Auswirkungen von BSI-KritisV auf das Gesundheitswesen

Wer die Meldungen in der Presse zum Thema Digitalisierung und Gesundheitswesen verfolgt, erkennt viele anschauliche Beispiele dafür, warum IT-Sicherheit bzw. der technische und organisatorische Schutz von Einrichtungen und deren IT-Infrastruktur in den Fokus von Politik und Gesetzgebung gerückt sind. Bis heute sind immer weiterentwickelte Erpressungs-Trojaner im Umlauf oder Hersteller vernachlässigen Sicherheitsthemen in der Entwicklung (Security by Design). Die Konsequenz daraus ist unter anderem das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), das zum 25. Juli 2015 in Kraft getreten ist: Sinn und Zweck des IT-Sicherheitsgesetzes ist einerseits die signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland. Andererseits ist der Schutz Kritischer Infrastrukturen wesentlich, die gerade für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind. 

Am 30. Juni 2017 veröffentlichte das Bundesministerium des Innern, für Bau und Heimat (BMI) den „2. Korb“ der Rechtsverordnung mit den Festlegungen zur Bestimmung Kritischer Infrastrukturen (KRITIS) in den Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Demnach gilt z. B. ein Krankenhaus mit mindestens 30.000 vollstationären Fällen pro Jahr als Betreiber einer Kritischen Infrastruktur und unterliegt damit bei Inkrafttreten verbindlich den Anforderungen dieser Gesetzgebung. Nach Inkrafttreten der jeweiligen branchenspezifischen IT-Sicherheitsverordnungen (KritisV) haben die KRITIS-Betreiber jeweils zwei Jahre Zeit, die Anforderungen nach dem aktuellen Stand der Technik zu realisieren – also bis Ende Juni 2019. Teilweise existieren bereits Umsetzungsleitfäden oder ähnliche Dokumente von Verbänden, die einen Orientierungsrahmen geben. Offiziell verabschiedete Branchenstandards mit detaillierteren Übersetzungen zu den jeweiligen Anforderungen stehen jedoch aktuell immer noch aus.

Zusätzlich zu diesen Anforderungen sind am 25. Mai 2018 die Vorgaben aus der EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Im Artikel 32 der DS-GVO wird – wie bei den bisher dargestellten Anforderungen – von der Umsetzung technischer und organisatorischer Maßnahmen auf Basis des „aktuellen Stands der Technik“ gesprochen. Ein entscheidender und zielführender Lösungsansatz kann die Auseinandersetzung mit ISO/IEC 27001 sein, um die verschiedenen gesetzlichen und behördlichen Anforderungen zu erfüllen und sich zielgerichtet mit dieser komplexen Thematik auseinanderzusetzen. Die DS-GVO gilt unabhängig zu dem IT-Sicherheitsgesetz und der BSI-KritisV, auch wenn die Organisationen nicht über den Schwellenwerten liegen und noch keine Branchenstandards vorliegen. Genau dieser Weg mit der ISO/IEC 27001 wird aktuell bei vielen KRITIS-Betreibern im Gesundheitswesen beschritten, da konkrete Informationen zu möglichen Branchenstandards bisher nicht transparent kommuniziert werden.

Digitalisierung im Gesundheitswesen - Fluch oder Segen?

Die DQS bietet kostenfreie Webinare zum Thema Digitalisierung im Gesundgeitswesen:

  • Anforderungen des IT-Sicherheitsgesetztes - KRITIS
  • ISO 9001 und ISO/IEC 27001 in Zeiten der Digitalisierung

Bisherige Erfahrungen zeigen unterschiedliche Herangehensweisen auf: Von Organisationen, die sich direkt nach Veröffentlichung der Rechtsverordnung damit auseinandergesetzt haben bis zu Organisationen, die gerade erst anfangen, sich damit zu beschäftigen. Es wird deutlich, dass es sich an vielen Stellen um eine sehr komplexe Materie mit hohen Herausforderungen handelt. Gleichzeitig stellt sich letztendlich die Frage nach der Finanzierung. Wer jetzt nicht beginnt, diese neuen Anforderungen aus der Kritiv Verordnung zu bewerten und in seiner Organisation zu implementieren, verpasst die Chance, das Thema besonnen und konzentriert und ohne Zeitdruck anzugehen, aus dem Fehler resultieren können. Fakt ist, dass keine punktuelle Umsetzung im Fokus stehen sollte, sondern vielmehr die Aufgabe zur zielgerichteten und nachhaltigen Implementierung in ein internes Managementsystem – an der Komplexität der Organisation und seiner Prozesse ausgerichtet sowie unter Einbeziehung von Umsatz- und Ergebnisgrößen und der Mitarbeiteranzahl. Nur so kann eine nachhaltige und risikoarme Umsetzung sichergestellt werden.

Um möglichen Stolpersteinen aus dem Weg zu gehen, empfiehlt sich also eine Delta-Analyse gegenüber den Anforderungen von ISO/IEC 27001, um den konkreten Handlungsbedarf zu identifizieren und organisationsbezogen zu bewerten. Organisationen, die dies schon durchgeführt haben, erkennen den Effekt einer großen Spannbreite zwischen einem vermuteten und dem tatsächlich identifizierten Handlungsbedarf. Genau das ist aber entscheidend, um eine zielführende Planung zur Implementierung der Vorgaben bis Ende Juni 2019 zu ermöglichen.

Unabhängig von den Herausforderungen sollte allerdings die Notwendigkeit nicht in Frage gestellt werden, sondern vielmehr die nachhaltige Chance gesehen werden, im Gesundheitswesen für Patienten und weitere Prozess-Beteiligte mehr Sicherheit in der medizinischen Versorgung zu gewährleisten.

 

Andreas Altena                                                Angelika Müller
Geschäftsführer Sollence GmbH           Geschäftsführerin Sollence GmbH
DQS-Auditor                                                      DQS-Auditorin