IT-Sicherheitsgesetz ab sofort auch für Gesundheitsbranche

Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes fallen. KRITIS steht für „Kritische Infrastrukturen“ und beschreibt Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.Bild Gesundheitsbranche

Betreiber müssen BSI Mindeststandards nachweisen

Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden.

Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt.

Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen, so gelten zum Beispiel

  • Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Krankenhäusern,
  • ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken
  • 1.5 Mio Aufträge bei Laboren

als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift.

IT-Sicherheitsgesetz verpflichtet Unternehmen zu einem ISMSLogo neam IT-Services mit Slogan

Bei Transport & Verkehr fallen Flüghäfen ab 20 Millionen Passagieren, große Bahnhöfe, Leitsysteme der Bundesautobahnen und Netze des ÖPNV ab 125 Millionen Fahrgästen (bzw. 500.000 Einwohnern im Einzugsgebiet) unter die Regelungen des Gesetzes. Alle Unternehmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen.

Gemäß der Erfahrungen aus den anderen Sektoren des ersten Korbs empfehlen wir, sich am Standard ISO 27001 zu orientieren – unter Berücksichtigung der BSI-Standards und IT-Grundschutzkataloge. Die Vorgehensweise zur ISMS-Einführung wird in unserer Zertifizierungsschulung zum Certified ISO 27001 Lead Implementer erklärt.

Implementierung des ISMS bis zur Zertifizierungsreife

Ergänzend dazu unterstützen wir in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen: Workshopreihe zur Unterstützung bei der ISMS-Einführung

Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.

Wir unterstützen Sie auch im Rahmen eines vollständigen Beratungsprojekts bei der Bearbeitung aller zur ISO27001-Zertifizierung erforderlichen Schritte:

ISMS auf Basis ISO27001
Fordern Sie unser Angebot an! Online-Checkliste

 

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Nehmen Sie jetzt Kontakt zu uns auf, wir melden uns umgehend, um Ihnen ein individuelles und unverbindliches Angebot zu unterbreiten.

Ich wünsche konkrete Informationen zu

Haben Sie besondere Wünsche oder Anforderungen?