kritis-sektor-gesundheit-dqs-frau sitzt am schreibtisch und arbeitet am computer im bereich gesundheit

KRITIS Sektor Gesundheit

Ihre Anfrage


IT-Sicherheit in der Gesundheitsversorgung

Auch Krankenhäuser, Pharma- und Medizinprodukte-Hersteller gehören zu den Kritischen Infrastrukturen (KRITIS). Das IT-Sicherheitsgesetz verlangt deshalb den nachweislichen Schutz ihrer informationstechnischen Systeme, Komponenten und Prozesse. Um die gesetzlichen Anforderungen gemäß §8a BSI-Gesetz zu erfüllen, haben Sie mehrere Möglichkeiten.

BSI-konformer Nachweis zur IT-Sicherheit

Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz

Verbesserte Versorgungssicherheit Ihrer kritischen Dienstleistung

Erhöhte IT-Sicherheit durch Absicherung nach dem Stand der Technik

Beschreibung Standard/Regelwerk

Was bedeutet KRITIS im Sektor Gesundheit?

Zweck des IT-Sicherheitsgesetzes ist unter anderem der Schutz Kritischer Infrastrukturen (KRITIS), die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind. Im Sektor Gesundheit gilt zum Beispiel ein Krankenhaus mit mehr als 30.000 vollstationären Fällen pro Jahr als KRITIS-Betreiber.

Die Betreiber von Kritischen Infrastrukturen sind laut IT-Sicherheitsgesetz (IT-SiG) seit Juni 2017 verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten und erhebliche IT-Sicherheitsvorfälle an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden. Entsprechende Umsetzungsnachweise müssen alle zwei Jahre erbracht werden.

Aktuell sind neun Sektoren definiert, in denen Kritische Infrastrukturen zu finden sind: Gesundheit, Energie, Ernährung, Finanz- und 
Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur, Transport und Verkehr, Staat und Verwaltung sowie Wasser.

mehr anzeigen
weniger anzeigen
Zielgruppe

Wer gilt als „Kritische Infrastuktur“ im Gesundheitswesen?

Seit Juni 2017 gilt das IT-Sicherheitsgesetz auch für die Gesundheitsbranche. Die Kritis-Verordnung (BSI-KritisV) konkretisiert die gesetzlichen Anforderungen und definiert verbindliche Kriterien und Schwellenwerte für KRITIS-Betreiber. So regelt die BSI-KritisV nicht nur für Krankenhäuser, sondern auch für Laboratorien, Arzneimittelhersteller, Apotheken und Hersteller von Medizinprodukten, wer unter das IT-Sicherheitsgesetz fällt.

Bei Krankenhäusern sind dies alle Einrichtungen, die mindestens 30.000 vollstationäre Fälle pro Jahr dokumentieren. Das sind in Deutschland rund 100 Krankenhäuser. Bei Herstellern bzw. Abgabestellen für Medizinprodukte liegt der Schwellenwert bei einem Jahresumsatz von mindestens 90,6 Mio. Euro. Apotheken sind ab 4,65 Mio. abgegebenen Packungen und Labore ab 1,5 Mio. Aufträgen betroffen.

kritis-gesundheit-schwellenwerte-dqs-grafische darstellung it sicherheitsgesetz unternehmen organisation schwellenwerte

 

mehr anzeigen
weniger anzeigen
Mehrwert

BSI-konformer Nachweis durch die DQS

KRITIS-Betreiber sind per Gesetz verpflichtet, eine angemessene IT-Sicherheit zu gewährleisten, um ihre Systeme und Prozesse durch Vorkehrungen nach dem Stand der Technik gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu schützen. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, KRITIS-Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder vom BSI anerkannte „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen oder alternativ bestimmte ISO-Normen.

So kann zum Beispiel auch ein Informationssicherheits-Managementsystem gemäß ISO 27001 ein geeigneter Lösungsansatz sein, um die gesetzlichen IT-Sicherheitsanforderungen in zuverlässige und sichere Prozesse zu integrieren. Die international anerkannte Norm bildet ein gutes Fundament, um eventuelle Bedrohungen aufzudecken und den Einsatz aktueller Sicherheitssysteme gezielt steuern zu können.

Dabei steht für die KRITIS-Betreiber keine punktuelle Umsetzung im Mittelpunkt, sondern vielmehr die Aufgabe zur zielgerichteten und nachhaltigen Einbindung der IT-Sicherheit in das bestehende Managementsystem – an Art und Umfang zur Größe der Organisation ausgerichtet sowie unter Einbeziehung von Umsatz- und Ergebnisgrößen und der Anzahl an Mitarbeitern.

Bei einer Nichterfüllung der gesetzlichen Anforderungen sind Bußgelder bis zu einer Höhe von 100.000 Euro für das verantwortliche Management möglich.

mehr anzeigen
weniger anzeigen
Wer darf zertifizieren

Wer darf eine KRITIS-Prüfung im Gesundheitswesen durchführen?

Für die „prüfende Stelle“ und deren Auditoren empfiehlt das BSI eine sogenannte „Spezielle Prüfverfahrenskompetenz für §8a BSI-Gesetz (BSIG)“ als Qualifikationsnachweis. Die DQS ist anerkannte Prüfstelle und akkreditierte Zertifizierungsstelle, unter anderem für ISO 27001. Gerne stellen wir Ihnen alle geforderten Kompetenzen für eine BSI-konforme Prüfung zur Verfügung.

  • spezielle Prüfverfahrenskompetenz
  • Auditkompetenz
  • IT-Sicherheitskompetenz
  • Branchenkompetenz
mehr anzeigen
weniger anzeigen
Business28.png

Wie läuft eine BSI-konforme Prüfung gemäß § 8a (3) BSIG ab?

Der Ablauf der KRITIS-Prüfung basiert auf der BSI-Orientierungshilfe. Unser Angebot wird entsprechend diesen Vorgaben aufgebaut und mit Auditaufwänden versehen. Aufgrund unserer Erfahrungen bieten wir Ihnen eine KRITIS-Prüfung im Rahmen eines zweistufigen Verfahrens. Bei Interesse verknüpfen wir die KRITIS-Prüfung mit einer Zertifizierung gemäß ISO 27001. In diesem Fall erhalten Sie zusätzlich ein weltweit anerkanntes DQS-Zertifikat.

In Stufe 1 erfolgen insbesondere die Prüfung der Eignung des Geltungsbereiches sowie die Abstimmung und Erstellung des Prüfplans.

Alle weiteren Prüfschritte wie Dokumentenprüfung, Vor-Ort-Prüfung und Nachbereitung erfolgen in der Stufe 2. Nach der Prüfung erhalten Sie die entsprechenden Nachweise für das BSI.

kritis-gesundheit-schritte-dqs-grafische darstellung schritte kritis prüfung

 

Banking13.png

Was kostet eine KRITIS-Prüfung gemäß § 8a (3) BSIG?

Auch wenn unsere KRITIS-Prüfung nach strukturierten Vorgaben durchgeführt wird, hängen die Kosten von unterschiedlichen Faktoren ab. So spielt es zum Beispiel eine wichtige Rolle, ob bereits ein zertifiziertes Managementsystem eingeführt wurde. Darüber hinaus haben die Größe Ihres Unternehmens bzw. Ihrer Einrichtung sowie dessen Komplexität Einfluss auf die Dauer der Prüfung und den Preis. Aus diesen Gründen lassen sich die Kosten nicht pauschal benennen. Wir machen Ihnen gerne ein individuelles Angebot für Ihr Unternehmen oder Ihre Organisation.

Business2.png

Das können Sie von uns erwarten

  • Spezielle Prüfverfahrenskompetenz entsprechend §8a BSI-Gesetz
  • Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
  • Wertschöpfende Einblicke in die IT-Sicherheit Ihres Unternehmens bzw. Ihrer Einrichtung
  • Zertifikate mit internationaler Akzeptanz
  • Praxiserfahrene Auditoren mit hoher Branchenkompetenz
  • Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
  • Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
mehr anzeigen
weniger anzeigen
philipp tesar-dqs-contact person

Angebotsanfrage

Ihr Ansprechpartner Philipp Tesar

„Gerne erstellen wir Ihnen ein maßgeschneidertes Angebot für die KRITIS-Prüfung.“

Ihre Anfrage

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns