Kritis-„Light” (§ 391 SGB V)

Die Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht. Die Begründung für eine Nicht-Umsetzung dürfte damit sehr schwer sein und mögliche rechtliche Folgen nach sich ziehen, sollte es zu einem Zwischenfall kommen. 
 

Werden alle Krankenhäuser zu Kritis-Häusern? 

​Die Verpflichtung zur Umsetzung der IT-Sicherheit gilt für Krankenhäuser aller Größen, nicht nur für Maximalversorger, Universitätskliniken oder Häuser der Kritischen Infrastruktur. Bisher waren ausschließlich Universitätskliniken und Maximalversorger als sog. kritische Infrastrukturen durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) betroffen. Kleinere Krankenhäuser stehen daher vor großen Herausforderungen, da neben technischen Anpassungen und Investitionen auch Anpassungen an internen Verfahren notwendig werden. 
 
Gleichzeitig ist die Personalausstattung in der Regel ohnehin angespannt und die Möglichkeiten Personal zu beschaffen und langfristig zu binden sind insbesondere im öffentlichen Bereich begrenzt. Umso wichtiger ist es dieses Thema möglichst gezielt und ressourceneffizient anzugehen. 
 

​

Wo liegt der Unterschied? 

Zum aktuellen Zeitpunkt ist für Nicht-Kritis-Häuser kein Nachweis über die Umsetzung im Rahmen von zweijährlichen Prüfungen gegenüber dem BSI geplant Dabei handelt es sich jedoch um eine Momentaufnahme. Seit Veröffentlichung der Kritis-Verordnung wird mit einer sukzessiven Erweiterung des Kreises der Betreiber kritischer Infrastrukturen durch Senkung der Schwellenwerte gerechnet. Nichtsdestotrotz macht eine freiwillige Prüfung, beispielsweise auf Basis des branchenspezifischen Sicherheitsstandards, für alle Krankenhäuser Sinn. Hierdurch können wesentliche Schwachstellen und Angriffspunkte ​frühzeitig aufgedeckt und nachgebessert werden. 
 
Einen Ausfall der medizinischen IT-Systeme können und dürfen sich große wie kleine Krankenhäuser nicht erlauben. Gut, wenn man vorher nachweislich durch ein Audit Auswirkungen und Wahrscheinlichkeiten von Schadensereignissen auf ein akzeptables Maß reduzieren konnte.
​​