Informationssicherheit und technischer Datenschutz

Informationssicherheit im Krankenhaus

Branchenspezifischer Sicherheitsstandard (B3S)

Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern muss dauerhaft gewährleistet werden, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz.

Der B3S wird in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft erstellt und vom Bundesamt für Sicherheit in der Informationstechnik geprüft, ob er für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist.

Die mit Datum vom 22.10.2019 als geeignet im Sinne des BSI-Gesetzes festgestellte Version 1.1 des B3S wurde überarbeitet und dem BSI Anfang Juli 2022 zur neuerlichen Eignungsfeststellungsprüfung vorgelegt. Die Dauer der Prüfung kann derzeit nicht eingeschätzt werden. Auch inhaltlich können sich aus der Bewertung des Bundesamtes noch Änderungen ergeben.

Wir stellen nachfolgend sowohl die Version 1.1 als auch den Entwurf der Version 1.2 zur Verfügung. Da für die Version 1.2 einmalig eine Änderung der Nummerierung der Anforderungen vorgesehen ist, wird eine Mapping-Tabelle der Änderungen zur Verfügung gestellt.

Neu in den B3S aufgenommen wurde eine Excel-basierte Arbeitsmappe zur Planung der Prüfungen nach § 8a Abs. 1 BSIG, die spätestens alle zwei Jahre von denjenigen Krankenhäusern, welche den Schwellenwert der BSI-KritisVO zur Definition kritischer Infrastrukturen erreichen oder überschreiten, durchgeführt werden müssen. Dieser "Prüfnachweisplaner" wurde im Branchenarbeitskreis "Medizinische Versorgung" erstellt und wird in Version 3 dem B3S künftig als Anlage beigefügt.

 

Informationssicherheit in Krankenhäusern (§75c SGB V)

Mit dem im Oktober 2020 erlassenen Patientendatenschutzgesetz (PDSG) und dem neu eingeführten § 75c SGB V sind ab dem 01.01.2022 gemäß § 75c SGB V alle Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.

Eine Arbeitsgruppe der DKG hat hierzu Umsetzungshinweise („Starter-Paket“) erarbeitet, die sich zunächst an die Geschäftsführung von Krankenhäusern richten.

Das Dokumentenpaket stellt Motivation und Zielstellung der Umsetzung eines systematischen Informationssicherheitsmanagements im Krankenhaus dar, beschreibt die aktuellen spezifischen Sicherheits-Gefährdungen und gibt einen kurzen Überblick über einschlägige gesetzliche Grundlagen und Fördermöglichkeiten.

Arbeitshilfen und Vorlagen unterstützen die organisatorische Integration von Informationssicherheit im Krankenhaus, eine initiale Gap-Analyse zur Bestandsaufnahme von bereits implementierten Informationssicherheitsmaßnahmen sowie den Ausbau eines Notfall- und Business-Continuity-Managements.

Wir stellen das Starter-Paket §75c SGB V nachfolgend zur Verfügung.

 

Teilen mit:

|