Das IT-Sicherheitsgesetz ist in Kraft getreten. Es wird Zeit zu handeln!

veröffentlicht am 23. November 2015

In der Ausgabe 05/2015 haben wir bereits über das neue IT-Sicherheitsgesetz berichtet. Das IT-Sicherheitsgesetz (ITSiG) wurde mittlerweile vom Bundesrat verabschiedet und ist am 24. Juli 2015 mit Veröffentlichung im Bundesgesetzblatt in Kraft getreten. Damit kommen für das Gesundheitswesen, als ein Bestandteil des KRITIS-Sektors (kritische Infrastruktur) „Gesundheit”, einige Handlungsfelder dazu. Da die Formulierung „von hoher Bedeutung für das Funktionieren des Gemeinwesens” sehr weit gefasst ist, wird vermutlich erst durch die Rechtsprechung entschieden werden, welche kritischen Infrastrukturen im Gesundheitswesen darunter fallen. Es ist aber zu erwarten, dass nach der Verabschiedung des ersten Branchenstandards für den KRITIS-Sektor „Energie” eine neue Dynamik in die Definition eines solchen Standards für den Sektor „Gesundheit” folgen wird. Derzeit werden im Rahmen eines Branchenkreises des Bundesverbands der IT-Leiterinnen/ IT-Leiter e.V. die Anforderungen nach dem ITSiG ausgearbeitet.

Was wird nach dem IT-Sicherheitsgesetz gefordert?

Ziel des ITSiG ist die Verbesserung des Schutzes kritischer Infrastrukturen vor Angriffen aus dem Netz in Deutschland sowie die Definition und Implementierung von branchenspezifischen Mindeststandards. Hierzu müssen die Betreiber organisatorische und technische Maßnahmen zur Vermeidung von Störungen treffen. Diese Mindeststandards müssen nach Implementierung alle zwei Jahre auditiert und überprüft werden. Gleichzeitig muss die Technik auf dem neuesten Stand gehalten werden.

Für den KRITIS-Sektor „Gesundheit” können Krankenhäuser explizit dazugerechnet werden, da diese für die medizinische Versorgung in Deutschland verantwortlich sind. Des Weiteren sollen IT-Sicherheitsvorfälle an eine zentrale Stelle beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Die Kommunikation mit dem BSI soll mittels eines IT-Sicherheitsbeauftragtem mit entsprechender IT-Expertise bei den KRITIS-Betreibern erfolgen.

Aus dem aktuellen Diskussionsstand der Betreiber kritischer Infrastrukturen wird als Mindeststandard die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach DIN ISO/IEC 27001 gefordert. Hierbei sollten sich explizit größere Krankenhaus-betreiber mit der Thematik ISMS auseinandersetzten, denn eine Einführung eines solchen Systems erfordert einiges an Vorlaufzeit und Vorbereitung.

Es kann festgehalten werden, dass für die Umsetzung nur wenig Zeit bleibt. Rödl & Partner unterstützt die Betreiber kritischer Infrastrukturen bei der Bestimmung der spezifischen Reifegrade in Bezug auf das ISMS und leitet einen individuellen Projektplan für dessen Einführung ab. Ebenfalls kann Rödl & Partner das Projektcontrolling für eine erfolgreiche Einführung des ISMS durchführen.

Aus dem Newsletter

Kompass Gesundheit und Soziales

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Wie beraten Sie gern!

Gesundheit und Soziales