Das IT-Sicherheitsgesetz im Gesundheitswesen

Am 30. Juni 2017 ist die Umsetzungsverordnung auch für das Gesundheitswesen in Kraft getreten. Mit dieser Ergänzung der Kritis-Verordnung (BSI-KritisV) wurden auch ganz konkrete Kriterien und Schwellenwerte für das Gesundheitswesen formuliert. Jetzt sind die Betreiber dieser Kritischen Infrastrukturen verpflichtet technische und organisatorische Maßnahmen zu ergreifen, um ihre Systeme nach dem „Stand der Technik“ abzusichern. Doch wer ist genau betroffen, wer nicht? Und welche Maßnahmen müssen getroffen werden?

Sprechen Sie uns an

Team Gesundheit

Sprechen Sie uns an

Team Gesundheit

gesundheit@dqs.de

Wer gilt als „Kritische Infrastuktur?

Die BSI-KritisV regelt nicht nur für Krankenhäuser, sondern untern anderem auch für Laboratorien, Apotheken und Herstellern von Medizinprodukten, wer unter das IT-Sicherheitsgesetz fällt. Bei Krankenhäusern sind das alle Einrichtungen, die mindestens 30.000 vollstationäre Fälle pro Jahr dokumentieren. Damit sind in Deutschland rund 100 Krankenhäuser betroffen. Bei Herstellen bzw. Abgabestellen für Medizinprodukte liegt der Schwellenwert bei einem Umsatz von mindestens 90,6 Mio. Euro. Apotheken sind ab 4,65 Mio. abgegebene Packungen und Labore ab 1,5 Mio. Aufträge betroffen.

KRITIS Unternehmen/Organisation und Schwellenwerte

Stichtag für die Umsetzung IT-Sicherheitsgesetz

Seit dem 30. Juni 2017 ist mit der Änderungsverordnung (oder: dem „2. Korb“) nun auch für die Gesundheitsbranche die Umsetzung des IT-Sicherheitsgesetzes konkret formuliert. Die betroffenen Unternehmen und Organisationen haben zwei Jahre Zeit, die vom Gesetz definierten Anforderungen (IT-Systeme, -Komponenten und -Prozesse für ihre kritischen Dienstleistungen angemessen, nach dem Stand der Technik zu schützen) zu erfüllen. Stichtag für die Umsetzung ist der 30. Juni 2019. Nachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Als Kriterienwerke hierfür sind entweder anerkannte Normen und Standards oder alternativ vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte branchenspezifische Standards (B3S) zugelassen. Davon ausgenommen ist das Einrichten der Meldestelle und deren Benennung beim BSI. Diese muss bereits bis zum 31. Dezember 2017 eingerichtet sein. Bei einer Nichterfüllung der definierten Anforderungen sind Bußgelder bis zu einer Höhe von 100.000 Euro für das verantwortliche Management möglich. 

Der B3S für die Gesundheitsversorgung im Krankenhaus wurde im April 2019 durch den Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie den hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft freigegeben und befindet sich aktuell beim BSI in der Eignungsprüfung.

Als Prüfer kommen vom BSI zugelassene Experten in Frage. So hat das BSI im Sommer 2017 Auditoren der DQS mit der „Speziellen Prüfverfahrens-Kompetenz für §8a BSIG“ anerkannt und gelistet. 

Die DQS GmbH empfiehlt bei der Umsetzung der Anforderungen eine Ausrichtung an ISO 27001 und deren 27000er-Famlie. Die Einführung und Etablierung von geeigneten Organisationsstrukturen und die Umsetzung der technischen Anforderungen in die bestehende Infrastruktur wird je nach Stand zwischen einem und zwei Jahre in Anspruch nehmen. Deshalb ist es ratsam, schnellst möglich mit den Vorbereitungen zu beginnen. 
 

Nadja Götz
Business Development Managerin Life Science
DQS GmbH