Im Rahmen des Konjunkturpakets zur Bewältigung der Corona-Pandemie stellt die Bundesregierung mit dem Krankenhauszukunftsgesetz 3 Milliarden Euro bereit, um digitale Technologien an Krankenhäusern zu fördern – weitere 1,3 Milliarden Euro schießen die Länder und Klinikträger zu. Ein idealer Zeitpunkt, um die IT-Sicherheit in Krankenhäusern zu verbessern.

Branchenspezifischer Sicherheitsstandard (B3S) für alle Kliniken

Bisher sind nur Kliniken mit mehr als 30.000 vollstationären Fällen pro Jahr dazu verpflichtet, geeignete IT-Sicherheitsmaßnahmen zu treffen, die § 8a des Gesetzes des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen. Diese Kliniken gehören zur „Kritischen Infrastruktur“ (KRITIS).

Durch Gesetzesbeschluss von September 2020 müssen künftig auch kleinere Kliniken dem Stand der Technik angemessene, organisatorische und technische Vorkehrungen zur IT-Sicherheit treffen – dies regelt der neue Paragraf 75c Sozialgesetzbuch V (SGB V).

Der Paragraf empfiehlt ausdrücklich den branchenspezifischen Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft (DKG), der alle zwei Jahre revisioniert wird. In seiner nächsten Version soll er spezielle Regelungen für all jene Krankenhäuser enthalten, die unter dem Schwellenwert gemäß KRITIS-Verordnung liegen. Dies soll kleineren Kliniken helfen, die Maßnahmen zur Verbesserung ihrer IT-Sicherheit nach anerkanntem Standard umsetzen zu können.

Krankenhäuser sollten jetzt ihre IT-Sicherheitsmaßnahmen überprüfen

„Krankenhäuser sollten schnellstmöglich damit beginnen, angemessene IT-Security-Maßnahmen zu treffen oder diese zu aktualisieren, denn die gesetzte Frist bis zum 1. Januar 2022 klingt fern, ist aber knapp. Wir empfehlen dringend, sich am B3S zu orientieren“, sagt German Franke, Managing Partner bei der Infraforce GmbH.


Haben sie Maßnahmen zur IT-Sicherheit ergriffen, müssen Krankenhäuser diese spätestens alle zwei Jahre auf den aktuellen Stand der Technik prüfen. Zwar besteht für Nicht-KRITIS-Krankenhäuser keine Nachweis- oder Meldepflicht, trotzdem rät der Experte zu einer externen Prüfung, zum Beispiel durch Infraforce: Im Schadensfall gilt sie als stichhaltiger Beleg für angemessene IT-Sicherheitsmaßnahmen und kann dadurch Haftungsrisiken für die Klinik minimieren.
 

„Nach erfolgreicher Prüfung durch unsere Experten erhalten unsere Kunden das Siegel INFRAZERT®, mit dem wir Unternehmen auszeichnen, die sich in Sachen Cybersicherheit professionell aufgestellt haben."

 

 

 

zurück zu Leistungen