Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Frist endet: IT-Sicherheit in Krankenhäusern

Verpassen Sie keine wichtigen News aus der Zertifizierwelt

Frist endet: IT-Sicherheit in Krankenhäusern

Sämtliche Krankenhäuser sind ab dem kommenden Jahr laut dem Patientendaten-Schutz-Gesetz verpflichtet, IT-Sicherheitsmaßnahmen gemäß dem aktuellen Stand der Technik umgesetzt zu haben.

Inzwischen gehören Cyber-Attacken in Kliniken zum Alltag. Da solche verantwortungslosen Taten nicht nur Daten, sondern ganz konkret Menschenleben gefährden, hat der Gesetzgeber IT-Sicherheit im Gesundheitswesen zur gesetzlichen Pflicht gemacht. Und zwar nicht nur für Vollversorger mit mehr als 30.000 vollstationären Fällen pro Jahr, die gemäß § 8a BSI-Gesetz (BSIG) zur kritischen Infrastruktur (KRITIS) zählen, sondern für Kliniken aller Größen. Das betrifft bundesweit circa 1.800 Häuser.

Stichtag Neujahr

Gesetzliche Grundlage dafür ist das Patientendaten-Schutz-Gesetz, in dessen Zuge der neue Paragraf 75c in das Sozialgesetzbuch V (SGB V) aufgenommen wurde. Er sieht vor, dass ab dem 1. Januar 2022 alle Krankenhäuser „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen müssen. Mit nachweisbaren IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ schützen Krankenhäuser jedoch nicht nur ihre IT, Systeme und Daten, sie können so im Fall der Fälle auch ihr eigenes Risiko minimieren – hinsichtlich Regressforderungen, strafrechtlich, aber auch in Bezug auf die eigene Reputation. Konsequent umgesetzte IT-Security dient der Patientensicherheit und sorgt für einen systemseitig unterbrechungsfreien Betrieb: Denn wenn die Laborausstattung oder MRT & Co. den Dienst aufgrund einer Cyberattacke quittieren, dann schauen Patienten in die Röhre und lebensrettende Diagnosen können möglicherweise nicht getroffen werden.

Paragraf 75c empfiehlt branchenspezifischen Standard

Um es den Kliniken einfach zu machen, die ja mit ihren Ressourcen haushalten müssen, empfiehlt der Paragraf 75c, sich am bestehenden branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung zu orientieren. Dieser wurde von der DKG (Deutsche Krankenhausgesellschaft) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eingereicht und als „Stand der Technik“ im Gesundheitswesen anerkannt. Solche B3S dienen eigentlich KRITIS-Unternehmen, um auf möglichst einfachem Wege einen Nachweis über das Einhalten des Standes der Technik in der speziellen Branche erbringen zu können.

Achtung: Die Gültigkeit des B3S der DKG ist im August 2021 abgelaufen, und der Standard durchläuft den vorgesehenen Revisionsprozess. KRITIS-Unternehmen müssen alle zwei Jahre den Nachweis vorlegen, dass sie den Stand der Technik erfüllen – entsprechend wird in diesem Rhythmus auch der Standard aktualisiert und angepasst. In seiner neuen Version soll der B3S der DKG spezifische Regelungen für KRITIS- und Nicht-KRITIS-Krankenhäuser enthalten, um künftig in Kliniken unter dem KRITIS-Schwellenwert einfacher anwendbar zu sein. Bisher ist nicht davon auszugehen, dass der revidierte B3S massive Änderungen mitbringen wird – insofern ist die Orientierung an der bisherigen Version immer noch sinnvoll.

Eine gute Alternative speziell für international ausgerichtete Kliniken ist ein Informationssicherheits-Managementsysteme (ISMS) nach der führenden IT-Norm ISO/IEC 27001. Dieser Standard bildet ohnehin das Fundament des B3S – allerdings ist er allgemeiner gefasst, weitergehend und nicht speziell auf das Gesundheitswesen zugeschnitten.

IT-Sicherheitsmaßnahmen von Experten prüfen lassen

Sämtliche Krankenhäuser müssen ihre Maßnahmen alle zwei Jahre auf den aktuellen „Stand der Technik“ hin prüfen und anpassen. Zählen sie zur kritischen Infrastruktur, ist zudem ein Nachweis an das BSI nötig. Diese Pflicht entfällt bei Häusern, die unter dem Schwellenwert liegen. Trotzdem empfiehlt sich eine externe Prüfung durch die Gesundheits- und IT-Profis von TÜV SÜD. Denn die Expertinnen und Experten verfügen über genau das benötigte Fachwissen und helfen mit ihrem Blick von außen dabei, selbst kleine Schlupflöcher zu identifizieren. Darüber hinaus ist ein entsprechender Auditbericht ein stichhaltiger Beleg für angemessene IT-Sicherheitsmaßnahmen im Schadensfall. Übrigens: Für das Umsetzen eines ISMS stehen zahlreiche öffentliche Fördermöglichkeiten zur Verfügung – zum Beispiel im Rahmen des Krankenhauszukunftsgesetzes (KHZG) mit einem Volumen von 4,3 Milliarden Euro. Allerdings leeren sich diese Töpfe erfahrungsgemäß rasch.

Vertragsärztliche und vertragszahnärztliche Versorgung ebenfalls betroffen

Auch für niedergelassene Ärzte gibt es mit Paragraf 75b SGB V eine Anforderung zur IT-Security in Form der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV). Diese müssen Praxen umsetzen. Die verfolgten Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme. Die Richtlinie zur Gewährleistung der IT-Sicherheit ist hier verfügbar.

Den TÜV SÜD Safety first-Podcast zum Thema IT-Sicherheit in Krankenhäusern mit Alexander Häußler und Jens Linstädt können Interessierte hier hören.

Weitere Informationen:

IT-Sicherheit ist Patientensicherheit

KRITIS

Informationen zur ISO/IEC 27001

Ansprechpartner: Jens Linstädt, Product Compliance Manager Healthcare bei TÜV SÜD Management Service

Ansprechpartner: Alexander Häußler, Product Compliance Manager ISO/IEC 27001 bei TÜV SÜD Management Service


Wissenswert

Webinar IT
Webinar

Webinar: IT-Sicherheit in Krankenhäusern

Mit dem neuen Patientendaten-Schutz-Gesetz ist jedes Krankenhaus ab Januar 2022 zur IT-Sicherheit verpflichtet. Wie lassen sich die gesetzlichen Anforderungen erfüllen?

Infos & Anmeldung

Qualitaetsmanagement im Gesundheitswesen
Broschüre

Qualität – das beste Rezept

Managementsysteme im Gesundheitswesen.

Download

KRITIS

KRITIS

Nachweis über angemessene IT-Sicherheit

Erfahren Sie mehr

Factsheet ISO 27001
Flyer

Factsheet ISO/IEC 27001

Erfahren Sie, wieso die Norm ISO/IEC 27001 wichtig für Ihr Unternehmen ist.

Download

Next steps

WORLDWIDE

Germany

German