Branchenspezifischer Sicherheitsstandard (B3S)
Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern muss dauerhaft gewährleistet werden, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz.
Der B3S wird in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft erstellt und vom Bundesamt für Sicherheit in der Informationstechnik geprüft, ob er für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist.
Für die aktuelle Version 1.2 (Stand 8.12.2022) wurde am 10.1.2023 die Eignung nach § 8a Abs. 1 und Abs. 1a BSIG festgestellt. An dieser Stelle wird neben der aktuell gültigen Fassung des B3S die Vorversion sowie eine Mappingtabelle der Anforderungen bereitgestellt.
Aktueller Hinweis im März 2025:
Derzeit beraten BSI und DKG über die konkreten Anpassungen des Branchenspezifischen Sicherheitsstandards für die Eignungsfeststellung der Folgeversion zu v1.2 des B3S. Die Eignungsfeststellung der Version 1.2 wurde durch das BSI bis Januar 2025 erklärt. Bis zur Prüfung der Eignungsfeststellung für die derzeit in Arbeit befindliche Folgeversion des B3S kann die Version 1.2 auch nach Ablauf der Eignungsfeststellung für Prüfungen im Jahr 2025 in Abstimmung mit dem BSI zunächst weiter verwendet werden.
Hintergrund für die noch nicht erfolgte Einreichung der Folgeversion sind u.a. der Abgleich mit den im Januar durch das BSI veröffentlichten branchenübergreifenden „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)“. Hierzu erfolgt aktuell ein branchenspezifischer Abgleich der RUN zugrunde gelegten „Konkretisierung der KRITIS-Anforderungen (§ 8a Absatz 1 und Absatz 1a BSIG)“. Ziel ist die Klarstellung, wie die branchenübergreifend in RUN/KdA formulierten Anforderungen im B3S abgebildet sind, da sich hier eine Reihe von Überschneidungen, aber auch branchenspezifischer Hinweise ergeben. Mit der Folgeversion des B3S soll damit Klarheit über die konkrete Umsetzung von RUN/KdA in der Branche „Medizinische Versorgung“ geschaffen werden.
Aufgrund der größtenteils schon abschließend beauftragten und geplanten Prüfungen in 2025 und der noch nicht abgeschlossenen Überarbeitung des B3S können Krankenhäuser nach Abstimmung zwischen DKG und BSI für die Übergangszeit bis zur Eignungsfeststellung der Folgeversion des B3S auch über den 1.4.2025 hinaus die Version 1.2 weiter für die geplanten Prüfungen verwenden.
Weiterhin wird eine Excel-basierte Arbeitsmappe zur Planung der Prüfungen nach § 8a Abs. 1 BSIG bereitgestellt. Diese Prüfungen müssen von Krankenhäusern, welche den Schwellenwert der BSI-KritisVO zur Definition kritischer Infrastrukturen erreichen oder überschreiten, spätestens alle zwei Jahre durchgeführt werden. Dieser "Prüfnachweisplaner" wurde im Branchenarbeitskreis "Medizinische Versorgung" erstellt und wird in Version 3 dem B3S künftig als Anlage beigefügt.
Ebenfalls bereitgestellt werden durch den Branchenarbeitskreis erstellte Handlungsempfehlungen für die Umsetzung der Anforderungen für Systeme zur Angriffserkennung (SzA), die im B3S in Version 1.2 enthalten sind.
Der Branchenarbeitskreis „Medizinische Versorgung“ empfiehlt hierin konkrete technische Maßnahmen sowie organisatorische Hinweise für die Umsetzung der Anforderungen. Diese Empfehlung können Krankenhäuser dabei unterstützen, die Anforderungen umzusetzen und im Rahmen der gegebenenfalls anstehenden Prüfungen nach § 8a BSIG den Rahmen der Prüfung dieser neuen Anforderungen mit prüfenden Stellen abzustimmen.