IT-Sicherheitsgesetz für Krankenhäuser

Worum geht es?

Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) fallen. KRITIS steht für „Kritische Infrastrukturen“ und meint Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.

Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt.

Was ist zu tun?

Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden.

Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen, so gelten zum Beispiel:

Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Kliniken und Krankenhäusern,
ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken
1.5 Mio Aufträge bei Laboren

als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift.

Alle Unternehmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen.

Branchenspezifische Sicherheitsstandards (B3S)

Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen (ISO/IEC 27001), oder die vom BSI alternativ anerkannten „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.

Die Vorgehensweise zur ISMS-Einführung wird in unserer Zertifizierungsschulung zum Certified ISO 27001 Lead Implementer erklärt.

Ergänzend dazu unterstützen wir Sie in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen: Workshopreihe zur Unterstützung bei der ISMS-Einführung.

Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.

Warum neam?

seit über 20 Jahren am Markt mit 90 festangestellten Mitarbeitern
Zertifizierte ISO27001 Lead Auditoren und Lead Implementer
über 400 umgesetzte ISMS-Projekte
100% erfolgreich zertifizierte KRITIS-Projekte
Stark im Gesundheitssektor mit vielen erfolgreichen Projekten
erprobte Dokumentationsstandards und -vorlagen für alle Projektphasen
Qualitätsmanagement nach DIN EN ISO 9001 zertifiziert

Wir unterstützen Sie durch

vollständige ISMS-Einführung im Rahmen eines vollständigen Beratungsprojekts bei der Bearbeitung aller zur ISO27001-Zertifizierung erforderlichen Schritte
Projektbegleitung im Rahmen unserer Workshopreihe bis zur Zertifizierungsreife
Stellen des externen Sicherheitsbeauftragten zur Unterstützung und Bearbeitung der Projektschritte
Ausbildung Ihres Informationssicherheitsbeauftragten (z.B. zum ISO 27001 Lead Implementer) für Ihre eigenständige ISMS-Einführung
einzelne, themenbezogene Workshops, wobei wir gemeinsam mit Ihnen die jeweiligen Punkte eines ISMS (Risikomanagement, Notfallmanagement usw.) erarbeiten
interne und technische Audits (z.B. Penetrationstests)

ISMS auf Basis ISO27001

Fordern Sie unser Angebot an! Online-Checkliste

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Ihr Ansprechpartner

Kai Wittenburg

+49 5251 1652-122kai.wittenburg@neam.de

Nächste Schulungen

06.05.2019
Penetrationstests von Web Anwendungen
06.05.2019
IT-Risikomanagement
07.05.2019
Certified ISO 27001 Foundation
07.05.2019
Migration auf modernisierten IT-Grundschutz
08.05.2019
BSI oder ISO 27001-Projekte mit verinice

Blogartikel

Beiträge aus dem Bereich Mitarbeitersensibilisierung

12.04.2019 |von Kevin BublitzWie erkennen Sie eine Phishing-Attacke?

"Einmal Ihre Daten zum Mitnehmen bitte" Die Frage ist so simpel, wie die Antwort auch. Sind Sie schon einmal Opfer […]

01.06.2017 |von Kevin BublitzKabinett beschließt Verordnung zur IT-Sicherheit

Am Mittwoch hat die Bundesregierung der vom Bundesminister des Innern, Dr. Thomas de Maizière, vorgelegten Änderung der Verordnung zur Bestimmung Kritischer […]

17.05.2017 |von Florian BombachSonder-Webcast Ransomware/WannaCry

Aus aktuellem Anlass haben wir am Freitag den 19. Mai ein Sonder-Webcast zum Ransomware/WannaCry Trojaner durchgeführt. Dabei haben wir u.a. darüber […]