.
gesundheitswesen-header-dqs-krankenhausstation mit patientenbetten

IT-Sicherheit im Krankenhaus: seit dem 1. Januar 2022 für alle verpflichtend

Nadja Götz

DQS-Produktmanagerin für Qualitätsmanagement
Jan. 26 , 2022
# B3S Krankenhaus

Seit 30. Juni 2017 verpflichtet das IT-Sicherheitsgesetz (§ 8 BSI-Gesetz) Betreiber von Kritischen Infrastrukturen im Sektor Gesundheit, technische und organisatorische Vorkehrungen zu ergreifen, um ihre IT-Systeme nach dem „Stand der Technik“ abzusichern. Im Zuge dieser gesetzlichen Anforderungen muss die oberste Leitung eines Krankenhauses ab 30.000 vollstationären Fällen pro Jahr nicht nur die Rechenschaftspflicht für die Wirksamkeit des Qualitätsmanagementsystems nach ISO 9001 übernehmen, sondern auch für ein Informationssicherheits-Managementsystem Führung und Verpflichtung zeigen.

Mit dem Patientendaten-Schutz-Gesetz wurden im Oktober 2020 erneut Änderungen in Bezug auf die IT-Sicherheit festgelegt und im Sozialgesetzbuch (§ 75c SGB V) konkretisiert. Damit sind seit dem 1. Januar 2022 alle Krankenhäuser in Deutschland verpflichtet, angemessene Schutzmaßnahmen zur IT-Sicherheit zu treffen.

INHALT

IT-Sicherheit im Krankenhaus: Wer ist betroffen?

Das BSI (Bundesamt für die Sicherheit in der Informationstechnik) hat am 22. Oktober 2019 offiziell die Eignung des von der Deutschen Krankenhausgesellschaft erarbeiteten Branchenspezifischen Sicherheitsstandards (B3S) zur Umsetzung der Anforderungen des § 8a Abs. 2 BSI-Gesetz festgestellt. Krankenhäuser, die den Schwellenwert von 30.000 vollstationären Fällen erreichen, nutzen den B3S zur Nachweiserbringung ihrer IT-Sicherheit und gewährleisten damit die gesetzlichen Anforderungen.

Das Patientendaten-Schutz-Gesetz (PDSG) legte im Oktober 2020 erneut Änderungen in Bezug auf die IT-Sicherheit fest. Damit sind auch kleine Krankenhäuser in der Pflicht, ausreichende Schutzmaßnahmen für ihre IT-Systeme zu treffen, um die Sicherheit von Patientendaten zu gewährleisten. Mit dem PDSG wurde ein neuer § 75c in das Sozialgesetzbuch (SGB) V eingefügt.

Nach dem neuen § 75c SGB V sind seit dem 1. Januar 2022 alle Krankenhäuser in Deutschland verpflichtet, angemessene organisatorische und technische Vorkehrungen zur IT-Sicherheit zu treffen. Konkret bedeutet das: Jegliche Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie weiterer Schutzziele der informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Dabei soll der „Stand der Technik“ eingehalten werden.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

IT Sicherheit im Krankenhaus. Eine Einführung.

In unserer kostenfreien Webinaraufzeichnung erfahren Sie mehr über

  • den gesetzlichen Hintergrund
  • die Umsetzung anhand von Beispielen
  • die Vorteile des B3S Krankenhaus
Webinaraufzeichnung kostenfrei anschauen

Auch kleine Krankenhäuser in der Nachweispflicht

Organisatorische und technische Schutzmaßnahmen zur IT-Sicherheit sind angemessen, wenn der dafür erforderliche Aufwand im Verhältnis zu den Folgen eines Ausfalls, einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die IT-Systeme und IT-Prozesse sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Die vom § 75c SGB V betroffenen Krankenhäuser müssen derzeit keinen Nachweis an das BSI (Bundesamt für die Sicherheit in der Informationstechnik) übermitteln. Allerdings empfiehlt der Gesetzgeber in Absatz 2 den Branchenstandard einzusetzen und sich an diesem zu orientieren. Parallel dazu wird der Bund die digitale Ausstattung dieser Krankenhäuser mit über vier Milliarden Euro fördern.

 

Der B3S – Wirksame Leilinien für mehr IT-Sicherheit im Krankenhaus

Der branchenspezifische Sicherheitsstandard für Krankenhäuser orientiert sich an

  • der in der Praxis etablierten internationalen Norm ISO 27001 für ein Informationssicherheits-Managementsystem,
  • der darüber hinaus gehenden branchenspezifischen Anforderungen von ISO 27799,
  • dem Stand der Technik, als auch an
  • den für den Geltungsbereich relevanten Risiken.

Die Grundlage des B3S ist ein Informationssicherheits-Managementsystem (ISMS) gemäß der anerkannten Norm ISO 27001. Durch ihre prozessorientierte und risikobasierte Herangehensweise bietet sie einen systematischen Ansatz zum Erreichen der gesetzten Informationssicherheitsziele. Parallelen im B3S zu bekannten Themen aus dem Qualitätsmanagement (ISO 9001) sind auf den ersten Blick ebenfalls leicht zu finden.

„Kurzum: Der B3S für Krankenhäuser orientiert sich an bereits bekannten Strukturen des Qualitäts- und Risikomanagements."

Ein Qualitätsmanagementbeauftragter wird sich darin sicher fühlen, „Führung und Verpflichtung“, „Kontext der Organisation“ oder „Risiken und Chancen“ zu bewerten.

managementsysteme-götz-managementsysteme - zertifizierung durch die dqs

Managementysteme für Informationssicherheit

Managementsystemnormen bieten einen systematischen und strukturierten Rahmen, gesetzliche Verpflichtungen zu berücksichtigen und in die Geschäftsprozesse zu integrieren. Gerne informieren wir Sie über Lösungen für einen BSI-konformen Umsetzungsnachweis.

Kontakt zur DQS

Der B3S – der rote Faden für alle Krankenhäuser

Der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S Krankenhaus) besteht im Wesentlichen aus 168 Maßnahmen. Diese sind in Muss-, Soll- und Kann-Anforderungen untergliedert. Zentrale Themen sind die Schutzziele der Informationssicherheit nach ISO 27001:

  • Verfügbarkeit
  • Integrität
  • Authentizität
  • Vertraulichkeit

Plus on top zwei weitere Ziele:

  • Patientensicherheit
  • Behandlungseffektivität

Oberstes Ziel des Branchenstandards ist es, die medizinische Versorgung der Patienten zu gewährleisten. Daher rücken nicht nur die technischen Aspekte ins Rampenlicht, sondern auch die organisatorische, strukturelle und prozessuale Verantwortung der Geschäftsführung.

 

Es geht um mehr als IT-Sicherheit im Krankenhaus

Der branchenspezifische Sicherheitsstandard nutzt allen Kliniken als roter Faden auf dem Weg zur Digitalisierung und mehr IT-Sicherheit. Er beschreibt die Prozesse und erforderlichen Maßnahmen, um den aktuellen Stand der Technik zu gewährleisten und damit die medizinische Versorgung und Gesundheit der Patienten sicherzustellen.

37 Managementanforderungen beziehen sich auf ein Informationssicherheits-Risikomanagement. Der Standard fordert die Klinikbetreiber ebenso auf, die Kritikalität zu bewerten, um die Ausfallwahrscheinlichkeiten im Blick zu behalten. 40 Bedrohungsszenarien mit Schwachstellen und potenziellen Gefahren werden beispielhaft genannt.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Expertenwissen aus erster Hand

Spannendes Thema? Gern unterstützen wir Sie mit aktuellem Wissen – unsere Auditoren sind im Arbeitskreis BAK med vertreten und an der Weiterentwicklung des B3S Krankenhaus beteiligt.

Wir freuen uns auf das Gespräch mit Ihnen

Grundsätzlich gilt der Allgefahren-Ansatz. Dieser bezieht alle Aspekte, die den Betrieb beeinflussen könnten, in der Gefährdungsanalyse mit ein, nicht nur die IT-Sicherheit, sondern Informationssicherheit im Allgemeinen.

 

Beteiligte Bereiche

  • Verantwortung der Geschäftsführung
  • Anforderung nach einem Informationssicherheits-Managementsystem (ISMS)
  • Risikomanagement
  • Datenschutz
  • Brandschutz
  • Versorgungstechnik
  • Kommunikationstechnik
  • Medizintechnik
  • Informationstechnik
  • Externe Partner

 

Beteiligte Berufsgruppen

  • Verwaltung
  • Ärztlicher Dienst
  • IT-Mitarbeiter
  • Datenschützer
  • Qualitätsmanager
  • Risikomanager
  • Techniker
  • Medizintechniker
  • MA Funktionsdienste
  • Pflegedienst

Der Branchenstandard verpflichtet die oberste Leitung zur Bekanntgabe und Durchsetzung von Zielen der Informationssicherheit und fordert neben dem Datenschutzbeauftragten und der IT-Leitung einen Informationssicherheitsbeauftragten (ISB bzw. CISO). Die Klinikleitung muss notwendige organisatorische, personelle und finanzielle Mittel zur Verfügung stellen sowie die Wirksamkeit des Informationssicherheits-Managementsystems überprüfen.

