kritis-sektor-gesundheit-dqs-frau sitzt am schreibtisch und arbeitet am computer im bereich gesundheit

KRITIS Sektor Ge­sund­heit

Ihre Anfrage


IT-Si­cher­heit in der Ge­sund­heits­ver­sor­gung

Auch Krankenhäuser, Pharma- und Medizinprodukte-Hersteller gehören zu den Kritischen In­fra­struk­tu­ren (KRI­TIS). Das IT-Sicherheitsgesetz verlangt deshalb den nach­weis­li­chen Schutz ihrer in­for­ma­ti­ons­tech­ni­schen Systeme, Kom­po­nen­ten und Prozesse. Um die ge­setz­li­chen An­for­de­run­gen gemäß §8a BSI-Gesetz zu erfüllen, haben Sie mehrere Möglichkeiten.

BSI-konformer Nachweis zur IT-Sicherheit

Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz

Verbesserte Versorgungssicherheit Ihrer kritischen Dienstleistung

Erhöhte IT-Sicherheit durch Absicherung nach dem Stand der Technik

Beschreibung Standard/Regelwerk

Was bedeutet KRITIS im Sektor Ge­sund­heit?

Zweck des IT-Si­cher­heits­ge­set­zes ist unter anderem der Schutz Kri­ti­scher In­fra­struk­tu­ren (KRI­TIS), die für das Funk­tio­nie­ren des Ge­mein­we­sens von zen­tra­ler Be­deu­tung sind. Im Sektor Ge­sund­heit gilt zum Beispiel ein Kran­ken­haus mit mehr als 30.000 vollstationären Fällen pro Jahr als KRI­TIS-Be­trei­ber.

Die Be­trei­ber von Kri­ti­schen In­fra­struk­tu­ren sind laut IT-Si­cher­heits­ge­setz (IT-SiG) seit Juni 2017 ver­pflich­tet, einen Min­dest­stan­dard an IT-Si­cher­heit ein­zu­hal­ten und er­heb­li­che IT-Sicherheitsvorfälle an das BSI (Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik) zu melden. Ent­spre­chen­de Um­set­zungs­nach­wei­se müssen alle zwei Jahre erbracht wer­den.

Ak­tu­ell sind neun Sektoren de­fi­niert, in denen Kri­ti­sche In­fra­struk­tu­ren zu finden sind: Ge­sund­heit, En­er­gie, Ernährung, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur, Transport und Verkehr, Staat und Ver­wal­tung sowie Was­ser.

mehr anzeigen
weniger anzeigen
Zielgruppe

Wer gilt als „Kri­ti­sche In­fra­st­uk­tur“ im Ge­sund­heits­we­sen?

Seit Juni 2017 gilt das IT-Si­cher­heits­ge­setz auch für die Ge­sund­heits­bran­che. Die Kri­tis-Ver­ord­nung (BSI-Kri­tisV) kon­kre­ti­siert die ge­setz­li­chen An­for­de­run­gen und de­fi­niert ver­bind­li­che Kri­te­ri­en und Schwel­len­wer­te für KRI­TIS-Be­trei­ber. So regelt die BSI-Kri­tisV nicht nur für Krankenhäuser, sondern auch für La­bo­ra­to­ri­en, Arz­nei­mit­tel­her­stel­ler, Apo­the­ken und Her­stel­ler von Me­di­zin­pro­duk­ten, wer unter das IT-Si­cher­heits­ge­setz fällt.

Bei Krankenhäusern sind dies alle Ein­rich­tun­gen, die min­des­tens 30.000 vollstationäre Fälle pro Jahr do­ku­men­tie­ren. Das sind in Deutsch­land rund 100 Krankenhäuser. Bei Her­stel­lern bzw. Ab­ga­be­stel­len für Me­di­zin­pro­duk­te liegt der Schwel­len­wert bei einem Jah­res­um­satz von min­des­tens 90,6 Mio. Euro. Apo­the­ken sind ab 4,65 Mio. ab­ge­ge­be­nen Pa­ckun­gen und Labore ab 1,5 Mio. Aufträgen be­trof­fen.

 

mehr anzeigen
weniger anzeigen
Mehrwert

BSI-kon­for­mer Nachweis durch die DQS

KRI­TIS-Be­trei­ber sind per Gesetz ver­pflich­tet, eine an­ge­mes­se­ne IT-Si­cher­heit zu gewährleisten, um ihre Systeme und Prozesse durch Vor­keh­run­gen nach dem Stand der Technik gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Ver­trau­lich­keit zu schützen. Ent­spre­chen­de Um­set­zungs­nach­wei­se können durch Si­cher­heits­au­dits, KRITIS-Prüfungen oder Zer­ti­fi­zie­run­gen er­fol­gen. Dafür sind entweder vom BSI an­er­kann­te „Branchenspezifische Sicherheitsstandards“ (B3S) zu­ge­las­sen oder al­ter­na­tiv be­stimm­te ISO-Nor­men.

So kann zum Beispiel auch ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem gemäß ISO 27001 ein ge­eig­ne­ter Lösungsansatz sein, um die ge­setz­li­chen IT-Si­cher­heits­an­for­de­run­gen in zuverlässige und sichere Prozesse zu in­te­grie­ren. Die in­ter­na­tio­nal an­er­kann­te Norm bildet ein gutes Fun­da­ment, um even­tu­el­le Be­dro­hun­gen auf­zu­de­cken und den Einsatz ak­tu­el­ler Si­cher­heits­sys­te­me gezielt steuern zu können.

Dabei steht für die KRI­TIS-Be­trei­ber keine punk­tu­el­le Um­set­zung im Mit­tel­punkt, sondern vielmehr die Aufgabe zur ziel­ge­rich­te­ten und nach­hal­ti­gen Ein­bin­dung der IT-Si­cher­heit in das be­stehen­de Ma­nage­ment­sys­tem – an Art und Umfang zur Größe der Or­ga­ni­sa­ti­on aus­ge­rich­tet sowie unter Ein­be­zie­hung von Umsatz- und Ergebnisgrößen und der Anzahl an Mit­ar­bei­tern.

Bei einer Nichterfüllung der ge­setz­li­chen An­for­de­run­gen sind Bußgelder bis zu einer Höhe von 100.000 Euro für das ver­ant­wort­li­che Ma­nage­ment möglich.

mehr anzeigen
weniger anzeigen
Wer darf zertifizieren

Wer darf eine KRI­TIS-Prü­fung im Ge­sund­heits­we­sen durch­füh­ren?

Für die „prüfende Stelle“ und deren Au­di­to­ren emp­fiehlt das BSI eine so­ge­nann­te „Spezielle Prüfverfahrenskompetenz für §8a BSI-Ge­setz (BSIG)“ als Qua­li­fi­ka­ti­ons­nach­weis. Die DQS ist an­er­kann­te Prüfstelle und ak­kre­di­tier­te Zer­ti­fi­zie­rungs­stel­le, unter anderem für ISO 27001. Gerne stellen wir Ihnen alle ge­for­der­ten Kom­pe­ten­zen für eine BSI-kon­for­me Prüfung zur Verfügung.

  • spe­zi­el­le Prüfverfahrenskompetenz
  • Auditkompetenz
  • IT-Sicherheitskompetenz
  • Branchenkompetenz
mehr anzeigen
weniger anzeigen
Business28.png

Wie läuft eine BSI-kon­for­me Prüfung gemäß § 8a (3) BSIG ab?

Der Ablauf der KRITIS-Prüfung basiert auf der BSI-Orientierungshilfe. Unser Angebot wird entsprechend diesen Vorgaben aufgebaut und mit Auditaufwänden versehen. Aufgrund unserer Erfahrungen bieten wir Ihnen eine KRITIS-Prüfung im Rahmen eines zweistufigen Verfahrens. Bei Interesse verknüpfen wir die KRITIS-Prüfung mit einer Zertifizierung gemäß ISO 27001. In diesem Fall erhalten Sie zusätzlich ein weltweit anerkanntes DQS-Zertifikat.

In Stufe 1 erfolgen insbesondere die Prüfung der Eignung des Geltungsbereiches sowie die Abstimmung und Erstellung des Prüfplans.

Alle weiteren Prüfschritte wie Dokumentenprüfung, Vor-Ort-Prüfung und Nachbereitung erfolgen in der Stufe 2. Nach der Prüfung erhalten Sie die entsprechenden Nachweise für das BSI.

kritis-gesundheit-schritte-dqs-grafische darstellung schritte kritis prüfung

 

Banking13.png

Was kostet eine KRI­TIS-Prü­fung gemäß § 8a (3) BSIG?

Auch wenn unsere KRITIS-Prüfung nach struk­tu­rier­ten Vorgaben durchgeführt wird, hängen die Kosten von un­ter­schied­li­chen Faktoren ab. So spielt es zum Beispiel eine wichtige Rolle, ob bereits ein zer­ti­fi­zier­tes Ma­nage­ment­sys­tem eingeführt wurde. Darüber hinaus haben die Größe Ihres Un­ter­neh­mens bzw. Ihrer Ein­rich­tung sowie dessen Komplexität Einfluss auf die Dauer der Prüfung und den Preis. Aus diesen Gründen lassen sich die Kosten nicht pauschal be­nen­nen. Wir machen Ihnen gerne ein in­di­vi­du­el­les Angebot für Ihr Un­ter­neh­men oder Ihre Or­ga­ni­sa­ti­on.

Business2.png

Das können Sie von uns erwarten

  • Spezielle Prüfverfahrenskompetenz ent­spre­chend §8a BSI-Ge­setz
  • Mehr als 35 Jahre Er­fah­rung in der Zer­ti­fi­zie­rung von Ma­nage­ment­sys­te­men und Prozessen
  • Wertschöpfende Ein­bli­cke in die IT-Si­cher­heit Ihres Un­ter­neh­mens bzw. Ihrer Ein­rich­tung
  • Zer­ti­fi­ka­te mit in­ter­na­tio­na­ler Ak­zep­tanz
  • Pra­xis­er­fah­re­ne Au­di­to­ren mit hoher Branchenkompetenz
  • Persönliche, rei­bungs­lo­se Be­treu­ung durch unsere Spe­zia­lis­ten – re­gio­nal, national und in­ter­na­tio­nal
  • In­di­vi­du­el­le Angebote mit fle­xi­blen Ver­trags­lauf­zei­ten ohne ver­steck­te Kos­ten
mehr anzeigen
weniger anzeigen
philipp tesar-dqs-contact person

An­ge­bots­an­fra­ge

Ihr An­sprech­part­ner Philipp Tesar

„Gerne er­stel­len wir Ihnen ein maßgeschneidertes Angebot für die KRITIS-Prüfung.“

Ihre Anfrage

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns