B3S für die Ge­sund­heits­ver­sor­gung im Kran­ken­haus

Der seit Ende 2018 von der Deutschen Krankenhausgesellschaft veröffentlichte Branchenspezifische Sicherheitsstandard – B3S – für die Gesundheitsversorgung im Krankenhaus bietet dem betroffenen KRITIS-Krankenhaus eine geeignete Orientierungshilfe zur Einhaltung der gesetzlich vorgeschriebenen Maßnahmen und zur Nachweisführung nach dem IT-Sicherheitsgesetz. Die Eignung des B3S wurde am 22. Oktober 2019 vom BSI (Bundesamt für die Sicherheit in der Informationstechnik) offiziell festgestellt.

B3S Krankenhaus: Informationssicherheits-Managementsystem als Basis

Die Grundlage des B3S Krankenhaus ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), das grundlegende Vorteile für die Umsetzung eines transparenten Sicherheitsstandards bietet. Die aufgeführten Handlungsempfehlungen richten sich nach den Vorgaben des BSI und orientieren sich eng an den Anforderungen der internationalen Normen für Informationssicherheit  ISO 27001 (Anhang A) und ISO 27799.

Damit steht der anerkannte branchenspezifische Sicherheitsstandard für die medizinische Versorgung auch „den kleineren Kliniken, die nicht als KRITIS-Betreiber reguliert sind, zur Verfügung und sollte als Maßstab für die Umsetzung angemessener IT-Sicherheitsmaßnahmen dienen“, so das BSI in seiner Presseerklärung vom 23.10.2019. Der B3S Krankenhaus steht auf der Internetseite der Deutschen Krankenhausgesellschaft (DKG) kostenfrei als Download zur Verfügung.

IT-Sicherheitsgesetz: Krankenhäuser als kritische Infrastrukturen

Das Gesundheitswesen steht vor einer neuen, äußerst anspruchsvollen Aufgabe: der sinnvollen Gestaltung der Digitalisierung ihrer Branche. Die Digitalisierung ist die Zukunft – daran besteht kein Zweifel! Aber sie birgt auch Risiken, was zahlreiche Vorfälle aus den letzten Jahren verdeutlichen. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS). Hier hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für die Gesellschaft.

Auch Krankenhäuser gehören ab einer gewissen Größe (30.000 vollstationäre Behandlungsfälle pro Jahr) zu den Kritischen Infrastrukturen des Landes. Das IT-Sicherheitsgesetz verlangt deshalb angemessene Schutzmaßnahmen. Es verpflichtet KRITIS-Betreiber, technische und organisatorische Maßnahmen zu ergreifen, um ihre IT-Systeme und IT-Prozesse nach dem „Stand der Technik“ abzusichern. Entsprechende Nachweise über den „Stand der Technik“ sind alle zwei Jahre dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) gegenüber zu erbringen.

KRITIS-Prüfung: Wie kann ein BSI-konformer Nachweis erfolgen?

Der Umsetzungsnachweis gegenüber dem BSI kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Als Prüfgrundlage sind entweder anerkannte Normen, z.B. ISO 27001, oder alternativ B3S (KRITIS-Prüfung) zugelassen, die von KRITIS-Betreibern und ihren Verbänden erarbeitet wurden.

Die DQS ist vom BSI anerkannte Prüfstelle mit spezieller Prüfverfahrenskompetenz und akkreditierte Zertifizierungsstelle, u.a. für ISO 27001. Aufbauend auf unseren Erfahrungen aus anderen KRITIS-Sektoren wie z.B. Wasser, Energie und Transport, bieten wir Ihnen eine BSI-konforme Prüfung im Rahmen eines zweistufigen Verfahrens.

In Stufe 1 erfolgen die Eignungsprüfung des Geltungsbereiches sowie die Abstimmung und Erstellung des Prüfplans. Die weiteren Prüfschritte erfolgen in der Stufe 2. Nach der Prüfung erhalten Sie die entsprechenden Nachweise für das BSI. Der Ablauf der KRITIS-Prüfung basiert auf der BSI-Orientierungshilfe zu Nachweisen gemäß § 8a BSIG.

Förderungen für IT-Sicherheit im Krankenhaus

Der Bund hat das Thema IT-Sicherheit 2019 als neuen Fördertatbestand in den Krankenhausstrukturfonds (KHSF) aufgenommen. Für die aktuelle Förderperiode bis 2024 stehen jährlich 500 Millionen Euro zur Verfügung, in Summe rund 4 Mrd. Euro.

Allerdings werden im Rahmen des Krankenhausstrukturfonds lediglich Krankenhäuser gefördert, die als KRITIS-Betreiber gelten.

Krankenhausbetriebe, die nicht unter die BSI-Kritisverordnung fallen, können stattdessen Fördergelder aus dem Krankenhauszukunftsfonds beziehen, der im Rahmen des Krankenhauszukunftsgesetzes 2020 eingerichtet wurde. Im September 2020 hat die Bundesregierung das neue Krankenhauszukunftsgesetz (KHZG) zur Förderung der Digitalisierung in Krankenhäusern verabschiedet. Die Fördergelder betragen 4,3 Milliarden Euro und die Beantragung ist noch bis Dezember 2021 möglich. Die Bewilligung dieser Fördergelder ist an die Verbesserung der IT-Sicherheit geknüpft: Mindestens 15 Prozent des Geldes müssen investiert werden, um die IT-Security zu erhöhen. 

Das Bundesamt für Soziale Sicherung (BAS) empfiehlt Krankenhäusern, von Anfang an einen nach § 21 Absatz 5 Satz 1 KHSFV (Krankenhausstrukturfonds-Verordnung) berechtigten IT-Dienstleister in die Projektplanung einzubeziehen, da im Rahmen der Antragstellung verschiedene Nachweise zu erbringen sind. 

Ausnahme für KRITIS-Krankenhäuser

Im Rahmen des KHZG sind sowohl Krankenhausbetriebe förderbar, die als Kritische Einrichtungen (KRITIS) definiert sind, als auch Krankenhäuser, die nicht unter diese Definition fallen. Eine Ausnahme betrifft die Förderung von Projekten, die ausschließlich der Verbesserung der IT-Sicherheit dienen. Solche Projekte können für KRITIS-Krankenhäuser im Rahmen des Krankenhauszukunftsgesetzes NICHT gefördert werden, da sie bereits durch den Krankenhausstrukturfonds förderfähig sind. 

DQS. The Audit Company.

Die DQS wurde im Jahr 1985 als erste Zertifizierungsgesellschaft Deutschlands gegründet. Seit dieser Zeit zählen wir zu den führenden Auditspezialisten und Zertifizierern weltweit. Die Gründungsgesellschafter DGQ (Deutsche Gesellschaft für Qualität e.V.) und DIN (Deutsches Institut für Normung e.V.) sind wichtige Partner für die Aus- und Weiterbildung sowie die Normungsarbeit. So arbeiten wir aktiv für unsere Kunden in Ausschüssen und Gremien mit und bringen unser Expertenwissen in unsere Audits ein. Der Grundstein für unseren Ruf als kompetenter Partner im Gesundheits- und Sozialwesen wurde mit der ersten erfolgreichen Zertifizierung im Jahr 1993 gelegt.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: [email protected]

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.