 

Erste Schritte zur Umsetzung des B3S

Auch den vom § 75c SGB V betroffenen Krankenhäusern wird empfohlen, den Branchenstandard einzusetzen und sich an diesem zu orientieren. Denn IT-Sicherheit kann für Klinikbetreiber zum Wettbewerbsvorteil werden. Mit dem B3S Krankenhaus als Leitlinie haben Sie die geeignete Grundlage für Ihr weiteres Vorgehen. Vor allem mit Blick auf die gestiegenen Anforderungen und Sanktionen des IT-Sicherheitsgesetzes 2.0.

Auditoren der DQS sind im Arbeitskreis BAK med vertreten und an der Weiterentwicklung des Branchenspezifischen Sicherheitsstandards (B3S) Krankenhaus beteiligt. Sie können jederzeit mit aktuellem Wissen unterstützen.

 

B3S Compliance Check Krankenhaus – ihr Self-Assessment für den einfachen Start

Mit dem B3S Compliance Check Krankenhaus der DQS erhalten Sie mehr Sicherheit und Transparenz über Ihre informationstechnischen Systeme. Das webbasierte Self-Assessment führt Sie virtuell und unkompliziert durch den Branchenstandard. So können Sie die Anforderungen für sich selbst bewerten, abspeichern und nach und nach befüllen oder gegebenenfalls ändern. Sie bestimmen dabei den Ort und die Zeit für sich selbst.

Bei Bedarf steht Ihnen remote auch ein erfahrener B3S-Auditor für Fragen zur Verfügung. Nach Bewertung und Abschluss aller Anforderungen schließen Sie Ihre virtuelle Reise ab. Die Software generiert automatisch einen Bericht (Maßnahmenplan) in Form einer GAP-Analyse sowie relevante, BSI-konforme Nachweisdokumente für Sie.

Die GAP-Analyse zeigt Ihnen grafisch aufbereitet:

  • Wo stehen Sie derzeit mit Blick auf den B3S Krankenhaus?
  • Was ist noch zu tun, um den aktuellen Stand der Technik zu erreichen? Ein Maßnahmenplan zeigt nächste Schritte auf.
  • Wie wird das notwendige Zeit- und Kostenvolumen dafür eingeschätzt? Profitieren Sie von einer Entscheidungsgrundlage für weitere Investitionen.
b3s-quick-check-götz-b3s compliance check krankenhaus

B3S Compliance Check Krankenhaus

Mit unserem webbasierten Self-Assessment erhalten Sie detailliertes Feedback über

  • den Status quo
  • die nächsten Schritte
  • notwendige Investitionen

Gern informieren wir Sie.

Anfrage starten

B3S-Kickoff-Workshop der DQS

Ein guter Start zum aktuellen Stand der Technik ist der DQS B3S-KickOff-Workshop. Dabei steht die Aufrechterhaltung des im jeweiligen Krankenhaus etablierten Versorgungsniveaus im Mittelpunkt der Betrachtung.

  • Definieren Sie gemeinsam mit einem DQS-Auditor Ihren Geltungsbereich.
  • Entwickeln Sie Ihre Informationssicherheitspolitik und ermitteln Sie die für Sie relevanten Compliance-Anforderungen. Bitte lassen Sie die IT-Abteilung damit nicht alleine, denn es geht um mehr als nur IT-Sicherheit.
  • Ziel ist die Sicherstellung und Aufrechterhaltung der kritischen Versorgungsdienstleistung und der hierfür benötigten Geschäftsprozesse.
it-sicherheit-krankenhaus-dqs-aerztin analysiert ergebnisse

DQS B3S-Kickoff-Workshop

Wertvolles Expertenwissen zur Sicherstellung und Aufrechterhaltung Ihrer kritischen Versorgungsdienstleistung.

Informieren Sie sich. Wir freuen uns auf das Gespräch mit Ihnen.

Kontakt aufnehmen

Geben Sie unsere Einladung gerne auch weiter: an alle, die in Ihrem Haus mit Aufgaben rund um die IT-Sicherheit betraut sind.

