gesundheitswesen-header-dqs-krankenhausstation mit patientenbetten

IT-Sicherheit im Krankenhaus: seit dem 1. Januar 2022 für alle verpflichtend

Nadja Götz

DQS-Produktmanagerin für Qualitätsmanagement
Jan. 26 , 2022
# B3S Krankenhaus

Seit 30. Juni 2017 verpflichtet das IT-Sicherheitsgesetz (§ 8 BSI-Gesetz) Betreiber von Kritischen Infrastrukturen im Sektor Gesundheit, technische und organisatorische Vorkehrungen zu ergreifen, um ihre IT-Systeme nach dem „Stand der Technik“ abzusichern. Im Zuge dieser gesetzlichen Anforderungen muss die oberste Leitung eines Krankenhauses ab 30.000 vollstationären Fällen pro Jahr nicht nur die Rechenschaftspflicht für die Wirksamkeit des Qualitätsmanagementsystems nach ISO 9001 übernehmen, sondern auch für ein Informationssicherheits-Managementsystem Führung und Verpflichtung zeigen.

Mit dem Patientendaten-Schutz-Gesetz wurden im Oktober 2020 erneut Änderungen in Bezug auf die IT-Sicherheit festgelegt und im Sozialgesetzbuch (§ 75c SGB V) konkretisiert. Damit sind seit dem 1. Januar 2022 alle Krankenhäuser in Deutschland verpflichtet, angemessene Schutzmaßnahmen zur IT-Sicherheit zu treffen.

INHALT

IT-Sicherheit im Krankenhaus: Wer ist betroffen?

Das BSI (Bundesamt für die Sicherheit in der Informationstechnik) hat am 22. Oktober 2019 offiziell die Eignung des von der Deutschen Krankenhausgesellschaft erarbeiteten Branchenspezifischen Sicherheitsstandards (B3S) zur Umsetzung der Anforderungen des § 8a Abs. 2 BSI-Gesetz festgestellt. Krankenhäuser, die den Schwellenwert von 30.000 vollstationären Fällen erreichen, nutzen den B3S zur Nachweiserbringung ihrer IT-Sicherheit und gewährleisten damit die gesetzlichen Anforderungen.

Das Patientendaten-Schutz-Gesetz (PDSG) legte im Oktober 2020 erneut Änderungen in Bezug auf die IT-Sicherheit fest. Damit sind auch kleine Krankenhäuser in der Pflicht, ausreichende Schutzmaßnahmen für ihre IT-Systeme zu treffen, um die Sicherheit von Patientendaten zu gewährleisten. Mit dem PDSG wurde ein neuer § 75c in das Sozialgesetzbuch (SGB) V eingefügt.

Nach dem neuen § 75c SGB V sind seit dem 1. Januar 2022 alle Krankenhäuser in Deutschland verpflichtet, angemessene organisatorische und technische Vorkehrungen zur IT-Sicherheit zu treffen. Konkret bedeutet das: Jegliche Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie weiterer Schutzziele der informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Dabei soll der „Stand der Technik“ eingehalten werden.

iso 27001-whitepaper-fragen-antworten

„Die Neue“ für Informationssicherheit

Wertvolles Wissen: 44 Fragen und Antworten zu ISO/IEC 27001:2022

Zusammenstellung wissenswerter Details zur revidierten ISO 27001 von Anwendern und Experten:

  • Wann sollen wir auf die neue Norm umsteigen?
  • Was hat es mit den neuen Controls auf sich?
  • Was ist mit Prozesskriterien genau gemeint?
  • Wird es eine neue ISO/IEC 27019 geben?
  • u.v.m.
Fragenkatalog kostenlos herunterladen

Auch kleine Krankenhäuser in der Nachweispflicht

Organisatorische und technische Schutzmaßnahmen zur IT-Sicherheit sind angemessen, wenn der dafür erforderliche Aufwand im Verhältnis zu den Folgen eines Ausfalls, einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die IT-Systeme und IT-Prozesse sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Die vom § 75c SGB V betroffenen Krankenhäuser müssen derzeit keinen Nachweis an das BSI (Bundesamt für die Sicherheit in der Informationstechnik) übermitteln. Allerdings empfiehlt der Gesetzgeber in Absatz 2 den Branchenstandard einzusetzen und sich an diesem zu orientieren. Parallel dazu wird der Bund die digitale Ausstattung dieser Krankenhäuser mit über vier Milliarden Euro fördern.

 

Der B3S – Wirksame Leilinien für mehr IT-Sicherheit im Krankenhaus

Der branchenspezifische Sicherheitsstandard für Krankenhäuser orientiert sich an

  • der in der Praxis etablierten internationalen Norm ISO 27001 für ein Informationssicherheits-Managementsystem,
  • der darüber hinaus gehenden branchenspezifischen Anforderungen von ISO 27799,
  • dem Stand der Technik, als auch an
  • den für den Geltungsbereich relevanten Risiken.

