Prüfung der kritischen Infrastruktur für eine
Tiefgreifende Änderungen im Bereich des Gesundheitswesens erschweren es medizinischen Einrichtungen ihre Profitabilität aufrecht zu erhalten. Um alle Herausforderungen in einem dynamischen Markt bewältigen zu können, müssen medizinische Einrichtungen ihre Organisationsstrukturen, Strategien und Lösungen regelmäßig evaluieren und an die Bedürfnisse von Patienten, Leistungsbringern, Kostenträgern und Gesetzesgebern zielorientiert anpassen.
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit einer wichtigen Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Kritische Infrastrukturen sind unter anderem auf eine funktionierende IT sowie auf den Einrichtungen zur Aufrechterhaltung der Kommunikation und der Informationssicherheit angewiesen. Zum Schutz Kritischer Infrastrukturen wurde deshalb von staatlicher Seite das BSI-Gesetz (BSIG) geändert. Danach sind Betreiber Kritischer Infrastrukturen verpflichtet unter anderem angemessene organisatorische und technische Vorkehrungen zu treffen (§ 8a Abs. BSIG) und diese mindestens alle zwei Jahre in Form einer Prüfung durch eine extern unabhängige Prüfstelle nachzuweisen (§ 8a Abs. 3 BSIG).
Krankenhäuser und Kliniken werden in Deutschland ab 30.000 vollstationäre Behandlungsfälle pro Jahr zu den kritischen Infrastrukturen gezählt. Als Betreiber Kritischer Infrastrukturen sind sie dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) gegenüber verpflichtet, einen Nachweis zu erbringen, dass ihre IT-Systeme und IT-Prozesse abgesichert sind.
KRITIS retten Leben!
Ein Ausfall oder eine Beeinträchtigung können nachhaltige und erhebliche Störungen der betrieblichen Sicherheit und Verfügbarkeit bis hin zu einem Personenschaden nach sich ziehen.
Aus diesem Grund setzt sich die Deutsche Krankenhausgesellschaft aktiv unter anderem mit der Herausgabe eines branchenspezifischen Sicherheitsstandards (B3S) für die Verbesserung der IT-Sicherheit in den deutschen Krankenhäusern und Kliniken ein. Im branchenspezifischen Sicherheitsstandard (B3S) wurden die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik berücksichtigt. Ein B3S ist typischerweise kein von einer Normungsorganisation wie DIN oder ISO erstellter Standard, sondern ist ein “Sicherheitskonzept für kritische Infrastrukturen“, welches von Branchenvertretern gemeinsam definiert wurde und welches die Umsetzung von § 8a (1) BSIG bei den Betreibern kritischer Infrastrukturen unterstützt und geeignete Sicherheitsanforderungen bzw. Sicherheitsvorkehrungen zusammenstellt. Um den Schutz der kritischen Geschäfts- und Betriebsinformationen zu gewährleisten, müssen Risiken bewertet und Schwachstellen identifiziert werden. Die möglichen Maßnahmen zur Reduzierung von Risiken und Steigerung der Informationssicherheit müssen anschließend gezielt bestimmt, implementiert und auf deren Umsetzung überwacht werden.
Zu den entsprechenden Umsetzungsnachweisen zählen unter anderem Sicherheits- und Systemaudits, interne Prüfberichte zur kritischen Infrastruktur, Risikoanalysen, Auswertungen von Monitoring-Ergebnissen sowie Zertifizierungen. Für die Prüfungsvorbereitungen ist die Umsetzung der Anforderungen aus der anerkannten Norm ISO/IEC 27001 und/oder die Vorgaben aus dem vom BSI alternativ anerkannten “Branchenspezifische Sicherheitsstandard“ (B3S) sehr hilfreich.
Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern und Kliniken dient vor allem der Patientensicherheit.
Gerne beraten wir Sie zu diesem komplexen Thema und begleiten Sie durch die Prüfung gemäß § 8a BSIG, bei den Sicherheitsaudits sowie bei den Zertifizierungen.
Für ein erstes unverbindliches Beratungsgespräch stehen wir Ihnen gerne zur Verfügung.