Kritis-„Light” (§ 391 SGB V)

PrintMailRate-it
Banner Kritis Light  

Durch § 391 SGB V müssen alle Krankenhäuser nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen umsetzen, um die Funktionsfähigkeit des jeweiligen Krankenhauses zu gewährleisten und die verarbeiteten Patienteninformationen zu schützen.

Die Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht. Die Begründung für eine Nicht-Umsetzung dürfte damit sehr schwer sein und mögliche rechtliche Folgen nach sich ziehen, sollte es zu einem Zwischenfall kommen. 
 

Werden alle Krankenhäuser zu Kritis-Häusern? 

​Die Verpflichtung zur Umsetzung der IT-Sicherheit gilt für Krankenhäuser aller Größen, nicht nur für Maximalversorger, Universitätskliniken oder Häuser der Kritischen Infrastruktur. Bisher waren ausschließlich Universitätskliniken und Maximalversorger als sog. kritische Infrastrukturen durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) betroffen. Kleinere Krankenhäuser stehen daher vor großen Herausforderungen, da neben technischen Anpassungen und Investitionen auch Anpassungen an internen Verfahren notwendig werden. 
 
Gleichzeitig ist die Personalausstattung in der Regel ohnehin angespannt und die Möglichkeiten Personal zu beschaffen und langfristig zu binden sind insbesondere im öffentlichen Bereich begrenzt. Umso wichtiger ist es dieses Thema möglichst gezielt und ressourceneffizient anzugehen. 
 

Wo liegt der Unterschied? 

Zum aktuellen Zeitpunkt ist für Nicht-Kritis-Häuser kein Nachweis über die Umsetzung im Rahmen von zweijährlichen Prüfungen gegenüber dem BSI geplant Dabei handelt es sich jedoch um eine Momentaufnahme. Seit Veröffentlichung der Kritis-Verordnung wird mit einer sukzessiven Erweiterung des Kreises der Betreiber kritischer Infrastrukturen durch Senkung der Schwellenwerte gerechnet. Nichtsdestotrotz macht eine freiwillige Prüfung, beispielsweise auf Basis des branchenspezifischen Sicherheitsstandards, für alle Krankenhäuser Sinn. Hierdurch können wesentliche Schwachstellen und Angriffspunkte ​frühzeitig aufgedeckt und nachgebessert werden. 
 
Einen Ausfall der medizinischen IT-Systeme können und dürfen sich große wie kleine Krankenhäuser nicht erlauben. Gut, wenn man vorher nachweislich durch ein Audit Auswirkungen und Wahrscheinlichkeiten von Schadensereignissen auf ein akzeptables Maß reduzieren konnte.
​​

 

 

Zurück zur Kritis Übersicht 

 

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Contact Person Picture

Jonas Buckel

B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW

Manager

+49 911 9193 3627

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu