Das IT-Sicherheitsgesetz schreibt vor, dass für kritische Infrastrukturen Maßnahmen zur Verbesserung der IT-Sicherheit zu etablieren sind. Im Sektor Gesundheit stellt die vollstationäre Versorgung aus Sicht des Gesetzgebers die zentrale Dienstleistung dar. Hat ein Krankenhaus den Schwellenwert von 30.000 vollstationären Behandlungsfällen pro Jahr überschritten, so ist es eine kritische Infrastruktur. Welche konkreten Sicherheitsmaßnahmen geeignet sind, können die Betreiber kritischer Infrastrukturen in branchenspezifischen Sicherheitsstandards (B3S) selber festlegen.
Die DKG orientierte sich bei der Entwicklung des B3S an der ISO-Norm 27001 (Informationssicherheitsmanagement), dem Stand der Technik und der ISO-Norm 27799 (Medizinische Information – Sicherheitsmanagement im Gesundheitswesen). Eine Zertifizierung nach ISO 27001 als Nachweis gemäß § 8a BSIG ist nicht erforderlich, es genügt eine Prüfung auf Grundlage des B3S. Gemäß der Orientierungshilfe des BSI zu Nachweisen über Vorkehrungen und Maßnahmen nach dem Stand der Technik kommen insbesondere Wirtschaftsprüfungsgesellschaften aufgrund ihrer besonderen Berufspflichten als Prüfer in Frage.
Die DKG empfiehlt folgende Reihenfolge zur Umsetzung des B3S:
- Geltungsbereich des Informationssicherheitsmanagementsystems und strategische Ziele der Informationssicherheit definieren,
- Entwicklung und Inkraftsetzung von Richtlinien und Standards,
- Implementierung der Sicherheitsorganisation,
- Bestandsaufnahme, Risikoeinschätzung und Konzeption,
- Umsetzung der Maßnahmen sowie
- Projektbegleitende Trainings, Ausbildung und Schulung.
Um den Schutz der kritischen Infrastruktur sicherzustellen, müssen die oben genannten Schritte überwacht, überprüft (auch extern) und bei Bedarf verbessert werden.
Sie benötigen Hilfe bei der Umsetzung des B3S? Unsere Experten unterstützen und beraten Sie gerne. Jetzt Kontakt aufnehmen!