Krankenhäuser als Betreiber Kritischer Infrastrukturen sind dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) gegenüber verpflichtet, einen Nachweis zu erbringen, dass ihre IT-Systeme und IT-Prozesse abgesichert sind. Und das regelmäßig alle zwei Jahre. Das Grundlagenpapier dafür, der B3S Krankenhaus, ist verfügbar. Mehr dazu in unserem Beitrag.
Loading...
INHALT
- B3S Krankenhaus: Informationssicherheits-Managementsystem als Basis
- IT-Sicherheitsgesetz: Krankenhäuser als Kritische Infrastrukturen
- IT-Sicherheit ab 2022 verpflichtend für alle Krankenhäuser
- KRITIS-Prüfung: Wie kann ein BSI-konformer Nachweis erfolgen?
- Förderungen für IT-Sicherheit im Krankenhaus
- DQS. The Audit Company.
Der seit Ende 2018 von der Deutschen Krankenhausgesellschaft veröffentlichte Branchenspezifische Sicherheitsstandard – B3S – für die Gesundheitsversorgung im Krankenhaus bietet dem betroffenen KRITIS-Krankenhaus eine geeignete Orientierungshilfe zur Einhaltung der gesetzlich vorgeschriebenen Maßnahmen und zur Nachweisführung nach dem IT-Sicherheitsgesetz. Die Eignung des B3S wurde am 22. Oktober 2019 vom BSI (Bundesamt für die Sicherheit in der Informationstechnik) offiziell festgestellt.
B3S Krankenhaus: Informationssicherheits-Managementsystem als Basis
Die Grundlage des B3S Krankenhaus ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), das grundlegende Vorteile für die Umsetzung eines transparenten Sicherheitsstandards bietet. Die aufgeführten Handlungsempfehlungen richten sich nach den Vorgaben des BSI und orientieren sich eng an den Anforderungen der internationalen Normen für Informationssicherheit ISO 27001 (Anhang A) und ISO 27799.
Damit steht der anerkannte branchenspezifische Sicherheitsstandard für die medizinische Versorgung auch „den kleineren Kliniken, die nicht als KRITIS-Betreiber reguliert sind, zur Verfügung und sollte als Maßstab für die Umsetzung angemessener IT-Sicherheitsmaßnahmen dienen“, so das BSI in seiner Presseerklärung vom 23.10.2019. Der B3S Krankenhaus steht auf der Internetseite der Deutschen Krankenhausgesellschaft (DKG) kostenfrei als Download zur Verfügung.
Loading...
Informationssicherheitsmanagement gemäß ISO 27001
Schützen Sie Ihre Informationen mit einem Managementsystem nach der international anerkannten Norm ISO 27001. Die aktuell gültige Version wurde im Jahr 2022 grundlegend überarbeitet. Was genau die Änderungen für Ihre Organisation bedeuten, lesen Sie in unserem Blogbeitrag.
IT-Sicherheitsgesetz: Krankenhäuser als kritische Infrastrukturen
Das Gesundheitswesen steht vor einer neuen, äußerst anspruchsvollen Aufgabe: der sinnvollen Gestaltung der Digitalisierung ihrer Branche. Die Digitalisierung ist die Zukunft – daran besteht kein Zweifel! Aber sie birgt auch Risiken, was zahlreiche Vorfälle aus den letzten Jahren verdeutlichen. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS). Hier hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für die Gesellschaft.
Auch Krankenhäuser gehören ab einer gewissen Größe (30.000 vollstationäre Behandlungsfälle pro Jahr) zu den Kritischen Infrastrukturen des Landes. Das IT-Sicherheitsgesetz verlangt deshalb angemessene Schutzmaßnahmen. Es verpflichtet KRITIS-Betreiber, technische und organisatorische Maßnahmen zu ergreifen, um ihre IT-Systeme und IT-Prozesse nach dem „Stand der Technik“ abzusichern. Entsprechende Nachweise über den „Stand der Technik“ sind alle zwei Jahre dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) gegenüber zu erbringen.
Loading...
KRITIS-Nachweis nach §8 BSI-Gesetz
Gerne beantworten wir Ihre Fragen. Als vom BSI anerkannt Prüfstelle informieren wir Sie ganz unverbindlich über die Möglichkeiten und den Aufwand einer Zertifizierung gemäß §8 BSIG.
KRITIS-Prüfung: Wie kann ein BSI-konformer Nachweis erfolgen?
Der Umsetzungsnachweis gegenüber dem BSI kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Als Prüfgrundlage sind entweder anerkannte Normen, z.B. ISO 27001, oder alternativ B3S (KRITIS-Prüfung) zugelassen, die von KRITIS-Betreibern und ihren Verbänden erarbeitet wurden.
Die DQS ist vom BSI anerkannte Prüfstelle mit spezieller Prüfverfahrenskompetenz und akkreditierte Zertifizierungsstelle, u.a. für ISO 27001. Aufbauend auf unseren Erfahrungen aus anderen KRITIS-Sektoren wie z.B. Wasser, Energie und Transport, bieten wir Ihnen eine BSI-konforme Prüfung im Rahmen eines zweistufigen Verfahrens.
In Stufe 1 erfolgen die Eignungsprüfung des Geltungsbereiches sowie die Abstimmung und Erstellung des Prüfplans. Die weiteren Prüfschritte erfolgen in der Stufe 2. Nach der Prüfung erhalten Sie die entsprechenden Nachweise für das BSI. Der Ablauf der KRITIS-Prüfung basiert auf der BSI-Orientierungshilfe zu Nachweisen gemäß § 8a BSIG.
Förderungen für IT-Sicherheit im Krankenhaus
Der Bund hat das Thema IT-Sicherheit 2019 als neuen Fördertatbestand in den Krankenhausstrukturfonds (KHSF) aufgenommen. Für die aktuelle Förderperiode bis 2024 stehen jährlich 500 Millionen Euro zur Verfügung, in Summe rund 4 Mrd. Euro.
„Kliniken, die unter die KRITIS-Verordnung fallen und Investitionen in ihre IT-Sicherheit planen, können in der Förderperiode bis 2024 somit besonders vom Krankenhausstrukturfonds profitieren!“
Allerdings werden im Rahmen des Krankenhausstrukturfonds lediglich Krankenhäuser gefördert, die als KRITIS-Betreiber gelten.
Krankenhausbetriebe, die nicht unter die BSI-Kritisverordnung fallen, können stattdessen Fördergelder aus dem Krankenhauszukunftsfonds beziehen, der im Rahmen des Krankenhauszukunftsgesetzes 2020 eingerichtet wurde. Im September 2020 hat die Bundesregierung das neue Krankenhauszukunftsgesetz (KHZG) zur Förderung der Digitalisierung in Krankenhäusern verabschiedet. Die Fördergelder betragen 4,3 Milliarden Euro und die Beantragung ist noch bis Dezember 2021 möglich. Die Bewilligung dieser Fördergelder ist an die Verbesserung der IT-Sicherheit geknüpft: Mindestens 15 Prozent des Geldes müssen investiert werden, um die IT-Security zu erhöhen.
Das Bundesamt für Soziale Sicherung (BAS) empfiehlt Krankenhäusern, von Anfang an einen nach § 21 Absatz 5 Satz 1 KHSFV (Krankenhausstrukturfonds-Verordnung) berechtigten IT-Dienstleister in die Projektplanung einzubeziehen, da im Rahmen der Antragstellung verschiedene Nachweise zu erbringen sind.
Ausnahme für KRITIS-Krankenhäuser
Im Rahmen des KHZG sind sowohl Krankenhausbetriebe förderbar, die als Kritische Einrichtungen (KRITIS) definiert sind, als auch Krankenhäuser, die nicht unter diese Definition fallen. Eine Ausnahme betrifft die Förderung von Projekten, die ausschließlich der Verbesserung der IT-Sicherheit dienen. Solche Projekte können für KRITIS-Krankenhäuser im Rahmen des Krankenhauszukunftsgesetzes NICHT gefördert werden, da sie bereits durch den Krankenhausstrukturfonds förderfähig sind.
DQS. The Audit Company.
Die DQS wurde im Jahr 1985 als erste Zertifizierungsgesellschaft Deutschlands gegründet. Seit dieser Zeit zählen wir zu den führenden Auditspezialisten und Zertifizierern weltweit. Die Gründungsgesellschafter DGQ (Deutsche Gesellschaft für Qualität e.V.) und DIN (Deutsches Institut für Normung e.V.) sind wichtige Partner für die Aus- und Weiterbildung sowie die Normungsarbeit. So arbeiten wir aktiv für unsere Kunden in Ausschüssen und Gremien mit und bringen unser Expertenwissen in unsere Audits ein. Der Grundstein für unseren Ruf als kompetenter Partner im Gesundheits- und Sozialwesen wurde mit der ersten erfolgreichen Zertifizierung im Jahr 1993 gelegt.
Loading...
Gern beantworten wir Ihre Fragen
Als vom BSI anerkannte Prüfstelle informieren wir Sie gerne über die Möglichkeiten und den Aufwand einer Zertifizierung gemäß §8 BSIG.
DQS Newsletter
Bleiben Sie informiert und abonnieren Sie unseren Newsletter!
Autor
Nadja Götz
Produktmanagerin ISO 9001 sowie DQS-Expertin für Gesundheitsmanagementsysteme und BSI-KRITIS-Prüfungen, Auditorin und Produktmanagerin für diverse Qualitätsstandards der Rehabilitation sowie der stationären und ambulanten Versorgung.
Loading...
