Mit der zunehmenden Digitalisierung, durch die eine moderne Patientenversorgung und Effizienzverbesserungen vieler Abläufe in Krankenhäusern erst ermöglicht werden, steigt leider auch das Schadens- und Ausfallrisiko der Krankenhäuser bei zunehmenden Cyberangriffen und anderen IT-Sicherheitsvorfällen.
Um dieser permanenten Bedrohung ein möglichst hohes Maß an IT-Sicherheit entgegenstellen, wird die Bundesregierung nicht müde, die Gesetzgebung zur IT-Sicherheit regelmäßig zu erweitern und zu verschärfen.
Aufbauend auf dem im Juli 2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) wurden zum 30. Juni 2017 mit der BSI-Kritis-Verordnung Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr als Betreiber von Kritischen Infrastrukturen (KRITIS) eingestuft. Diese KRITIS-Krankenhäuser sind nach
§ 8a BSIG verpflichtet, die für die Erbringung ihrer Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und diese Sicherheit mindestens alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen.
Im Oktober 2020 wurden dann mit dem Patientendaten-Schutz-Gesetz erneut Anpassungen in Bezug auf die IT-Sicherheit vorgenommen, die im § 75c SGB V konkretisiert wurden. In der Folge sind ab dem 1. Januar 2022 nunmehr alle Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, der Integrität und der Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.
Der „Stand der Technik“ wurde mit dem „Branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus“ im Sinne des BSI-Gesetzes im Oktober 2019 freigegeben und dient seitdem allen Krankenhäusern als anerkannte Leitlinie zur Erhöhung ihrer IT-Sicherheit.
Damit ab dem 1. Januar 2022 auch die Nicht-KRITIS Krankenhäuser den Anforderungen des IT-Sicherheitsgesetzes entsprechen, empfiehlt es sich, zur Erhöhung der IT-Sicherheit ein Informationssicherheitsmanagementsystem (ISMS) gemäß dem B3S zur Planung, Umsetzung und Überwachung der technischen und organisatorischen Maßnahmen zur IT-Sicherheit einzuführen.
Dabei werden im Rahmen einer B3S basierten ISMS-Implementierung neben einer klaren Verantwortungszuordnung beim Management zur krankenhausweiten Informationssicherheit auch die Informationssicherheitsziele an den Unternehmenszielen des Krankenhauses ausgerichtet und definiert. Im Zuge einer Risikoanalyse werden die Informationssicherheitsrisiken und die besonders schützenswerten Informationen identifiziert und die erforderlichen Maßnahmen zur Reduzierung der Risiken und zur Erfüllung der Informationssicherheitsziele entwickelt und umgesetzt. Letztendlich muss die Informationssicherheit in den Strukturen und Prozessen des Krankenhauses verankert werden und die Wirksamkeit der Maßnahmen zur Informationssicherheit regelmäßig geprüft und kontinuierlich verbessert werden.
In der Konsequenz trägt so die Implementierung eines ISMS einen sehr großen Beitrag zur Nachhaltigkeit jedes Krankenhauses bei, indem es vor vermeidbaren IT-Sicherheitsvorfällen schützt und den verstärkten Einsatz von Digitalisierung, innovativer Medizintechnik, Plattformen und Portalen sicherer macht.
Sollten Sie und Ihr Krankenhaus Unterstützung bei der ISMS-Implementierung benötigen, kontaktieren Sie uns gerne. Wir stehen Ihnen mit unserem Beratungsangebot zur Verfügung. Jetzt Kontakt aufnehmen!