Prüfungen nach § 8a BSIG, NIS-2UMsuCG und § 391 SGB V: Gesundheits- und Sozialwirtschaft

 

IT-Sicherheit im Krankenhaus 

Der § 391 des Sozialgesetzbuchs (SGB) Fünftes Buch (V) befasst sich mit der IT-Sicherheit in Krankenhäusern.  
 
Verpflichtung aller Krankenhäuser: Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zu treffen. Diese sollen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse vermeiden. Diese Maßnahmen sind entscheidend für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen. 
 
Security-Awareness: Die Krankenhäuser müssen auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern ergreifen. 
 
Angemessenheit der Vorkehrungen: Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht. 
 
Branchenspezifische Sicherheitsstandards: Krankenhäuser können die Verpflichtungen insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus anwenden. Dieser Standard muss vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt worden sein. 
 

NIS2 im Gesundheitsbereich 

Die Network-and-Information-Security-Richtlinie 2.0 (NIS2-RL), auch als Richtlinie (EU) 2022/2555 bekannt, wurde im Dezember 2022 verabschiedet und stellt eine Reaktion auf die erhöhte Bedrohungslage im Hinblick auf Cyberangriffe dar. Sie erhöht die Anforderungen an die Abwehr solcher Vorfälle. Die NIS2-RL wird ab spätestens Ende 2024 in deutsches Recht, dem NIS-2UmsuCG überführt und damit bindend. 
 
Welche Unternehmen der Gesundheitsbranche, die vom NIS-2UMsuCG betroffen sind, beraten wir? 
NIS-2 betrifft jedes deutsche Krankenhaus, nahezu alle MVZ und auch Großpraxen, da der Umsatz von 10 Millionen EUR rasch erreicht ist. 
 

KRITIS im Gesundheitsbereich 

Das BSI-Gesetz - Sicherheit in der Informationstechnik Kritischer Infrastrukturen: 
Im Gesundheitssektor sind KRITIS-Betreiber für die Durchführung von Prüfungen gemäß § 8a des IT-Sicherheitsgesetzes (BSIG) verantwortlich. Diese Prüfungen zielen darauf ab, die Sicherheit kritischer Infrastrukturen zu gewährleisten und gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen.  
 

Aber wer genau sind diese KRITIS-Betreiber im Gesundheitswesen?  

Stationäre medizinische Versorgung: Dazu gehören Krankenhäuser, die Aufnahme, Diagnose, Therapie und Unterbringung von Patienten durchführen. 
 
Versorgung mit lebenserhaltenden Medizinprodukten: Hierzu zählen Herstellung und Abgabe von lebenserhaltenden Medizinprodukten. 
 
Versorgung mit Arzneien und Blut/Plasma: Dies umfasst die Herstellung, den Vertrieb und die Abgabe von verschreibungspflichtigen Arzneimitteln sowie Blut- und Plasmakonzentraten. 
 
Laboratoriumsdiagnostik: Transport und Analytik in Laboren. 
 
Wenn Betreiber diese kritischen Dienstleistungen in eigenen Anlagen erbringen und dabei bestimmte Schwellenwerte überschreiten (normalerweise mehr als 500.000 versorgte Personen), werden sie als KRITIS-Betreiber eingestuft. Der Faktor wird umgerechnet in branchenspezifische Werte, z.B. 30.000 vollstationäre Fälle pro Jahr bei Krankenhäusern. 

 

Falls keine prüfende Stelle, sondern Unterstützung beim Aufbau der Informations​​sicherheit benötigt wird, finden Sie hier weitere Informationen.