Krankenhauszukunftsgesetz (KHZG)

Zur Verbesserung der digitalen Infrastruktur von Krankenhäusern, wurde mit dem Krankenhauszukunftsgesetz (KHZG) ein Milliarden schweres Investitionsprogramm aufgelegt. Das „Zukunftsprogramm Krankenhäuser“ umfasst ein Volumen von insgesamt ca. 4,3 Milliarden Euro (3 Milliarden aus Bundesmitteln zuzüglich, 1,3 Milliarden sollen die Länder bereitstellen, siehe KHZG).

Das Antragsverfahren in 4 Schritten

Um den Förderbedarf zu ermitteln, stellen wir den Status Quo hinsichtlich der Digitalisierung fest. Auf dieser Basis lassen sich ein Zukunftsbild und damit förderfähige Projekte ableiten.

Spätetens in Schritt 2 muss ein IT-Dienstleister involviert werden, der die Vorhaben bewertet. Eine Zusammenarbeit empfielt sich jedoch bereits im Antragsverfahren ​(Schritt 1), um passende Projekte auf das Klinikum/den Klinik-Verbund zuzuschneiden. ​

Über die Antragsformulare des Bundesamts für Soziale Sicherung erfolgt die Bedarfsanmeldung. Zusätzlich müssen detaillierte Angaben zum Digitalisierungs- bzw. Modernisierungsvorhaben dargestellt und begründet werden. Um Mehraufwände zu vermeiden, empfehlen wir die Informationen bereits im Antragsverfahren ​(Schritt 1) zu protokollieren und aufzubereiten.​

Nach Erhalt der Förderung erfolgen regelmäßige Prüfungen über eine zweckentsprechende Verwendung. Länder können Unterlagen einsehen und die Geschäftsräume besichtigen. Zudem sind Nachweise des IT-Dienstleisters über die Einhaltung der Anforderungen nach § 19 Abs. 1 sowie die Einhaltung der Förderrichtlinien zu erbringen.

HIER FINDEN SIE ALLE INFORMATIONEN ZUR KRITISVERORDNUNG im Gesundheitssektor

Zielsetzung

Ziel dieses Fördertatbestandes ist es, die IT- bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen gehören sowie in Hochschulkliniken zu verbessern. Durch die zunehmende Digitalisierung und die damit verbundenen Prozesse sollen deshalb auch Krankenhäuser, die nicht zur kritischen Infrastruktur nach dem BSI-Gesetz (BSI-KritisV-Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) gehören, berücksichtigt werden.

Dabei sind sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen.

Webcast: KHZG – Der Weg zur Finanzierung eines SOC mit Hilfe von Managed Threat Response

Anforderungen MUSS und KANN

Die Anforderungen und darin beispielhaft genannten Sicherheitssysteme sind nicht ausschließlich einem der Bereiche Prävention, Detektion, Mitigation, Response oder Awareness zuzuordnen. So kann eine einzelne Anwendung mehrere Bereiche abdecken.

Das Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit muss sich einem der folgenden Ziele oder einer Kombination davon widmen. Zudem gibt es Kann-Anforderungen für die Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit.

Anforderungen (MUSS)

Prävention

vor Informationssicherheits-Vorfällen (u.a. Systeme zur Zonierung von Netzwerken, Next Generation Firewalls, sichere Authentisierungssysteme, MicroVirtualisierung/Sandbox-Systeme, Schnittstellen-Kontrolle, Intrusion Prevention Systeme; Network Access Control, Schwachstellenscanner, Softwareversionsmanagement, Datenschleusen, Datendioden, VPN-Systeme, verschlüsselte Datenübertragung, verschlüsselte mobile Datenträger, ISMS).

von Informationssicherheits-Vorfällen (u.a. Security Operation Center, Log Management Systeme, Security Information Event Management Systeme, Intrusion Detection Systeme, lokaler Schadsoftwareschutz mit zentraler Steuerung, Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport).

von Informationssicherheits-Vorfällen (u.a. automatisierte BackupSysteme, lokaler Schadsoftwareschutz mit zentraler Steuerung).

Steigerung und Aufrechterhaltung der Awareness gegenüber Informationssicherheits-Vorfällen bzw. der Bedeutung von IT-/Cybersicherheit (u.a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen).

Anforderungen (KANN)

durch Cloud- und KI-gestützte Verfahren.