Die Grundlage des B3S ist ein Informationssicherheits-Managementsystem (ISMS) gemäß der anerkannten Norm ISO 27001. Durch ihre prozessorientierte und risikobasierte Herangehensweise bietet sie einen systematischen Ansatz zum Erreichen der gesetzten Informationssicherheitsziele. Parallelen im B3S zu bekannten Themen aus dem Qualitätsmanagement (ISO 9001) sind auf den ersten Blick ebenfalls leicht zu finden.

„Kurzum: Der B3S für Krankenhäuser orientiert sich an bereits bekannten Strukturen des Qualitäts- und Risikomanagements."

Ein Qualitätsmanagementbeauftragter wird sich darin sicher fühlen, „Führung und Verpflichtung“, „Kontext der Organisation“ oder „Risiken und Chancen“ zu bewerten.

managementsysteme-götz-managementsysteme - zertifizierung durch die dqs

Managementysteme für Informationssicherheit

Managementsystemnormen bieten einen systematischen und strukturierten Rahmen, gesetzliche Verpflichtungen zu berücksichtigen und in die Geschäftsprozesse zu integrieren. Gerne informieren wir Sie über Lösungen für einen BSI-konformen Umsetzungsnachweis.

Kontakt zur DQS

Der B3S – der rote Faden für alle Krankenhäuser

Der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S Krankenhaus) besteht im Wesentlichen aus 168 Maßnahmen. Diese sind in Muss-, Soll- und Kann-Anforderungen untergliedert. Zentrale Themen sind die Schutzziele der Informationssicherheit nach ISO 27001:

  • Verfügbarkeit
  • Integrität
  • Authentizität
  • Vertraulichkeit

Plus on top zwei weitere Ziele:

  • Patientensicherheit
  • Behandlungseffektivität

Oberstes Ziel des Branchenstandards ist es, die medizinische Versorgung der Patienten zu gewährleisten. Daher rücken nicht nur die technischen Aspekte ins Rampenlicht, sondern auch die organisatorische, strukturelle und prozessuale Verantwortung der Geschäftsführung.

 

Es geht um mehr als IT-Sicherheit im Krankenhaus

Der branchenspezifische Sicherheitsstandard nutzt allen Kliniken als roter Faden auf dem Weg zur Digitalisierung und mehr IT-Sicherheit. Er beschreibt die Prozesse und erforderlichen Maßnahmen, um den aktuellen Stand der Technik zu gewährleisten und damit die medizinische Versorgung und Gesundheit der Patienten sicherzustellen.

37 Managementanforderungen beziehen sich auf ein Informationssicherheits-Risikomanagement. Der Standard fordert die Klinikbetreiber ebenso auf, die Kritikalität zu bewerten, um die Ausfallwahrscheinlichkeiten im Blick zu behalten. 40 Bedrohungsszenarien mit Schwachstellen und potenziellen Gefahren werden beispielhaft genannt.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Expertenwissen aus erster Hand

Spannendes Thema? Gern unterstützen wir Sie mit aktuellem Wissen – unsere Auditoren sind im Arbeitskreis BAK med vertreten und an der Weiterentwicklung des B3S Krankenhaus beteiligt.

Wir freuen uns auf das Gespräch mit Ihnen

Grundsätzlich gilt der Allgefahren-Ansatz. Dieser bezieht alle Aspekte, die den Betrieb beeinflussen könnten, in der Gefährdungsanalyse mit ein, nicht nur die IT-Sicherheit, sondern Informationssicherheit im Allgemeinen.

 

Beteiligte Bereiche

  • Verantwortung der Geschäftsführung
  • Anforderung nach einem Informationssicherheits-Managementsystem (ISMS)
  • Risikomanagement
  • Datenschutz
  • Brandschutz
  • Versorgungstechnik
  • Kommunikationstechnik
  • Medizintechnik
  • Informationstechnik
  • Externe Partner

 

Beteiligte Berufsgruppen

  • Verwaltung
  • Ärztlicher Dienst
  • IT-Mitarbeiter
  • Datenschützer
  • Qualitätsmanager
  • Risikomanager
  • Techniker
  • Medizintechniker
  • MA Funktionsdienste
  • Pflegedienst

Der Branchenstandard verpflichtet die oberste Leitung zur Bekanntgabe und Durchsetzung von Zielen der Informationssicherheit und fordert neben dem Datenschutzbeauftragten und der IT-Leitung einen Informationssicherheitsbeauftragten (ISB bzw. CISO). Die Klinikleitung muss notwendige organisatorische, personelle und finanzielle Mittel zur Verfügung stellen sowie die Wirksamkeit des Informationssicherheits-Managementsystems überprüfen.

 

Erste Schritte zur Umsetzung des B3S

Auch den vom § 75c SGB V betroffenen Krankenhäusern wird empfohlen, den Branchenstandard einzusetzen und sich an diesem zu orientieren. Denn IT-Sicherheit kann für Klinikbetreiber zum Wettbewerbsvorteil werden. Mit dem B3S Krankenhaus als Leitlinie haben Sie die geeignete Grundlage für Ihr weiteres Vorgehen. Vor allem mit Blick auf die gestiegenen Anforderungen und Sanktionen des IT-Sicherheitsgesetzes 2.0.

