B3S für die Gesundheitsversorgung im Krankenhaus

INHALT

• B3S Krankenhaus: Informationssicherheits-Managementsystem als Basis
• IT-Sicherheitsgesetz: Krankenhäuser als Kritische Infrastrukturen
• IT-Sicherheit ab 2022 verpflichtend für alle Krankenhäuser
• KRITIS-Prüfung: Wie kann ein BSI-konformer Nachweis erfolgen?
• Förderungen für IT-Sicherheit im Krankenhaus
• DQS. The Audit Company.

Der seit Ende 2018 von der Deutschen Krankenhausgesellschaft veröffentlichte Branchenspezifische Sicherheitsstandard – B3S – für die Gesundheitsversorgung im Krankenhaus bietet dem betroffenen KRITIS-Krankenhaus eine geeignete Orientierungshilfe zur Einhaltung der gesetzlich vorgeschriebenen Maßnahmen und zur Nachweisführung nach dem IT-Sicherheitsgesetz. Die Eignung des B3S wurde am 22. Oktober 2019 vom BSI (Bundesamt für die Sicherheit in der Informationstechnik) offiziell festgestellt.

B3S Krankenhaus: Informationssicherheits-Managementsystem als Basis

Die Grundlage des B3S Krankenhaus ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), das grundlegende Vorteile für die Umsetzung eines transparenten Sicherheitsstandards bietet. Die aufgeführten Handlungsempfehlungen richten sich nach den Vorgaben des BSI und orientieren sich eng an den Anforderungen der internationalen Normen für Informationssicherheit  ISO 27001 (Anhang A) und ISO 27799.

Damit steht der anerkannte branchenspezifische Sicherheitsstandard für die medizinische Versorgung auch „den kleineren Kliniken, die nicht als KRITIS-Betreiber reguliert sind, zur Verfügung und sollte als Maßstab für die Umsetzung angemessener IT-Sicherheitsmaßnahmen dienen“, so das BSI in seiner Presseerklärung vom 23.10.2019. Der B3S Krankenhaus steht auf der Internetseite der Deutschen Krankenhausgesellschaft (DKG) kostenfrei als Download zur Verfügung.

Informationssicherheits-Managementsystem gemäß ISO 2700

Schützen Sie Ihre Informationen mit einem Managementsystem nach ISO 27001 ★ Die DQS bietet über 35 Jahre Erfahrung.

IT-Sicherheitsgesetz: Krankenhäuser als kritische Infrastrukturen

Das Gesundheitswesen steht vor einer neuen, äußerst anspruchsvollen Aufgabe: der sinnvollen Gestaltung der Digitalisierung ihrer Branche. Die Digitalisierung ist die Zukunft – daran besteht kein Zweifel! Aber sie birgt auch Risiken, was zahlreiche Vorfälle aus den letzten Jahren verdeutlichen. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS). Hier hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für die Gesellschaft.

Auch Krankenhäuser gehören ab einer gewissen Größe (30.000 vollstationäre Behandlungsfälle pro Jahr) zu den Kritischen Infrastrukturen des Landes. Das IT-Sicherheitsgesetz verlangt deshalb angemessene Schutzmaßnahmen. Es verpflichtet KRITIS-Betreiber, technische und organisatorische Maßnahmen zu ergreifen, um ihre IT-Systeme und IT-Prozesse nach dem „Stand der Technik“ abzusichern. Entsprechende Nachweise über den „Stand der Technik“ sind alle zwei Jahre dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) gegenüber zu erbringen. Der nächste Stichtag ist der 30. Juni 2021.

IT-Sicherheit ab 2022 verpflichtend für alle Krankenhäuser

Nach dem neuen § 75c SGB V sind ab dem 1. Januar 2022 alle Krankenhäuser in Deutschland verpflichtet angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand im Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht.

Die vom §75c SGB V betroffenen Krankenhäuser müssen zwar keinen Nachweis an das BSI übermitteln, erhalten aber per Gesetz die Empfehlung unter Absatz (2) den Branchenspezifischen Sicherheitsstandard (B3S) einzusetzen und sich an diesem zu orientieren. Als guten Start bietet sich der Compliance Check B3S Krankenhaus der DQS an. Mit dem webbasierten Self-Assessment erhalten Sie mehr Sicherheit und Transparenz über Ihre informationstechnischen System und Prozesse.

Parallel dazu wird der Bund die digitale Ausstattung dieser Krankenhäuser mit über vier Milliarden Euro fördern.

KRITIS-Prüfung: Wie kann ein BSI-konformer Nachweis erfolgen?

Der Umsetzungsnachweis gegenüber dem BSI kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Als Prüfgrundlage sind entweder anerkannte Normen, z.B. ISO 27001, oder alternativ B3S (KRITIS-Prüfung) zugelassen, die von KRITIS-Betreibern und ihren Verbänden erarbeitet wurden.

Die DQS ist vom BSI anerkannte Prüfstelle mit spezieller Prüfverfahrenskompetenz und akkreditierte Zertifizierungsstelle, u.a. für ISO 27001. Aufbauend auf unseren Erfahrungen aus anderen KRITIS-Sektoren wie z.B. Wasser, Energie und Transport, bieten wir Ihnen eine BSI-konforme Prüfung im Rahmen eines zweistufigen Verfahrens.

In Stufe 1 erfolgen die Eignungsprüfung des Geltungsbereiches sowie die Abstimmung und Erstellung des Prüfplans. Die weiteren Prüfschritte erfolgen in der Stufe 2. Nach der Prüfung erhalten Sie die entsprechenden Nachweise für das BSI. Der Ablauf der KRITIS-Prüfung basiert auf der BSI-Orientierungshilfe zu Nachweisen gemäß § 8a BSIG.

Förderungen für IT-Sicherheit im Krankenhaus

Der Bund hat das Thema IT-Sicherheit 2019 als neuen Fördertatbestand in den Krankenhausstrukturfonds (KHSF) aufgenommen. Für die aktuelle Förderperiode bis 2024 stehen jährlich 500 Millionen Euro zur Verfügung, in Summe rund 4 Mrd. Euro.

Allerdings werden im Rahmen des Krankenhausstrukturfonds lediglich Krankenhäuser gefördert, die als KRITIS-Betreiber gelten.

Krankenhausbetriebe, die nicht unter die BSI-Kritisverordnung fallen, können stattdessen Fördergelder aus dem Krankenhauszukunftsfonds beziehen, der im Rahmen des Krankenhauszukunftsgesetzes 2020 eingerichtet wurde. Im September 2020 hat die Bundesregierung das neue Krankenhauszukunftsgesetz (KHZG) zur Förderung der Digitalisierung in Krankenhäusern verabschiedet. Die Fördergelder betragen 4,3 Milliarden Euro und die Beantragung ist noch bis Dezember 2021 möglich. Die Bewilligung dieser Fördergelder ist an die Verbesserung der IT-Sicherheit geknüpft: Mindestens 15 Prozent des Geldes müssen investiert werden, um die IT-Security zu erhöhen. 

Das Bundesamt für Soziale Sicherung (BAS) empfiehlt Krankenhäusern, von Anfang an einen nach § 21 Absatz 5 Satz 1 KHSFV (Krankenhausstrukturfonds-Verordnung) berechtigten IT-Dienstleister in die Projektplanung einzubeziehen, da im Rahmen der Antragstellung verschiedene Nachweise zu erbringen sind. 

Ausnahme für KRITIS-Krankenhäuser

Im Rahmen des KHZG sind sowohl Krankenhausbetriebe förderbar, die als Kritische Einrichtungen (KRITIS) definiert sind, als auch Krankenhäuser, die nicht unter diese Definition fallen. Eine Ausnahme betrifft die Förderung von Projekten, die ausschließlich der Verbesserung der IT-Sicherheit dienen. Solche Projekte können für KRITIS-Krankenhäuser im Rahmen des Krankenhauszukunftsgesetzes NICHT gefördert werden, da sie bereits durch den Krankenhausstrukturfonds förderfähig sind. 

DQS. The Audit Company.

Die DQS wurde im Jahr 1985 als erste Zertifizierungsgesellschaft Deutschlands gegründet. Seit dieser Zeit zählen wir zu den führenden Auditspezialisten und Zertifizierern weltweit. Die Gründungsgesellschafter DGQ (Deutsche Gesellschaft für Qualität e.V.) und DIN (Deutsches Institut für Normung e.V.) sind wichtige Partner für die Aus- und Weiterbildung sowie die Normungsarbeit. So arbeiten wir aktiv für unsere Kunden in Ausschüssen und Gremien mit und bringen unser Expertenwissen in unsere Audits ein. Der Grundstein für unseren Ruf als kompetenter Partner im Gesundheits- und Sozialwesen wurde mit der ersten erfolgreichen Zertifizierung im Jahr 1993 gelegt.