KRItische Infrastrukturen | Krankenhaus

Alle Unternehmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen. Dabei sind sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen.

Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden. Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen.

KHZG | Vorgaben & Ziele

Zur Verbesserung der digitalen Infrastruktur von Krankenhäusern, wurde mit dem Krankenhauszukunftsgesetz (KHZG) ein milliardenschweres Investitionsprogramm aufgelegt. Das „Zukunftsprogramm Krankenhäuser“ umfasst ein Volumen von insgesamt ca. 4,3 Milliarden Euro (3 Milliarden aus Bundesmitteln zuzüglich, 1,3 Milliarden sollen die Länder bereitstellen, siehe KHZG).
Ziel dieses Fördertatbestandes ist es, die IT- bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen gehören sowie in Hochschulkliniken zu verbessern. Durch die zunehmende Digitalisierung und die damit verbundenen Prozesse sollen deshalb auch Krankenhäuser, die nicht zur kritischen Infrastruktur nach dem BSI-Gesetz (BSI-KritisV-Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) gehören, berücksichtigt werden.

nicht KRITIS | Worauf kommt es an?

Patientendatenschutzgesetz: Ab Januar 2022 gelten auch für Krankenhäuser, welche nicht als KRITIS definiert sind, entsprechende Anforderungen, die im Sozialgesetzbuch (SGB) Fünftes Buch (V) – Gesetzliche Krankenversicherung – (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477) beschrieben sind (§ 75c IT-Sicherheit in Krankenhäusern). Diese Anforderungen lassen sich mit Hilfe eines branchenspezifischen Sicherheitsstandards (B3S) erfüllen.

Umsetzung der Vorgaben (KRITIS & nicht KRITIS)

Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen (ISO/IEC 27001), oder die vom BSI alternativ anerkannten „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.

Die Vorgehensweise zur ISMS-Einführung wird in unserer Zertifizierungsschulung erklärt. Ergänzend dazu unterstützen wir Sie in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen – weitere Informationen finden Sie unter Schulungen. Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.

Angebot anfordern

In 2 Minuten zum Angebot 

Ihr Ansprechpartner

Alexander Nolte

IT-Sicherheitsgesetz 2.0

KRITIS-Betreiber

Neuer Betreiber

Aktuelle Schwellenwerte

Gesundheit

Anforderungen | "muss" oder "kann"

Die Anforderungen und darin beispielhaft genannten Sicherheitssysteme sind nicht ausschließlich einem der Bereiche Prävention, Detektion, Mitigation, Response oder Awareness zuzuordnen. So kann eine einzelne Anwendung mehrere Bereiche abdecken.

Das Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit muss sich einem der folgenden Ziele oder einer Kombination davon widmen. Zudem gibt es Kann-Anforderungen für die Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit.

1. Pävention

  • Systeme zur
  • Zonierung von Netzwerken
  • Next Generation Firewalls
  • sichere Authentisierungssysteme
  • MicroVirtualisierung/Sandbox-Systeme
  • Schnittstellen-Kontrolle
  • Intrusion Prevention Systeme
  • Network Access Control
  • Schwachstellenscanner
  • Softwareversionsmanagement
  • Datenschleusen
  • Datendioden
  • VPN-Systeme
  • verschlüsselte Datenübertragung
  • verschlüsselte mobile Datenträger
  • Etablierung ISMS

2. Detektion

  • Security Operation Center
  • Log Management Systeme
  • Security Information Event Management Systeme
  • Intrusion Detection Systeme
  • lokaler Schadsoftwareschutz mit zentraler Steuerung
  • Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport

3. Awareness

Steigerung und Aufrechterhaltung der Awareness gegenüber Informationssicherheits-Vorfällen bzw. der Bedeutung von IT-/Cybersicherheit (u.a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen).

Termine zu unseren BSI & ISO Schulungen

Montag, Juni 27, 2022 Juni 27
Dienstag, Juni 28, 2022 Juni 28
Montag, Juli 4, 2022 Juli 4
Donnerstag, Juli 14, 2022 Juli 14
Keine Veranstaltung gefunden
Weitere anzeigen

Flyer - Schulungen & Workshops

Online, Präsenz und Inhouse zu Informationssicherheit & IT-Services

FAQ

Gemäß dem IT-Sicherheitsgesetz (IT-SiG) von 2015 ergänzte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Verordnung zu den Kritischen Infrastrukturen (KRITIS). Darin ist festgelegt, dass KRITIS-Betreiber sowohl IT-Systeme als auch KRITIS-Kernkomponenten angemessen zu schützen haben. Da es bei Störungen und Totalausfällen von KRITIS-Unternehmen zu Versorgungsengpässen und Gefahren für die Sicherheit der Bevölkerung kommen kann, müssen diese höhere gesetzliche Auflagen erfüllen als andere Unternehmen.

Mit einer erfolgreich abgeschlossenen KRITIS-Prüfung bestätigt Ihnen eine unabhängige Prüfstelle, dass Ihr Unternehmen den aktuellen Sicherheitsstandards entsprechend Ihrer Vorgaben entspricht. In diesem Rahmen wird geprüft, ob Ihre Sicherheitsbemühungen den derzeitigen Anforderungen des BSI entsprechen.

Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) fallen. KRITIS steht für „Kritische Infrastrukturen“ und meint Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.

Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt.

Eine vorhandene ISO 27001 Zertifizierung ist nicht ausreichend. Die ISO 27001 Zertifizierung kann lediglich als Grundlage für den Nachweis gemäß §8a BSIG verwendet werden.