Prüfungen nach § 8a BSIG, NIS-2UMsuCG und § 391 SGB V: Gesundheits- und Sozialwirtschaft

PrintMailRate-it
Prüfung kritischer Infrastrukturen (KRITIS): Gesundheits- und Sozialwirtschaft

Die Regelungen in § 8a BSIG , NIS-2UMsuCG und § 391 SGB V beschäftigen sich grundsätzlich mit der Pflicht, organisatorische und technische Vorkehrungen zu treffen, die nach dem Stand der Technik angemessen sind. Diese sollen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse vermeiden. Diese Maßnahmen sind entscheidend für die Funktionsfähigkeit der jeweiligen erbrachten Dienstleistung und den Schutzbedarf der verarbeiteten Patienteninformationen. 

 

IT-Sicherheit im Krankenhaus 

Der § 391 des Sozialgesetzbuchs (SGB) Fünftes Buch (V) befasst sich mit der IT-Sicherheit in Krankenhäusern.  
 
Verpflichtung aller Krankenhäuser: Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zu treffen. Diese sollen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse vermeiden. Diese Maßnahmen sind entscheidend für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen. 
 
Security-Awareness: Die Krankenhäuser müssen auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern ergreifen. 
 
Angemessenheit der Vorkehrungen: Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht. 
 
Branchenspezifische Sicherheitsstandards: Krankenhäuser können die Verpflichtungen insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus anwenden. Dieser Standard muss vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt worden sein. 
 

NIS2 im Gesundheitsbereich 

Die Network-and-Information-Security-Richtlinie 2.0 (NIS2-RL), auch als Richtlinie (EU) 2022/2555 bekannt, wurde im Dezember 2022 verabschiedet und stellt eine Reaktion auf die erhöhte Bedrohungslage im Hinblick auf Cyberangriffe dar. Sie erhöht die Anforderungen an die Abwehr solcher Vorfälle. Die NIS2-RL wird ab spätestens Ende 2024 in deutsches Recht, dem NIS-2UmsuCG überführt und damit bindend. 
 
Welche Unternehmen der Gesundheitsbranche, die vom NIS-2UMsuCG betroffen sind, beraten wir? 
NIS-2 betrifft jedes deutsche Krankenhaus, nahezu alle MVZ und auch Großpraxen, da der Umsatz von 10 Millionen EUR rasch erreicht ist. 
 

KRITIS im Gesundheitsbereich 

Das BSI-Gesetz - Sicherheit in der Informationstechnik Kritischer Infrastrukturen: 
Im Gesundheitssektor sind KRITIS-Betreiber für die Durchführung von Prüfungen gemäß § 8a des IT-Sicherheitsgesetzes (BSIG) verantwortlich. Diese Prüfungen zielen darauf ab, die Sicherheit kritischer Infrastrukturen zu gewährleisten und gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen.  
 

Aber wer genau sind diese KRITIS-Betreiber im Gesundheitswesen?  

Stationäre medizinische Versorgung: Dazu gehören Krankenhäuser, die Aufnahme, Diagnose, Therapie und Unterbringung von Patienten durchführen. 
 
Versorgung mit lebenserhaltenden Medizinprodukten: Hierzu zählen Herstellung und Abgabe von lebenserhaltenden Medizinprodukten. 
 
Versorgung mit Arzneien und Blut/Plasma: Dies umfasst die Herstellung, den Vertrieb und die Abgabe von verschreibungspflichtigen Arzneimitteln sowie Blut- und Plasmakonzentraten. 
 
Laboratoriumsdiagnostik: Transport und Analytik in Laboren. 
 
Wenn Betreiber diese kritischen Dienstleistungen in eigenen Anlagen erbringen und dabei bestimmte Schwellenwerte überschreiten (normalerweise mehr als 500.000 versorgte Personen), werden sie als KRITIS-Betreiber eingestuft. Der Faktor wird umgerechnet in branchenspezifische Werte, z.B. 30.000 vollstationäre Fälle pro Jahr bei Krankenhäusern. 

 

Falls keine prüfende Stelle, sondern Unterstützung beim Aufbau der Informations​​sicherheit benötigt wird, finden Sie hier weitere Informationen.




​Ein Überblick über unsere Themen als prüfen​de Stelle: ​​

Rödl & Partner als prüfende Stelle für KRITIS 

Der Gesundheits- und Sozialwirtschaft stehen wir seit über 20 Jahren als fach- und branchenkundiger Partner und Prüfer zur Seite.  

​Prüfung nach § 8a BSIG

Wir prüfen Sie gemäß § 8a BSIG den sogenannten KRITIS Prüfungen.

Vorbereitende Prüfung auf NIS-2UMsuCG​​

​Prüfung KRITIS-„LIGHT” (§ ​391 SGB V)

GAP-Analyse: Sind Sie bereit für die Prüfung?


 


Zurück zu Assurance und IT 

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Contact Person Picture

Jonas Buckel

B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW

Manager

+49 911 9193 3627

Anfrage senden

Kostenloses Whitepaper

​8 Praxistipps für eine erfolgreiche KRITIS-Prüfung

 

Hier kostenlos herunterladen!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu