Betrifft KRITIS Ihr Krankenhaus?

IT-Sicherheitsgesetz für Krankenhäuser – Worum geht es?

Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) fallen. KRITIS steht für „Kritische Infrastrukturen“ und meint Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.

Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt.

Angebot anfordern

Was ist zu tun?

Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden.

Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen, so gelten zum Beispiel:

• Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Kliniken und Krankenhäusern,
• ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken
• 1.5 Mio Aufträge bei Laboren

als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift.

Alle Unternehmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen.

Branchenspezifische Sicherheitsstandards (B3S)

Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen (ISO/IEC 27001), oder die vom BSI alternativ anerkannten „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.

Die Vorgehensweise zur ISMS-Einführung wird in unserer Zertifizierungsschulung zum Certified ISO 27001 Lead Implementer erklärt.

Ergänzend dazu unterstützen wir Sie in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen: Workshopreihe zur Unterstützung bei der ISMS-Einführung.

Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.

Warum neam?

• seit über 20 Jahren am Markt mit 90 festangestellten Mitarbeitern
• Zertifizierte ISO27001 Lead Auditoren und Lead Implementer
• über 400 umgesetzte ISMS-Projekte
• 100% erfolgreich zertifizierte KRITIS-Projekte
• Stark im Gesundheitssektor mit vielen erfolgreichen Projekten
• erprobte Dokumentationsstandards und -vorlagen für alle Projektphasen
• Qualitätsmanagement nach DIN EN ISO 9001 zertifiziert

Wir unterstützen Sie durch

• vollständige ISMS-Einführung im Rahmen eines vollständigen Beratungsprojekts bei der Bearbeitung aller zur ISO27001-Zertifizierung erforderlichen Schritte
• Projektbegleitung im Rahmen unserer Workshopreihe bis zur Zertifizierungsreife
• Stellen des externen Sicherheitsbeauftragten zur Unterstützung und Bearbeitung der Projektschritte
• Ausbildung Ihres Informationssicherheitsbeauftragten (z.B. zum ISO 27001 Lead Implementer) für Ihre eigenständige ISMS-Einführung
• einzelne, themenbezogene Workshops, wobei wir gemeinsam mit Ihnen die jeweiligen Punkte eines ISMS (Risikomanagement, Notfallmanagement usw.) erarbeiten
• interne und technische Audits (z.B. Penetrationstests)

Angebot anfordern