Durch das im Jahr 2015 in Kraft getretene IT-Sicherheitsgesetz werden Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) dazu verpflichtet, einen angemessenen IT-Schutz „gemäß dem aktuellen Stand der Technik“ zu implementieren. Als Kritische Infrastrukturen werden Organisationen oder Einrichtungen bezeichnet, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Konsequenzen zur Folge haben würde. Neben Energieversorgern und Telekommunikationsanbietern zählt unter anderem auch der Sektor Gesundheit (medizinische Versorgung, Versorgung mit Arzneimitteln und Medizinprodukten) zu den KRITIS. Ziel ist es, trotz wachsender Bedrohungen (z. B. durch Cyber-Angriffe) größere Ausfälle der Versorgungssicherheit zu vermeiden.
Am 30. Juni 2017 ist nunmehr die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ in Kraft getreten. Sie beinhaltet unter anderem die Vorgaben des Gesetzgebers im Hinblick auf den Gesundheitssektor. Demnach werden alle Krankenhäuser (medizinische Versorgung) mit mehr als 30.000 stationären Fällen pro Jahr als KRITIS eingestuft und fallen unter die Vorschriften des IT-Sicherheitsgesetzes. Ein Krankenhaus im Sinne der Verordnung ist ein Standort oder eine Betriebsstätte eines nach § 108 SGB V zugelassenen Krankenhauses, der oder die für die Erbringung stationärer Versorgungsleistungen notwendig ist.
Die Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsver-ordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfüg-barkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. In diesem Zusammenhang hat der Branchenarbeitskreis Medizinische Versorgung (BAK MV) der Initiative Umsetzungsplan KRITIS (UP KRITIS) Ende Mai 2017 konkrete Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken veröffentlicht. Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Zu seinen Aufgaben zählt unter anderem die Entwicklung branchenspezifischer Sicherheitsstandards für die einzelnen Sektoren. Zu den seitens des BAK MV entwickelten Anforderungen gehören unter anderem:
- die Einführung einer geeigneten Organisationsstruktur, um den besonderen Anforderungen der IT-Sicherheit begegnen zu können,
- die Identifikation aller kritischen Patientenversorgungsprozesse der stationären Versorgung,
- die Einführung eines Informationssicherheit-Management-Systems (ISMS) nach dem Stand der Technik,
- die Einbindung des IT-Risikomanagements für die identifizierten kritischen Prozesse in das Unternehmensrisikomanagement,
- die Einführung eines Business Continuity Managements (zumindest für die kritischen Patientenversorgungsprozesse) sowie
- die Etablierung eines Meldeverfahrens/Meldestelle für die Meldung von relevanten Vorfällen an die Datenschutzaufsichtsbehörden und an die Meldestelle des BSI.
- Diese Anforderungen müssen von den KRITIS-Betreibern (d. h. auch von Krankenhäusern mit jährlich mehr als 30.000 stationären Fällen) innerhalb von zwei Jahren, also bis Juni 2019, umgesetzt und geprüft werden. Die Auditierung der ergriffenen Maßnahmen erfolgt nach § 8a BSI-Gesetz und muss ebenfalls bis Juni 2019 abgeschlossen worden sein.
Praxis-Hinweis
Angesichts der knapp bemessenen Zeit empfehlen wir, zeitnah den aktuellen Stand in den Krankenhäusern zu ermitteln und davon ausgehend entsprechende Maßnahmen zur Erfüllung der geforderten Anforderungen zu entwickeln und umzusetzen. Wir unterstützen Sie gerne bei der erfolgreichen Umsetzung des IT-Sicherheitsgesetzes in Ihrem Haus. Sprechen Sie uns an!
