Gesetzliche Erfordernis
Nach § 75c SGB V „IT-Sicherheit in Krankenhäusern“ sind ab dem 1. Januar 2022 Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.
Diese Verpflichtung können Krankenhäuser erfüllen, wenn diese einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde. Ein solcher branchenspezifischer Sicherheitsstandard wurde mit dem B3S Krankenhaus für die Gesundheitsversorgung im Krankenhaus veröffentlicht und gemäß Feststellungsbescheid vom 22.10.2019 zur Gewährleistung der Anforderungen nach § 8a Absatz 1 BSIG als geeignet klassifiziert.
Branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung
Die im Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S Krankenhaus) genannten Maßnahmenempfehlungen stellen einen Katalog zur Konkretisierung der vorgenannten Anforderungen dar und richten sich in ihrer Struktur nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie orientieren sich an Anhang A der ISO 27001, sollen zur Erreichung der definierten Schutzziele beitragen und im Ergebnis eine sichere und resiliente IT-Infrastruktur zur Sicherstellung der stationären medizinischen Versorgung gewährleisten.
Die Maßnamenempfehlungen behandeln die folgenden Bereiche:
- Informationssicherheitsmanagementsystem (ISMS),
- Organisation der Informationssicherheit,
- Meldepflichten nach § 8b Absatz 4 BSI-Gesetz,
- Betriebliches Kontinuitätsmanagement,
- Asset Management,
- Robuste/resiliente Architektur,
- Physische Sicherheit, Personelle und organisatorische Sicherheit,
- Vorfallerkennung und Behandlung,
- Überprüfungen im laufenden Betrieb,
- Externe Informationsversorgung und Unterstützung,
- Lieferanten, Dienstleister und Dritte,
- Technische Informationssicherheit.
Fördertatbestand 10: IT-Sicherheit (§19 Abs. 1 Satz 1 Nr. 10 KHSFV)
Die Umsetzung der Anforderungen nach § 75c SGB V kann gemäß §19 Abs. 1 KHSV im Fördertatbestand 10: IT-Sicherheit (§19 Abs. 1 Satz 1 Nr. 10 KHSFV) förderfähig sein. Ziel des Fördertatbestandes 10 ist die Verbesserung der IT-bzw. Cybersicherheit in Plankrankenhäusern, die nicht zu den kritischen Infrastrukturen gehören. Maßnahmen zur Verbesserung der IT-bzw. Cybersicherheit waren bei diesen Krankenhäusern bisher von der Förderung nach dem Krankenhausstrukturfonds ausgeschlossen. Förderfähigen Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit müssen:
- die Prävention vor Informationssicherheits-Vorfällen (u.a. Systeme zur Zonierung von Netzwerken, Next Generation Firewalls, sichere Authentisierungssysteme, Micro-Virtualisierung/Sandbox-Systeme, Schnittstellen-Kontrolle, Intrusion Prevention Systeme; Network Access Control, Schwachstellenscanner, Softwareversionsmanagement, Datenschleusen, Datendioden, VPN-Systeme, verschlüsselte Datenübertragung, verschlüsselte mobile Datenträger, ISMS),
oder
- die Detektion von Informationssicherheits-Vorfällen (u.a. Security Operation Center, Log Management Systeme, Security Information Event Management Systeme, Intrusion Detection-Systeme, lokaler Schadsoftwareschutz mit zentraler Steuerung, Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport),
oder
- die Mitigation von Informationssicherheits-Vorfällen (u.a. automatisierte Backup-Systeme, lokaler Schadsoftwareschutz mit zentraler Steuerung)
oder
- die Steigerung und Aufrechterhaltung der Awareness gegen über Informationssicherheits-Vorfällen bzw. der Bedeutung von IT-/Cybersicherheit (u.a. regelmäßige Risiko-analysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen)
oder
- eine Kombination davon zum Ziel haben.
Mit dem Fördertatbestand 10 hat der Gesetzgeber damit explizit eine Möglichkeit für nicht-KRITIS Plankrankenhäuser geschaffen, den Aufbau eines Managementsystems der Informationssicherheit (ISMS) entsprechend der Anforderungen des B3S Krankenhaus zu fördern.
Aufbau ISMS
Um den B3S für die IT-Sicherheit im Krankenhaus zu etablieren und die notwendigen Geschäftsprozesse und Maßnahmen umzusetzen und zu kontrollieren, wird ein ISMS benötigt. Die Etablierung und Umsetzung eines solchen ISMS wird begleitet durch die Identifikation von Maßnahmen der IT-Sicherheit sowie der Definition von Kontrollen der Wirksamkeit und Umsetzung dieser Maßnahmen. Dabei hilft ein Risikomanagement, Risiken zu identifizieren und durch geeignete Maßnahmen zu reduzieren.