichen Aufwände immer einen Mehrwert bei den Beteiligten erkannt habe. Mehrere Einrichtungen haben dies für sich als einen Start für weitere Projekte in diesem Umfeld identifiziert. Das unterstreicht durchaus meine Meinung, dass Informationssicherheit und Datenschutz nicht nur gesetzlich „verordnet“ werden kann, sondern auch ein richtungsweisender Beitrag zur Patientensicherheit ist – mit merklichem Benefit.

Fazit

So oder so: Verantwortungsvolle und zukunftsorientierte Unternehmen handeln umgehend!

Whitepaper

Digitalisierung im Gesundheitswesen – Der sichere Weg mit KRITIS

  • Das IT-Sicherheitsgesetz im Gesundheitswesen
  • Aktueller Stand der Digitalisierung in Krankenhäusern
  • Relation zwischen ISO 27001 und DS-GVO
  • Lösungen für einen BSI-konformen Umsetzungsnachweis
Jetzt herunterladen!

Zum Hintergrund

Betroffen sind die Branchen aus dem sogenannten zweiten Korb der BSI-KRITIS-Verordnung (Änderungsverordnung BSI-KritisV): das Gesundheitswesen, das Finanz- und Versicherungswesen sowie die Branche Transport und Verkehr. Für den Gesundheitssektor bedeutet dies konkret, dass nicht nur rund 100 Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr unter das IT-Sicherheitsgesetz (IT-SiG) fallen, sondern auch Laboratorien, Apotheken und Hersteller von Medizinprodukten. Die KRITIS-Betreiber sind gesetzlich dazu verpflichtet, bis spätestens Ende Juni 2019 angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse nach dem neuesten „Stand der Technik“ umzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) den Status Quo in einer geeigneten Art und Weise nachzuweisen. Für viele Organisationen keine leichte Aufgabe. Bei Nichterfüllung der gesetzlich geforderten IT-Sicherheitsstandards drohen im schlimmsten Fall Sanktionen. Mehr zu den Bußgeldvorschriften finden Sie hier.

Speziell für Krankenhäuser liegt mit der Version 1.0 des branchenspezifischen Sicherheitsstandards (B3S) für die Gesundheitsversorgung im Krankenhaus eine gute Orientierungshilfe und geeignete Prüfungsgrundlage vor. Der B3S wurde am 2. April 2019 durch den Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie den hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft freigegebenen und gibt allen KRITIS-Betreibern im Gesundheitswesen die Chance, den zwingend nötigen und einheitlichen Mindeststandard in Bezug auf die Sicherheit der Technik umzusetzen.

IT-Sicherheitsgesetz (IT-SiG) – Version 2.0 für Ende 2019 erwartet

Das seit Juli 2015 gültige IT-Sicherheitsgesetz hat zum Ziel, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Im Fokus stehen sogenannte Kritische Infrastrukturen, deren Ausfall oder Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft hätte. Zur Umsetzung des IT-Sicherheitsgesetzes ist am 3. Mai 2016 der erste Teil der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) in Kraft getreten, der Organisationen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung betrifft. Mit der seit 30. Juni 2017 vorliegenden Änderungsverordnung BSI-KritisV wird die Vorgabe des § 10 BSIG abschließend umgesetzt. Seither liegen für sieben der neun KRITIS-Sektoren verbindliche Schwellenwerte vor, ab denen Einrichtungen und Anlagen in Deutschland als Kritische Infrastruktur gelten und besonders schützenswert sind. Eine Überarbeitung des IT-Sicherheitsgesetz wird für Ende 2019 erwartet.