 

IT-Sicherheit im Krankenhaus – Förderungen

Der Bund hat das Thema IT-Sicherheit 2019 als Fördertatbestand in die Krankenhausstrukturfonds-Verordnung (KHSFV) aufgenommen. Für die aktuelle Förderperiode bis 31. Dezember 2024 stehen Mittel in Höhe von insgesamt bis zu 2 Milliarden Euro zur Verfügung.

Mit Einführung des Krankenhauszukunftsgesetzes (KHZG) im Oktober 2020 wurde unter anderem § 12a Abs. 1 und 2 des Krankenhausfinanzierungsgesetzes (KHG) dahingehend geändert, dass den Bundesländern entsprechende Fördermittel im Rahmen des Krankenhausstrukturfonds aus der Liquiditätsreserve des Gesundheitsfonds für Fördervorhaben bereitgestellt werden.

Die bisherigen Fördertatbestände "Schließung", "Konzentration" und "Umwandlung" werden geschärft und teilweise neu konturiert. Darüber hinaus ist die Förderung auf die IT-Sicherheit, die Vernetzung, die Zentrenbildung, die (integrierte) Notfallversorgung und die Ausbildung in der pflegerischen Versorgung hin ausgerichtet (§ 12a KHG und §§ 11-18 KHSFV). Das Bundesamt für Soziale Sicherung prüft die von den Ländern gestellten Förderanträge, entscheidet über die Bewilligung und zahlt die Mittel an die Länder aus.

Voraussetzung für die Förderung ist, dass sich die antragstellenden Länder, gegebenenfalls gemeinsam mit der zu fördernden Einrichtung, mit mindestens 50 Prozent der förderfähigen Kosten an dem Vorhaben beteiligen. Von dem nach Abzug der Aufwendungen maßgeblichen Förderbetrages kann jedes Land in den Jahren 2019 bis 2024 bis zu 95 Prozent des Anteils beantragen, der sich aus dem Königsteiner Schlüssel mit Stand vom 1. Oktober 2018 ergibt. Mit den verbleibenden 5 Prozent des Betrages können länderübergreifende Vorhaben gefördert werden.

Im Rahmen des Krankenhauszukunftsgesetzes sind sowohl Krankenhausbetriebe förderbar, die als Kritische Einrichtungen (KRITIS) definiert sind, als auch kleine Krankenhäuser. Eine Ausnahme betrifft die Förderung von Projekten, die ausschließlich der Verbesserung der IT-Sicherheit dienen. Solche Projekte können für KRITIS-Betreiber im Rahmen des KHZG nicht gefördert werden, da sie bereits durch den Krankenhausstrukturfond förderfähig sind.

 

Die DQS – der richtige Partner an Ihrer Seite

Als KRITIS-Betreiber zählen nicht nur die Benennung einer jederzeit erreichbaren Kontaktstelle und die Meldung erheblicher Störungen an das BSI zu Ihren Pflichten. Sie stehen auch vor der Aufgabe, die gesetzlichen Vorgaben in zuverlässige und sichere Prozesse zu integrieren und dem BSI gegenüber nachzuweisen. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, KRITIS-Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen, zum Beispiel ISO 27001, oder der vom BSI anerkannte Branchenspezifische Sicherheitsstandards zugelassen.

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihrer Einrichtung. Als vom BSI zugelassene Prüfstelle stellen wir Ihnen gerne alle geforderten Kompetenzen für einen BSI-konformen Nachweis zur Verfügung:

  • spezielle Prüfverfahrenskompetenz
  • Auditkompetenz
  • IT-Sicherheitskompetenz
  • Branchenkompetenz 

Kleineren, vom § 75c SGB V betroffenen Krankenhäusern wird ebenfalls empfohlen, sich am B3S zu orientieren. Nutzen Sie für die gezielte Kurzanalyse die Kompetenz der DQS: Unser Quick Check bietet Ihnen einen geeigneten Einstieg in das Thema.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Gern beantworten wir Ihre Fragen

Informieren Sie sich.

Ganz unverbindlich und kostenfrei.

Wir freuen uns auf das Gespräch mit Ihnen

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail.

Autor
Nadja Götz

Produktmanagerin ISO 9001 sowie DQS-Expertin für Gesundheitsmanagementsysteme und BSI-KRITIS-Prüfungen, Auditorin und Produktmanagerin für diverse Qualitätsstandards der Rehabilitation sowie der stationären und ambulanten Versorgung.

<p>DQS-Expertin Gesundheitswesen</p>

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns