Branchenspezifischer Sicherheitsstandard (B3S)
Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern muss dauerhaft gewährleistet werden, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz.
Der B3S wird in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft erstellt und vom Bundesamt für Sicherheit in der Informationstechnik geprüft, ob er für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist.
Für die aktuelle Version 1.2 (Stand 8.12.2022) wurde am 10.1.2023 die Eignung nach § 8a Abs. 1 und Abs. 1a BSIG festgestellt. An dieser Stelle wird neben der aktuell gültigen Fassung des B3S die Vorversion sowie eine Mappingtabelle der Anforderungen bereitgestellt.
Aktueller Hinweis im August 2025:
Die Geschäftsstelle hat die überarbeitete Fassung des Branchenspezifischen Sicherheitsstandards (B3S) in der Version 1.3 dem BSI zur neuerlichen Eignungsfeststellung übermittelt und stellt diese Dokumente im Download-Bereich zur Verfügung (Reinfassung und änderungsmarkierte Fassung).
Im Wesentlichen betrifft die Überarbeitung die Aufnahme neuer Anforderungen aus aktuellen gesetzlichen und untergesetzlichen Anforderungen, insbesondere der Reife- und Umsetzungsgradprüfung (RUN) auf Basis der „Konkretisierung der Anforderungen (KdA)“ des BSI, eine Aufteilung von „Sammelanforderungen" auf einzelne Anforderungen sowie inhaltliche sowie redaktionelle Anpassungen an den bestehenden Anforderungen.
Für die Umsetzungsgrade 1 – 3 (RUN) sind die entsprechenden Anforderungen in den B3S aufgenommen und eine Mapping-Tabelle zum Abgleich zwischen B3S und RUN erstellt worden. Anforderungen für die Umsetzungsgrade 4 und 5 wurden nicht in den B3S aufgenommen, werden jedoch unter Verweis auf die entsprechende Maßnahme nach KdA in der Mapping-Tabelle ausgewiesen.
Die Geschäftsstelle wird informieren, wenn die Prüfung auf Eignungsfeststellung abgeschlossen ist. Bis zur Eignungsfeststellung der Folgeversion des B3S auch über den 1.4.2025 hinaus die Version 1.2 weiter für die geplanten Prüfungen verwenden.
Weiterhin wird eine Excel-basierte Arbeitsmappe zur Planung der Prüfungen nach § 8a Abs. 1 BSIG bereitgestellt. Diese Prüfungen müssen von Krankenhäusern, welche den Schwellenwert der BSI-KritisVO zur Definition kritischer Infrastrukturen erreichen oder überschreiten, spätestens alle zwei Jahre durchgeführt werden. Dieser "Prüfnachweisplaner" wurde im Branchenarbeitskreis "Medizinische Versorgung" erstellt und wird in Version 3 dem B3S künftig als Anlage beigefügt.
Ebenfalls bereitgestellt werden durch den Branchenarbeitskreis erstellte Handlungsempfehlungen für die Umsetzung der Anforderungen für Systeme zur Angriffserkennung (SzA), die im B3S in Version 1.2 enthalten sind.
Der Branchenarbeitskreis „Medizinische Versorgung“ empfiehlt hierin konkrete technische Maßnahmen sowie organisatorische Hinweise für die Umsetzung der Anforderungen. Diese Empfehlung können Krankenhäuser dabei unterstützen, die Anforderungen umzusetzen und im Rahmen der gegebenenfalls anstehenden Prüfungen nach § 8a BSIG den Rahmen der Prüfung dieser neuen Anforderungen mit prüfenden Stellen abzustimmen.