Erfüllen Sie die Compliance-Anforderungen zur IT-Sicherheit?

PrintMailRate-it

veröffentlicht am 28. April 2022​; Autoren: Norman Lenger-Bauchowitz, Konrad Klein

 

Im Zuge zunehmender regulatorischer Anforderungen stellt sich unweigerlich die Frage nach den richtigen Maßnahmen für die eigene Einrichtung. Besonders betroffen ist im Krankenhausbetrieb der Bereich der Informationstechnologie. Nicht nur der Gesetzgeber erhöht den Druck auf die Digitalisierung und IT-Sicherheit im Gesundheitswesen, beispielsweise durch das IT-Sicherheitsgesetz oder das Patienten-Datenschutz-Gesetz. Auch die Erwartungshaltung des Personals hinsichtlich digitaler Lösungen zur Unterstützung der eigenen Abläufe und Prozesse und nicht zuletzt die weiterhin hohe Anzahl externer Bedrohungen fordern einen Blick auf die Vorhaben im IT-Umfeld. Wie können diese Ansprüche bestmöglich erfüllt werden und wie stellen Einrichtungen sicher, dass interne wie externe Anforderungen an die IT-Sicherheit dabei ausreichend berücksichtigt werden?

 

Compliance als Grundlage des Handelns

Das Thema Compliance wird oftmals noch nachlässig gehandhabt, auch wenn immer mehr Unternehmen die Bedeutung erkennen. Compliance ist heute keine Option mehr, sondern eine Pflicht, um strafrechtliche Verstöße, horrende Bußgelder und Schadensersatzansprüche Dritter erfolgreich vermeiden zu können.

 

Was ist Compliance?

Der Begriff Compliance bedeutet wörtlich übersetzt die Erfüllung von Anforderungen; im engeren Sinne also Rechtskonformität und Einhaltung von Gesetz und Recht durch das Unternehmen und seiner Mitarbeiter sowie „Integrität, Redlichkeit und Geschäftsethik”.

 

Compliance ist vielfältig, daher kann es auch keine abschließende Liste geben, was alles davon umfasst ist. Dies kann von Unternehmen zu Unternehmen bzw. Branche zu Branche unterschiedlich sein. Beispiele für Compliance-Anforderungen sind die Einhaltung von Gesetzen wie des HGB oder der Abgabenordnung oder die Erfüllung der Anforderungen aus der Whistleblower-Richtlinie. Spätestens seit der Veröffentlichung des §75c SGB V gehört zu Compliance auch die Umsetzung der IT-Sicherheit im Krankenhaus.

 

Welche Anforderungen an die Geschäftsführung ergeben sich daraus?

Unabhängig von seiner Größe ist das Krankenhaus und damit die Geschäftsführung dafür verantwortlich, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.

 

Diese Verpflichtung kann insbesondere erfüllt werden, wenn der branchenspezifische Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung angewandt wird, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

 

Der B3S für die Gesundheitsversorgung im Krankenhaus enthält Anforderungen für die folgenden Bereiche:

  • Informationssicherheitsmanagementsystem (ISMS)
  • Organisation der Informationssicherheit
  • Meldepflichten nach § 8b Absatz 4 BSI-Gesetz
  • Betriebliches Kontinuitätsmanagement
  • Asset Management
  • Robuste/resiliente Architektur
  • Physische Sicherheit
  • Personelle und organisatorische Sicherheit
  • Vorfallerkennung und Behandlung
  • Überprüfungen im laufenden Betrieb
  • Externe Informationsversorgung und Unterstützung
  • Lieferanten, Dienstleister und Dritte
  • Technische Informationssicherheit

 

Wie sollte man sinnvollerweise vorgehen?

Um all diese Anforderungen strukturiert und nachweislich umzusetzen, sind sie in unternehmensinterne Regelungen, Richtlinien und Anweisungen zu übersetzen und festzulegen. Damit werden sie zu verbindlichen Vorgaben in den Unternehmensprozessen. Doch das reine Festlegen von internen Vorgaben allein reicht nicht aus, wenn daraus nichts folgt. Weitere organisatorische und technische Maßnahmen sind in der Regel notwendig, um das gewünschte Niveau für die Erreichung dieser Unternehmens- und Prozessziele sicherzustellen. Damit der Erfolg der Maßnahmen sich nachhaltig einstellt und neue Anforderungen rechtzeitig erkannt werden, gerade in dem sehr dynamischen Umfeld der IT im Gesundheitswesen, sind strukturierte und wiederholbare Verfahren notwendig. Hierfür ist ein Managementsystem für Informationssicherheit (ISMS) gut geeignet und sollte daher sukzessive aufgebaut werden.

 

Wie kann die Geschäftsführung dies leisten?

Auch wenn die Geschäftsführung die Verantwortung hat, die Umsetzung wird sie in den meisten Fällen an Spezialisten, z.B. den Informationssicherheitsbeauftragten (ISB) und die IT-Abteilung delegieren. Das ist ohne Weiteres zulässig. Die Geschäftsführung muss aber zumindest sicherstellen, dass ihnen ausreichend Ressourcen (zeitlich und monetär) zur Erfüllung dieser Aufgabe zur Verfügung stehen.

 

Die Aufgabe des Informationssicherheitsbeauftragten ist es daher, sicherzustellen, dass Risiken aus dem Einsatz der IT erkannt und angemessen behandelt werden. Dabei verstehen sich IT-Compliance-Risiken durchaus auch als Risiken aus dem Einsatz von IT, wenngleich hier ggf. juristische Expertise einzubeziehen ist. In einigen Einrichtungen bewährt sich die Bündelung der Strukturen und Ressourcen auf spezifische Governance, Risk und Compliance (GRC) Abteilungen, bei der sowohl juristische, methodische und fachliche Kompetenz zusammenkommen. Sofern solche Strukturen nicht vorhanden sind, bringt insbesondere die Einbindung externer Experten in spezifischen Fragestellungen ein hohes Maß an Sicherheit.

 

Ein Managementsystem hat den Anspruch, eigene Verfahren ständig auf den Prüfstand zu stellen und somit Lücken z.B. in der Umsetzung regulatorischer Anforderungen oder hinsichtlich besonders hoher Risiken für die IT-Sicherheit zu erkennen. Ein kontinuierlicher Verbesserungsprozess (KVP) wird geschaffen und die Geschäftsleitung über die Umsetzung der Ziele unterrichtet.

 

Wie können wir Ihnen helfen?

Da die Implementierung eines Managementsystems nicht über Nacht erfolgt und viele kleine Schritte benötigt, kann bei konkreten Compliance-Fragestellungen ein Compliance-Check sinnvoll sein. Wir haben im Zuge der Anforderungen an Betreiber kritischer Infrastrukturen aus dem IT-Sicherheitsgesetz sowie dem Patientendaten-Schutz-Gesetz gute Erfahrungen mit entsprechenden Themenworkshops gemacht. In solchen Workshops erfolgt eine Aufnahme der bereits vorhandenen Strukturen und Maßnahmen in der Einrichtung sowie ein Abgleich mit den konkreten Anforderungen. Dabei werden auch bereits initiierte oder geplante Maßnahmen gewürdigt und die Einrichtung erhält einen Überblick über die größten Baustellen und etwaige Aufwände zur Erreichung von Compliance.

 

Haben Sie bereits ähnliche Erfahrungen gemacht? Stehen Sie gerade vor einer entsprechenden Herausforderung, bei der Sie ein Sparringspartner unterstützen soll? Wir freuen uns auf den Austausch mit Ihnen.

 

Weitergehende Informationen finden Sie hier.

 

Kontakt

Contact Person Picture

Norman Lenger-Bauchowitz, LL.M.

Mediator & Rechtsanwalt, Fachanwalt für Steuerrecht, Fachberater für Restrukturierung & Unternehmensplanung (DStV e.V.)

Partner

+49 911 9193 3713

Anfrage senden

Profil

Contact Person Picture

Jonas Buckel

B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW

Manager

+49 911 9193 3627

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu