Das Business Continuity Management

PrintMailRate-it
Business Continuity Management in Krankenhäusern
​​​​​​​​​​​​​​​In Krisenzeiten müssen die Betriebsprozesse in Krankenhäusern widerstandsfähig gegen innere sowie äußere Einflüsse sein, um die kontinuierliche Versorgung der Patienten zu gewährleisten. Genau hier greift das Business Continuity Management (BCM) oder auch Notfallmanagement genannt. Das BCM stellt sicher, dass bei krisenbedingten Betriebsunterbrechungen die Krankenversorgung in einem akzeptablen Zeitrahmen wiederhergestellt wird.

 
Die jüngsten Erfahrungen mit der Verwundbarkeit von Gesellschaft und Gesundheitssystem durch Erreger wie Covid-19 machen uns die Abhängigkeiten von (IT-)Technik, Organisation und Personal mehr als deutlich. Der in der Vergangenheit oftmals im Fokus stehende „Wasserrohrschaden” im Serverraum tritt deutlich in den Hintergrund. Und dies nicht nur wegen Covid-19, sondern insbesondere auch aufgrund zunehmender Cybersecurity-Risiken und der wachsenden Abhängigkeit von digitalisierten Prozessen in der Krankenversorgung.
 
Ein wirksames und praktikables BCM soll sicherstellen, dass Krankenhäuser in Krisen- oder Notfällen in der Lage sind, ihre zeitkritischen Tätigkeiten auf einem Mindestniveau (Notbetrieb) fortzusetzen und eine schnelle Wiederherstellung des Normalbetriebs zu gewährleisten – verlässlich, routiniert und ohne große Folgeschäden.
 

Relevanz des BCM im Rahmen von KRITIS und § 391 SGB V

Große Krankenhäuser gehören zur Kritischen Infrastruktur (KRITIS) und unterliegen daher besonderen Anforderungen. Aber auch für kleinere Häuser wird durch § 391 des Sozialgesetzbuches V (SGB V) festgelegt, dass sie IT-Sicherheit nach dem Stand der Technik gewährleisten müssen. Ein umfassendes BCM, das auch IT-Notfallmanagement einschließt, ist somit nicht nur aus organisatorischer Sicht essenziell, sondern auch gesetzlich vorgeschrieben.
 

Den aktuellen Umsetzungsgrad des eigenen IT-Notfallmanagements ermitteln

Ist noch kein vollständiges IT-Notfallmanagement etabliert, sollte zunächst der Umsetzungsgrad hinsichtlich erfolgskritischer Faktoren für das Krankenhaus untersucht werden. Dies kann z.B. über eine Checkliste erfolgen und sollte mindestens die folgenden Bereiche abdecken:
  • ​Umsetzungsgrad der IT-Notfallmanagement-Prozesse in den Bereichen Notfallvorsorge und Notfallbewältigung
  • Regelungsbedarfe bezüglich Personal und Organisation
  • Regelungsbedarfe im Hinblick auf Technik und Dokumentation
  • Regelungsbedarfe hinsichtlich IT-Dienstleister
  • Umgang mit Cloud und Outsourcing
  • Umgang mit IT-Projekten
 
Auf dieser Grundlage kann die Planung der weiteren Maßnahmen erfolgen und das IT-Notfallmanagement schrittweise ausgebaut werden.
 

Anforderungen an das IT-Notfallmanagement

Wie das unternehmensweite Notfallmanagement muss auch das IT-Notfallmanagement bestehende Risiken betrachten, die für das Krankenhaus existenzgefährdend sind. Der IT-Notfallmanagementprozess muss dabei drei wesentliche Zielsetzungen sicherstellen:
  • ​​​die Prävention, die ein geplantes und strukturiertes Vorgehen zur Erhöhung der Widerstandsfähigkeit einer Organisation gegen bestehende Gefahren beinhaltet,
  • die zielgerichtete und gut geplante Reaktion auf Schadensereignisse sowie
  • die schnellstmögliche Wiederherstellung der Geschäftstätigkeiten, nachdem ein Notfall oder eine Krise eingetre​ten ist.
 

Die Vorgehensweise zur Etablierung eines IT-Notfallmanagements

Die Ziele sowie Strategien im IT-Notfallmanagement werden durch die Krankenhausleitung in einer IT-Notfallmanagement-Leitlinie beschrieben, gleichzeitig übernimmt sie die Gesamtverantwortung und verpflichtet sich, die erforderlichen Ressourcen für ein anforderungskonformes Notfallmanagement bereitzustellen. Auf dieser Basis erfolgt der Aufbau der IT-Notfallvorsorge, bestehend aus Richtlinien, Konzepten und vorbereitenden Maßnahmen. Darin ist u.a. auch die Notfallorganisation zu beschreiben. Ein weiterer kritischer Erfolgsfaktor ist die Business Impact Analyse (BIA). Sie ermittelt, für welche kritischen Prozesse das IT-Notfallmanagement zu etablieren ist, welche Ressourcen hierfür benötigt werden und welche Notfallpläne deshalb erstellt werden müssen. Die Notfallpläne stellen – zusammen mit Geschäftsfortführungs- oder Wiederanlaufplänen – die IT-Notfallbewältigung sicher und unterstützen den Notfallstab oder die Krisenteams in ihren Handlungen. Über einen PDCA-Zyklus (Plan-Do-Check-Act) wird sichergestellt, dass das IT-Notfallmanagement getestet, angepasst und weiterentwickelt wird.
 

Integration von BCM und IT-Notfallmanagement in die Krankenhausinfrastruktur 

Die Einhaltung der gesetzlichen Anforderungen aus KRITIS und § 391 SGB V erfordert eine nahtlose Integration von BCM und IT-Notfallmanagement in die gesamte Krankenhausinfrastruktur. Dies umfasst die regelmäßige Schulung des Personals, die fortlaufende Aktualisierung der technischen und organisatorischen Maßnahmen sowie die Durchführung von regelmäßigen Notfallübungen, um die Wirksamkeit der Notfallpläne zu überprüfen und sicherzustellen, dass das Krankenhaus auf alle Arten von Krisen vorbereitet ist. Nur durch diese ganzheitliche Herangehensweise kann die Sicherheit und Kontinuität der Krankenversorgung auch in Krisenzeiten gewährleistet werden.


Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu