Der Sektor Gesundheit wird im zweiten Teil der BSI-KritisV enthalten sein, das BMI hat im Rahmen der Verordnungsentwicklung inzwischen die Abstimmung u. a. mit dem Branchenarbeitskreis „Gesundheitsversorgung“ aufgenommen, um bis November zu den wesentlichen Fragen der Ausgestaltung der Rechtsverordnung die Einbeziehung der Fachexpertise sicherzustellen. Die im letzten Sachstand erwartete Veröffentlichung der Rechtsverordnung noch in 2016 ist damit nicht mehr zu erreichen, die Verbändeanhörung dürfte im ersten Quartal 2017 erfolgen, die Umsetzung der ersten Maßnahmen (Meldepflichten, Kontaktstelle) 6 Monate nach Inkrafttreten wird sich entsprechend verschieben. Das BMI wird zu folgenden Punkten die Abstimmung auf Fachebene suchen:

1.    Definition der kritischen Dienstleistung

2.    Festlegung der daraus resultierenden kritischen Prozessschritte

3.    Beschreibung des Anlagenbegriffs

4.    Schwellenwerte, ab der Einrichtungen des Gesundheitswesens unter die Regelungen des BSI-Gesetzes fallen.

Der Branchenarbeitskreis „Gesundheitsversorgung“ wird sich im Vorfeld der Beratun-gen insbesondere der Definition „Kritischer Dienstleistungen“ widmen, im Jahresverlauf wird dann neben ersten Überlegungen für einen Vorschlag zu branchenspezifischen Sicherheitsstandards die Vorbereitung der übrigen Inhalte zur Rechtsverordnung im Fokus der Beratungen stehen.

Auch wenn zum gegenwärtigen Zeitpunkt noch nicht absehbar ist, welche Krankenhäuser unter die Regelungen für kritische Infrastrukturen fallen werden, verdeutlichen die Auswirkungen unspezifischer Angriffe auf IT-Infrastruktur (auch von Krankenhäusern) durch sogenannte „Ransomware“ das Bedrohungspotenzial und die sich rapide verändernde Bedrohungslage eindrücklich. IT-Sicherheit ist für alle Krankenhäuser ein wichtiges Thema, auch wenn ggf. nur ein Teil der Krankenhäuser als „kritisch i. S. d. BSI-Gesetzes“ einzustufen sein wird.

Es wird daher empfohlen, dem Thema Informationssicherheit verstärkte Beachtung zu schenken. Weitere Informationen werden im Zuge der Veröffentlichung der BSI-KritisV - Teil II bzw. der branchenspezifischen Sicherheitsstandards zur Verfügung gestellt.