Die Zeit läuft! – Zur Umsetzung des IT-Sicherheitsgesetzes im Krankenhaus

Durch das im Jahr 2015 in Kraft getretene IT-Sicherheitsgesetz werden Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) dazu verpflichtet, einen angemessenen IT-Schutz „gemäß dem aktuellen Stand der Technik“ zu implementieren. Als Kritische Infrastrukturen werden Organisationen oder Einrichtungen bezeichnet, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Konsequenzen zur Folge haben würde. Neben Energieversorgern und Telekommunikationsanbietern zählt unter anderem auch der Sektor Gesundheit (medizinische Versorgung, Versorgung mit Arzneimitteln und Medizinprodukten) zu den KRITIS. Ziel ist es, trotz wachsender Bedrohungen (z. B. durch Cyber-Angriffe) größere Ausfälle der Versorgungssicherheit zu vermeiden.

Am 30. Juni 2017 ist nunmehr die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ in Kraft getreten. Sie beinhaltet unter anderem die Vorgaben des Gesetzgebers im Hinblick auf den Gesundheitssektor. Demnach werden alle Krankenhäuser (medizinische Versorgung) mit mehr als 30.000 stationären Fällen pro Jahr als KRITIS eingestuft und fallen unter die Vorschriften des IT-Sicherheitsgesetzes. Ein Krankenhaus im Sinne der Verordnung ist ein Standort oder eine Betriebsstätte eines nach § 108 SGB V zugelassenen Krankenhauses, der oder die für die Erbringung stationärer Versorgungsleistungen notwendig ist.

Die Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsver-ordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfüg-barkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. In diesem Zusammenhang hat der Branchenarbeitskreis Medizinische Versorgung (BAK MV) der Initiative Umsetzungsplan KRITIS (UP KRITIS) Ende Mai 2017 konkrete Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken veröffentlicht. Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Zu seinen Aufgaben zählt unter anderem die Entwicklung branchenspezifischer Sicherheitsstandards für die einzelnen Sektoren. Zu den seitens des BAK MV entwickelten Anforderungen gehören unter anderem:

  • die Einführung einer geeigneten Organisationsstruktur, um den besonderen Anforderungen der IT-Sicherheit begegnen zu können,
  • die Identifikation aller kritischen Patientenversorgungsprozesse der stationären Versorgung,
  • die Einführung eines Informationssicherheit-Management-Systems (ISMS) nach dem Stand der Technik,
  • die Einbindung des IT-Risikomanagements für die identifizierten kritischen Prozesse in das Unternehmensrisikomanagement,
  • die Einführung eines Business Continuity Managements (zumindest für die kritischen Patientenversorgungsprozesse) sowie
  • die Etablierung eines Meldeverfahrens/Meldestelle für die Meldung von relevanten Vorfällen an die Datenschutzaufsichtsbehörden und an die Meldestelle des BSI.
  • Diese Anforderungen müssen von den KRITIS-Betreibern (d. h. auch von Krankenhäusern mit jährlich mehr als 30.000 stationären Fällen) innerhalb von zwei Jahren, also bis Juni 2019, umgesetzt und geprüft werden. Die Auditierung der ergriffenen Maßnahmen erfolgt nach § 8a BSI-Gesetz und muss ebenfalls bis Juni 2019 abgeschlossen worden sein.

Praxis-Hinweis
Angesichts der knapp bemessenen Zeit empfehlen wir, zeitnah den aktuellen Stand in den Krankenhäusern zu ermitteln und davon ausgehend entsprechende Maßnahmen zur Erfüllung der geforderten Anforderungen zu entwickeln und umzusetzen. Wir unterstützen Sie gerne bei der erfolgreichen Umsetzung des IT-Sicherheitsgesetzes in Ihrem Haus. Sprechen Sie uns an!

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
CISA/CISO
Oliver Schikora
+49 (0)2203 8997-228
 
Prokurist der Solidaris Revisions-GmbH WPG STB, Köln, Leiter Geschäftsfeld IT-Beratung/Geschäftsbereich Unternehmensberatung

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Schikora

Bei Solidaris seit 2004

Qualifikationen

  • Certified Information Systems Auditor (CISA)
  • Chief Information Security Officer (CISO) ISO/IEC 27001/BSI-ITGrundschutz
  • IT-Auditor IDW
  • IT-Security Beauftragter (TÜV)
  • Dipl.-Betriebswirt (FH), Fachhochschule Koblenz

Schwerpunkte

  • Systemprüfungen im Rahmen von Jahresabschlussprüfungen, IT-Revision sowie datenanalytische Prüfungen
  • Langjährige Verantwortung als Prüfungsleiter für Jahresabschlussprüfungen und prüfungsnahe Beratungsleistungen bei gemeinnützigen Organisationen
  • Erfahrung in der Prüfung und Optimierung IT-gestützter Geschäftsprozesse
  • Begleitung von Software-MigrationenErfahrung im Auf- und Ausbau informationstechnischer Sicherheitssysteme (z. B. ISMS n. DIN ISO 27001)
  • Referent bei verschiedenen internen und externen Fortbildungsveranstaltungen im Bereich der IT-Revision
  • Autorentätigkeit
  • Leitung des KompetenzTeam Prüfungsnahe IT-Anwendungen der Solidaris

Mitgliedschaften

  • ISACA International/German Chapter
  • Deutsches Institut für Interne Revision e. V. (DIIR)

Veröffentlichungen in der Fachpresse
2020

  • Datenschutz und Informationssicherheit in der Altenhilfe: So schützen Sie sich und die Daten der von Ihnen betreuten Menschen: Pflege Management, 2-3/2020, S. 10.

Veröffentlichungen in der Fachpresse
2019

  • Prüfung jetzt!: Health&Care Management, 4/2019, S. 60-61.
  • IT-Sicherheit 2019: Best Practice und typische Fallstricke im Krankenhaus: Wümek, 5/2019,
    S. 126-127.
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S. 11.