Auditoren der DQS sind im Arbeitskreis BAK med vertreten und an der Weiterentwicklung des Branchenspezifischen Sicherheitsstandards (B3S) Krankenhaus beteiligt. Sie können jederzeit mit aktuellem Wissen unterstützen. Informieren Sie sich über die Möglichkeiten einer GAP-Analyse:

  • Wo stehen Sie derzeit mit Blick auf den B3S Krankenhaus?
  • Was ist noch zu tun, um den aktuellen Stand der Technik zu erreichen?

Profitieren Sie von einer Entscheidungsgrundlage für weitere Investitionen.

IT-Sicherheit im Krankenhaus – Förderungen

Der Bund hat das Thema IT-Sicherheit 2019 als Fördertatbestand in die Krankenhausstrukturfonds-Verordnung (KHSFV) aufgenommen. Für die aktuelle Förderperiode bis 31. Dezember 2024 stehen Mittel in Höhe von insgesamt bis zu 2 Milliarden Euro zur Verfügung.

Mit Einführung des Krankenhauszukunftsgesetzes (KHZG) im Oktober 2020 wurde unter anderem § 12a Abs. 1 und 2 des Krankenhausfinanzierungsgesetzes (KHG) dahingehend geändert, dass den Bundesländern entsprechende Fördermittel im Rahmen des Krankenhausstrukturfonds aus der Liquiditätsreserve des Gesundheitsfonds für Fördervorhaben bereitgestellt werden.

Die bisherigen Fördertatbestände "Schließung", "Konzentration" und "Umwandlung" werden geschärft und teilweise neu konturiert. Darüber hinaus ist die Förderung auf die IT-Sicherheit, die Vernetzung, die Zentrenbildung, die (integrierte) Notfallversorgung und die Ausbildung in der pflegerischen Versorgung hin ausgerichtet (§ 12a KHG und §§ 11-18 KHSFV). Das Bundesamt für Soziale Sicherung prüft die von den Ländern gestellten Förderanträge, entscheidet über die Bewilligung und zahlt die Mittel an die Länder aus.

Voraussetzung für die Förderung ist, dass sich die antragstellenden Länder, gegebenenfalls gemeinsam mit der zu fördernden Einrichtung, mit mindestens 50 Prozent der förderfähigen Kosten an dem Vorhaben beteiligen. Von dem nach Abzug der Aufwendungen maßgeblichen Förderbetrages kann jedes Land in den Jahren 2019 bis 2024 bis zu 95 Prozent des Anteils beantragen, der sich aus dem Königsteiner Schlüssel mit Stand vom 1. Oktober 2018 ergibt. Mit den verbleibenden 5 Prozent des Betrages können länderübergreifende Vorhaben gefördert werden.

Im Rahmen des Krankenhauszukunftsgesetzes sind sowohl Krankenhausbetriebe förderbar, die als Kritische Einrichtungen (KRITIS) definiert sind, als auch kleine Krankenhäuser. Eine Ausnahme betrifft die Förderung von Projekten, die ausschließlich der Verbesserung der IT-Sicherheit dienen. Solche Projekte können für KRITIS-Betreiber im Rahmen des KHZG nicht gefördert werden, da sie bereits durch den Krankenhausstrukturfond förderfähig sind.

 

Die DQS – der richtige Partner an Ihrer Seite

Als KRITIS-Betreiber zählen nicht nur die Benennung einer jederzeit erreichbaren Kontaktstelle und die Meldung erheblicher Störungen an das BSI zu Ihren Pflichten. Sie stehen auch vor der Aufgabe, die gesetzlichen Vorgaben in zuverlässige und sichere Prozesse zu integrieren und dem BSI gegenüber nachzuweisen. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, KRITIS-Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen, zum Beispiel ISO 27001, oder der vom BSI anerkannte Branchenspezifische Sicherheitsstandards zugelassen.

Als Spezialist für die Zertifizierung von Managementsystemen und Prozessen verbinden wir unser Expertenwissen mit dem Engagement für die Weiterentwicklung Ihrer Einrichtung. Als vom BSI zugelassene Prüfstelle stellen wir Ihnen gerne alle geforderten Kompetenzen für einen BSI-konformen Nachweis zur Verfügung:

  • spezielle Prüfverfahrenskompetenz
  • Auditkompetenz
  • IT-Sicherheitskompetenz
  • Branchenkompetenz 

Kleineren, vom § 75c SGB V betroffenen Krankenhäusern wird ebenfalls empfohlen, sich am B3S zu orientieren.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Gern beantworten wir Ihre Fragen

Informieren Sie sich. Ganz unverbindlich und kostenfrei.

Kontakt zur DQS. Wir sind für Sie da.

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail an: willkommen@dqs.de.

Autor
Nadja Götz

Produktmanagerin ISO 9001 sowie DQS-Expertin für Gesundheitsmanagementsysteme und BSI-KRITIS-Prüfungen, Auditorin und Produktmanagerin für diverse Qualitätsstandards der Rehabilitation sowie der stationären und ambulanten Versorgung.

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns