Neue Pflichten für Nicht-KRITIS Häuser

KRITIS

Veröffentlicht 21.01.2022 07:20, Dagmar Finlayson

Krankenhäuser jeder Größe sind als lukrative Ziele längst in das Fadenkreuz von Cyberkriminellen geraten. Erfolgreiche Angriffe verursachen hohe Schäden und gefährden das Wohl der Patient:innen. Der Gesetzgeber hat die Gefahren erkannt und weitreichende Pflichten zur Absicherung der IT-Systeme und Infrastrukturen erlassen. Seit Anfang des Jahres greifen neue Vorgaben auch für kleine Häuser.

Für Krankenhäuser mit mehr als 30.000 vollstationären Patient:innen pro Jahr greifen schon seit Jahren hohe Sicherheitsanforderungen. Sie sind als kritische Infrastrukturen (KRITIS) eingestuft und müssen laut dem BSI-Gesetz (BSIG) regelmäßig nachweisen, dass ihre Absicherung dem Stand der Technik entspricht. Laut § 75c SGB V sind ab dem 1. Januar 2022 nun grundsätzlich alle Krankenhäuser dazu verpflichtet, angemessene Vorkehrungen zu treffen – unabhängig von ihrer Größe.

Die Referenz für die organisatorischen und technischen Maßnahmen bildet der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Er wurde von der Deutschen Krankenhausgesellschaft (DKG) in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt, um die kritische Dienstleistung eines Krankenhauses abzusichern. Insgesamt enthält der Standard ca. 200 Anforderungen und Empfehlungen für Maßnahmen. Dazu gehören die Einführung eines Informationssicherheitssystems (ISMS) und eines Business Continuity Systems (BCM) sowie ein aktives Management von Risiken rund um den Ausfall digitaler Systeme.

Rechtliche Folgen bei Nichteinhaltung der Vorgaben

„Die strengeren Vorgaben sind eine gute Nachricht für die Patientensicherheit. Sie erhöhen für Krankenhäuser aber auch den Druck, das etablierte Versorgungsniveau bei IT-Ausfällen aufrechtzuerhalten“ erklärt Dr. Benedict Gross, Senior Manager bei PwC Deutschland und Experte für Business Continuity und Krisenmanagement. „Um rechtliche Risiken zu reduzieren, ist eine transparente Umsetzungspraxis der Schlüssel. Dabei helfen zum Beispiel strukturierte Planungen und Reifegradmodelle. Sie machen transparent, wie es wirklich um die Sicherheit des Hauses steht.“

Wenn die IT-Sicherheitsanforderungen nicht eingehalten werden, drohen nicht nur Einschränkungen des Krankenhausbetriebs und die Gefährdung von Patient:innen. Den Verantwortlichen stehen eine Reihe rechtlicher Konsequenzen bevor. Sie reichen von vertragsärztlichen Folgen und Schadensersatzforderungen über Bußgelder und die Rückforderung von Fördergeldern bis hin zu strafrechtlichen Konsequenzen.

 

Foto: Dr. Benedict Gross, Senior Manager bei PwC Deutschland: „Die strengeren Vorgaben sind eine gute Nachricht für die Patientensicherheit. Sie erhöhen für Krankenhäuser aber auch den Druck, das etablierte Versorgungsniveau bei IT-Ausfällen aufrechtzuerhalten.“

von Wolf-Dietrich Lorenz


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Ransomware-Industrie expandiert durch RansomOps
IT-Sicherheit & Kritis
Security
TeleTrusT-Podcast "Ransomware"
IT-Sicherheit & Kritis
Podcast
DSGVO: Vertrauen in den Datenschutz nimmt ab
IT-Sicherheit & Kritis
Datenschutz

Lesen Sie hier die neuesten Beiträge