Krankenhäuser mit mindestens 30.000 vollstationären Behandlungsfällen pro Jahr unterfallen seither den Anforderungen des BSI-Gesetzes und haben zum 30.6.2019 die Umsetzung geeigneter Maßnahmen gemäß § 8a Abs. 1 BSI-Gesetz zum Schutz der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse nachzuweisen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Nachweis der Umsetzung - Branchenspezifischer Sicherheitsstandard (B3S)

Für diesen Nachweis können sogenannte Branchenspezifische Sicherheitsstandards („B3S“) entwickelt und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Prüfung vorgelegt werden, ob die darin enthaltenen Festlegungen für die Umsetzung der Anforderungen des § 8a Abs. 1 BSI-Gesetz geeignet sind. Stellt das BSI die Eignung fest, können Betreiber kritischer Infrastrukturen durch den Nachweis der Umsetzung eines B3S die Vorgaben zum Schutz ihrer informationstechnischen Systeme erfüllen.

Die Deutsche Krankenhausgesellschaft hat den ersten von zwei geplanten Teilen eines Entwurfs für einen Branchenspezifischen Sicherheitsstandard erstellt und mit dem Branchenarbeitskreis „Medizinische Versorgung“ in mehreren, teils umfangreichen Kommentierungsrunden abgestimmt. Sowohl der Branchenarbeitskreis als auch die hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft haben die Freigabe für die Weiterleitung des vorliegenden Entwurfs an das BSI erteilt, mit dem Ziel, die Eignung des B3S für die Umsetzung der Anforderungen nach § 8a BSIG festzustellen.

Im Rahmen einer „Teileinreichung“ wurden dem BSI am 13.11.2018 die folgenden Dokumente übermittelt

  • 01 Rahmendokument,
  • 02 Risikomanagement,
  • 03 Geltungsbereich,
  • 04 Gefährdungskatalog.

Für den vollständigen B3S sind noch die folgenden beiden Dokumente geplant:

  • 05 Maßnahmenkatalog,
  • 06 Nachweis der Umsetzung.

Diese Dokumente werden derzeit finalisiert und sollen dem BSI in Kürze (geplant: Ende November/Anfang Dezember) übermittelt werden, sodass die Eignungsprüfung auf Basis des dann vollständigen Entwurfs erfolgen kann. Die Geschäftsstelle wird hierzu gesondert informieren.

Kern des Entwurfs des sogenannten „B3S“ bildet ein Risikomanagement sowie ein Informationssicherheitsmanagement für die in der vollstationären Patientenversorgung eingesetzten Prozesse, Systeme und Komponenten. Der Entwurf beschreibt diejenigen Systeme und Komponenten, die im Rahmen des Risikomanagements für IT-Sicherheit mindestens betrachtet werden müssen (Geltungsbereich), gibt Hinweise für eine mögliche Klassifikation dieser Systeme entsprechend ihrer Kritikalität und listet diejenigen Gefährdungen im Rahmen eines Katalogs, die bei der Risikobetrachtung mindestens zu berücksichtigen sind. Der Entwurf ist dabei auf Basis international anerkannter Standards für das Informationsmanagement entwickelt worden (ISO 27001, 27799 etc.). Es wird jedoch betont, dass eine ISO 27001-Zertifizierung für den Nachweis der Umsetzung angemessener Maßnahmen nicht notwendig ist. Das BSI weist darauf hin, dass eine bestehende ISO 27001-Zertifizierung nicht per se als ausreichend für den Nachweis angesehen werde. Geltungsbereich und umgesetzte Maßnahmen müssten in diesen Fällen darauf hin geprüft werden, ob sie für die Sicherstellung der kritischen Versorgungsdienstleistung geeignet gewählt wurden.

Finanzierung möglicher Aufwände

Mit dem Pflegepersonalstärkungsgesetz wurde eine Anpassung der Krankenhausstrukturfonds-Verordnung vorgenommen, nach der Vorhaben nach § 12a Abs. 1 in Verbindung mit Abs. 2 Satz 1 oder Satz 4 des Krankenhausfinanzierungsgesetzes gefördert werden können, wenn „die Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer oder kommunikationstechnischer Anlagen, Systeme oder Verfahren oder bauliche Maßnahmen erforderlich sind, um […] die Informationstechnik der Krankenhäuser, die die Voraussetzungen des Anhangs 5 Teil 3 der BSI-Kritisverordnung erfüllen, an die Vorgaben von § 8a des BSI-Gesetzes anzupassen“.

Aus Sicht der Geschäftsstelle ist ausdrücklich zu begrüßen, dass hiermit ein erster Schritt zur Refinanzierung entstehender Kosten gegangen wurde. Darüber hinaus setzt sich die Deutsche Krankenhausgesellschaft jedoch auch dafür ein, Krankenhäusern, die nicht der BSI-Kritisverordnung unterfallen, eine Refinanzierung zu ermöglichen. IT-Sicherheit dient in letzter Konsequenz der Patientensicherheit und ist im Kontext der Datenschutzgrundverordnung auch aus rechtlicher und wirtschaftlicher Sicht für alle Krankenhäuser wichtig. Weiterhin ist nicht nur der - bisher häufig unterfinanzierte - Bereich der Investitionskosten zu berücksichtigen, es werden ebenfalls Aufwendungen bei Betriebskosten und insbesondere qualifiziertem Fachpersonal erwartet, um den gestiegenen Anforderungen an die IT-Sicherheit im Krankenhaus gerecht werden zu können.

In Vorbereitung der weiteren Gespräche zur Finanzierung mit dem Bundesministerium für Gesundheit hat die Deutsche Krankenhausgesellschaft eine Erhebung der bei den Krankenhäusern entstehenden Kosten beauftragt. Krankenhäuser, die hierzu in Kürze vom Auftragnehmer (Goldmedia GmbH) angeschrieben werden, werden dringend gebeten, sich an dieser Erhebung in Form eines Online-Fragebogens zu beteiligen. Belastbare und repräsentative Informationen hierzu sind notwendige Grundlage für die weiteren Verhandlungen.