IT-Sicherheitsgesetz für Krankenhäuser

Worum geht es?

Mit der Ende Juni 2017 in Kraft getretenen Änderung der KRITIS-Verordnung wird jetzt für alle KRITIS-Sektoren klar geregelt, inwiefern sie unter die Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) fallen. KRITIS steht für „Kritische Infrastrukturen“ und meint Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, deren Beeinträchtigungen Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben.

Bislang existierte die Festlegung für die Sektoren Energie, Informationstechnik & Telekommunikation und Wasser & Ernährung (sog. „1. Korb“). Jetzt wurden die Kriterien für Gesundheit, Finanz- & Versicherungswesen und Transport & Verkehr („2. Korb“) bestimmt und das IT-Sicherheitsgesetz somit final umgesetzt.

Was ist zu tun?

Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden.

Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen, so gelten zum Beispiel:

Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Kliniken und Krankenhäusern,
ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken
1.5 Mio Aufträge bei Laboren

als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift.

Alle Unternehmen und Organisationen, die vom IT-Sicherheitsgesetz betroffen sind, sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) umzusetzen und nachzuweisen.

Branchenspezifische Sicherheitsstandards (B3S)

Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür sind entweder anerkannte Normen (ISO/IEC 27001), oder die vom BSI alternativ anerkannten „Branchenspezifische Sicherheitsstandards“ (B3S) zugelassen.

Die Vorgehensweise zur ISMS-Einführung wird in unserer Zertifizierungsschulung zum Certified ISO 27001 Lead Implementer erklärt.

Ergänzend dazu unterstützen wir Sie in einer Reihe von projektbegleitenden Workshops bei der Implementierung des ISMS bis zur Zertifizierungsreife bzw. zum Auditbericht für das BSI, um die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen: Workshopreihe zur Unterstützung bei der ISMS-Einführung.

Die Termine können dabei individuell auf die Ziele der ISMS-Einführung abgestimmt werden, abhängig von der Verfügbarkeit eigener Ressourcen. Ein Projektplan wird nach Klärung der Zielsetzung gemeinsam erstellt.

Warum neam?

seit über 20 Jahren am Markt mit 90 festangestellten Mitarbeitern
Zertifizierte ISO27001 Lead Auditoren und Lead Implementer
über 400 umgesetzte ISMS-Projekte
100% erfolgreich zertifizierte KRITIS-Projekte
Stark im Gesundheitssektor mit vielen erfolgreichen Projekten
erprobte Dokumentationsstandards und -vorlagen für alle Projektphasen
Qualitätsmanagement nach DIN EN ISO 9001 zertifiziert

Wir unterstützen Sie durch

vollständige ISMS-Einführung im Rahmen eines vollständigen Beratungsprojekts bei der Bearbeitung aller zur ISO27001-Zertifizierung erforderlichen Schritte
Projektbegleitung im Rahmen unserer Workshopreihe bis zur Zertifizierungsreife
Stellen des externen Sicherheitsbeauftragten zur Unterstützung und Bearbeitung der Projektschritte
Ausbildung Ihres Informationssicherheitsbeauftragten (z.B. zum ISO 27001 Lead Implementer) für Ihre eigenständige ISMS-Einführung
einzelne, themenbezogene Workshops, wobei wir gemeinsam mit Ihnen die jeweiligen Punkte eines ISMS (Risikomanagement, Notfallmanagement usw.) erarbeiten
interne und technische Audits (z.B. Penetrationstests)

ISMS auf Basis ISO27001

Fordern Sie unser Angebot an! Online-Checkliste

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Ihr Ansprechpartner

Kai Wittenburg

+49 5251 1652-122kai.wittenburg@neam.de

Nächste Schulungen

17.10.2019
BSI oder ISO 27001-Projekte mit verinice.PRO
18.10.2019
IT-Notfallmanagement (BCM)
21.10.2019
Datensicherungskonzept nach IT-Grundschutz
21.10.2019
Informationssicherheitsbeauftragte(r) mit TÜV Rheinland geprüfter Qualifikation
21.10.2019
Certified ISO 27001 Lead Implementer

Blogartikel

Beiträge aus dem Bereich Mitarbeitersensibilisierung

25.09.2019 |von Kevin BublitzZunahme von erfolgreichen Cyber-Angriffen mit Emotet

Cyber-Angriffe mit der Schadsoftware Emotet haben in den vergangenen Tagen erhebliche Schäden in der deutschen Wirtschaft, aber auch bei Behörden […]

13.09.2019 |von Kevin BublitzVeranstaltung: neam Security Escape Room (Folgetermin)

IT-Security Sensibilisierung für Erfahrene und Neulinge Als Mitglied einer White-Hat Hacker Gruppe wurden Sie beauftragt, einen Penetrationstest in einem Unternehmen […]

04.09.2019 |von Kevin BublitzAusgebucht – Veranstaltung: neam Security Escape Room

IT-Security Sensibilisierung für Erfahrene und Neulinge Als Mitglied einer White-Hat Hacker Gruppe wurden Sie beauftragt, einen Penetrationstest in einem Unternehmen […]