B3S: Der branchenspezifische Sicherheitsstandard für Krankenhäuser
Die zunehmende Digitalisierung ist auch im Gesundheitswesen heute allgegenwärtig. Sie bietet viele Chancen, Patientenversorgung zu verbessern, birgt aber auch Gefahren, die mit der wachsenden Durchdringung der Abläufe und Prozesse mit Informationstechnik einhergehen. Moderne Medizin wäre heute ohne den Einsatz zum Teil hochkomplexer IT-Systeme nicht mehr denkbar.
Auch Krankenhäuser sind von Störungen, Fehlfunktionen oder auch gezielte Manipulationen nicht frei und geraten immer häufiger ins Visier Cyberkrimineller. Die Ausmaße können verehrend sein, beispielsweise wenn lebensbedrohlich erkrankte Patienten nicht sofort behandelt werden können. Angemessene Schutzmaßnahmen zur IT-Sicherheit sind damit ein wesentlicher Faktor für die Patientensicherheit.
Ab 1.1.2022 ist nach §75c SGB V jedes Krankenhaus zur IT-Sicherheit verpflichtet
Konkret bedeutet das, das alle Krankenhäuser, dass heißt nicht nur diejenigen die unter die KRITIS-Verordnung bzw. das IT-Sicherheitsgesetzes (IT-SiG) fallen, sondern jedes Krankenhaus „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen müssen, „die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.“
Der neu eingeführte Paragraf 75c des SGB V „IT-Sicherheit in Krankenhäusern“ empfiehlt, sich an dem branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus zu orientieren. Dieser gilt auch laut BSI als maßgeblicher „Stand der Technik“.
Grundlage des B3S ist ein Informationssicherheits-Managementsystem (ISMS) gemäß der anerkannten Norm ISO 27001, welche an die krankenhausspezifischen Anforderungen angepasst wurde.
Durch die prozessorientierte und risikobasierte Herangehensweise bietet sie einen systematischen Ansatz, gesetzte Informationssicherheitsziele zu erreichen.
Ebenso erleichtert ein ISMS die kontinuierliche Anpassung der IT-Sicherheitsmaßnahmen an geänderte Rahmenbedingungen.
Das spart Zeit, auch vor dem Hinblick, dass IT-Systeme und -Prozesse spätestens alle zwei Jahre zu prüfen bzw. anzupassen sind. So kann die IT-Sicherheit für Klinikbetreiber schnell zum Wettbewerbsvorteil werden.
Gerne unterstützen wir Sie in Planung und Umsetzung eines ISMS, sprechen Sie uns einfach an.
Kontaktieren Sie uns telefonisch +49 431 6703 0 oder per E-Mail an informationssicherheit@lmbit.de
