Während Informationssicherheitsnormen wie die ISO 27001, der IT-Grundschutz nach BSI-Standard 200-x oder der Branchenspezifische Sicherheitsstandard (B3S) „Medizinische Versorgung“ ihren Fokus auf dem Management der Informationssicherheit haben, enthalten diese nichtsdestotrotz Anforderungen, die einen technischen Hintergrund haben. Dies bringt jedoch mit sich, dass diese laufend an den technologischen Fortschritt und entsprechende Erkenntnisse angepasst werden müssen.
Im konkreten Fall wurde insbesondere darauf reagiert, dass durch das IT-Sicherheitsgesetz 2.0 die Pflicht für Betreiber kritischer Infrastruktur geschaffen wurde, ab Mai 2023 „Systeme zur Angriffserkennung“ (sogenannte Intrusion Detection Systeme) einzusetzen.
Diese allgemeingültige Anforderung wurde sodann in den B3S übernommen. Aber auch in anderen Bereichen, wie beispielsweise dem Umgang mit Sicherheitsvorfällen, Datensicherung und branchenspezifischer Technik, sind neue Anforderungen hinzugekommen
Weiterhin wurde eine Neugliederung der Anforderungen vorgenommen, was insbesondere die Nummerierung und Sortierung ebendieser verändert.
Die Version 1.2 des B3S für die Medizinische Versorgung, die diese Anpassungen enthält, befindet sich momentan noch im Eignungsfeststellungsverfahren des BSI, wodurch sie entsprechend noch keine Gültigkeit hat. Nichtsdestotrotz lässt sich insgesamt empfehlen, die Anforderungen schon heute zu berücksichtigen, ob als Betreiber kritischer Infrastruktur oder als Krankenhaus, dass nach §75c SGB V verpflichtet ist, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zu treffen.
Insbesondere die von der DKG zur Verfügung gestellte Mapping-Tabelle, die die Versionsunterschiede deutlich macht, kann hierbei hilfreich sein.
Für Häuser, die gerade erst mit der Einführung eines ISMS beginnen, empfiehlt sich daher, sich direkt an der Version 1.2 des B3S zu orientieren. Häuser, die bereits ein ISMS etabliert haben, können auf die Eignungsfeststellung des BSI warten oder schon heute die angepassten Anforderungen vorrauschauend berücksichtigen und in ihr ISMS integrieren.
Sollten Sie Unsicherheit bei dem Umgang mit den geschilderten Aktualisierungen haben, kommen Sie gern auf uns zu. Wir unterstützen sie gern, ob mit einer IT-Sicherheitsanalyse oder der vollumfänglichen Begleitung bei der Einführung eines Informationssicherheitsmanagementsystems. Jetzt Kontakt aufnehmen!