1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Neue Pflichten für Nicht-KRITIS Häuser

Neue Pflichten für Nicht-KRITIS Häuser

KRITIS

Veröffentlicht 21.01.2022 07:20, Dagmar Finlayson

Krankenhäuser jeder Größe sind als lukrative Ziele längst in das Fadenkreuz von Cyberkriminellen geraten. Erfolgreiche Angriffe verursachen hohe Schäden und gefährden das Wohl der Patient:innen. Der Gesetzgeber hat die Gefahren erkannt und weitreichende Pflichten zur Absicherung der IT-Systeme und Infrastrukturen erlassen. Seit Anfang des Jahres greifen neue Vorgaben auch für kleine Häuser.

Für Krankenhäuser mit mehr als 30.000 vollstationären Patient:innen pro Jahr greifen schon seit Jahren hohe Sicherheitsanforderungen. Sie sind als kritische Infrastrukturen (KRITIS) eingestuft und müssen laut dem BSI-Gesetz (BSIG) regelmäßig nachweisen, dass ihre Absicherung dem Stand der Technik entspricht. Laut § 75c SGB V sind ab dem 1. Januar 2022 nun grundsätzlich alle Krankenhäuser dazu verpflichtet, angemessene Vorkehrungen zu treffen – unabhängig von ihrer Größe.

Die Referenz für die organisatorischen und technischen Maßnahmen bildet der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Er wurde von der Deutschen Krankenhausgesellschaft (DKG) in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt, um die kritische Dienstleistung eines Krankenhauses abzusichern. Insgesamt enthält der Standard ca. 200 Anforderungen und Empfehlungen für Maßnahmen. Dazu gehören die Einführung eines Informationssicherheitssystems (ISMS) und eines Business Continuity Systems (BCM) sowie ein aktives Management von Risiken rund um den Ausfall digitaler Systeme.

Rechtliche Folgen bei Nichteinhaltung der Vorgaben

„Die strengeren Vorgaben sind eine gute Nachricht für die Patientensicherheit. Sie erhöhen für Krankenhäuser aber auch den Druck, das etablierte Versorgungsniveau bei IT-Ausfällen aufrechtzuerhalten“ erklärt Dr. Benedict Gross, Senior Manager bei PwC Deutschland und Experte für Business Continuity und Krisenmanagement. „Um rechtliche Risiken zu reduzieren, ist eine transparente Umsetzungspraxis der Schlüssel. Dabei helfen zum Beispiel strukturierte Planungen und Reifegradmodelle. Sie machen transparent, wie es wirklich um die Sicherheit des Hauses steht.“

Wenn die IT-Sicherheitsanforderungen nicht eingehalten werden, drohen nicht nur Einschränkungen des Krankenhausbetriebs und die Gefährdung von Patient:innen. Den Verantwortlichen stehen eine Reihe rechtlicher Konsequenzen bevor. Sie reichen von vertragsärztlichen Folgen und Schadensersatzforderungen über Bußgelder und die Rückforderung von Fördergeldern bis hin zu strafrechtlichen Konsequenzen.

 

Foto: Dr. Benedict Gross, Senior Manager bei PwC Deutschland: „Die strengeren Vorgaben sind eine gute Nachricht für die Patientensicherheit. Sie erhöhen für Krankenhäuser aber auch den Druck, das etablierte Versorgungsniveau bei IT-Ausfällen aufrechtzuerhalten.“

von Wolf-Dietrich Lorenz


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser
IT-Sicherheit & Kritis
Video

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz
IT-Sicherheit & Kritis
Studie

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen
IT-Sicherheit & Kritis
"Gegenstand der Informationstechnologie"

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht
IT-Sicherheit & Kritis
DOS

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen
IT-Sicherheit & Kritis
2FA

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen

Cyberagentur vergibt Vorstudie nach Berlin
IT-Sicherheit & Kritis
Studie

Cyberagentur vergibt Vorstudie nach Berlin

Lesen Sie hier die neuesten Beiträge

Warehouse-Management im Krankenhaus
IT-Management
KIS

Warehouse-Management im Krankenhaus

Neue Studie beleuchtet Einstellungen zur elektronischen Patientenakte und zur Datenspende für die Forschung
Digitalisierung
ePA

Neue Studie beleuchtet Einstellungen zur elektronischen Patientenakte und zur Datenspende für die Forschung

DigitalRadar Krankenhaus - Evaluation des Reifegrades zweite Runde
Digitalisierung
Radar

DigitalRadar Krankenhaus - Evaluation des Reifegrades zweite Runde

Diese Webseite verwendet Cookies.   Mehr Info.      oder