Hintergrund der KRITIS-Verordnung
Ob Strom oder Trinkwasser, Verkehr oder Ernährung – Beeinträchtigungen, nachhaltige Störungen oder gar Ausfälle von Versorgungsleistungen und Dienstleistungen im Bereich der Kritischen Infrastrukturen (KRITIS) könnten dramatische Folgen für Deutschlands Wirtschaft und Gesellschaft haben. Die Sicherheit und Verfügbarkeit der informationstechnischen Systeme in KRITIS-Organisationen ist daher für das staatliche Gemeinwesen von zentraler Bedeutung.
KRITIS-Betreiber müssen
- IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ einsetzen und erhalten (§ 8a Abs. 1 BSI-Gesetz) und
- dem BSI erhebliche IT-Störungen melden (§ 8b Abs. 4 BSI-Gesetz).
Erweiterte Pflichten für KRITIS-Betreiber durch NIS-Richtlinie
Seit dem 9. Mai 2018 ist die NIS-Richtlinie – „Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ rechtskräftig. Dabei werden zusätzliche Einrichtungen und Akteure aus dem Sektor „Digitale Dienste“ in die Pflicht genommen.
Die NIS-Richtlinie definiert auch zusätzliche Anforderungen hinsichtlich der Meldepflichten bei IT-Störungen sowie erweiterte Nachweispflichten für KRITIS-Betreiber. Im Rahmen neuer Befugnisse werden z.B. Kontrollbesuche durch das BSI auch dann möglich sein, wenn bis dato keine Mängel nachgewiesen worden sind. KRITIS-Betreiber müssen also in der Lage sein, entsprechende Audits, Prüfungen oder Zertifizierungen jederzeit nachweisen zu können.
B3S in der Anwendung: Branchenspezifische Sicherheitsstandards in der Gesundheitsversorgung (Klinikum) mit fuentis abbilden und umsetzen
Für Informationssicherheit in KRITIS-Kliniken müssen Klinikbetreiber ihre IT-Sicherheit nach dem Stand der Technik umsetzen und dem BSI gegenüber regelmäßig nachweisen. Auch ein angemessenes Datenschutzniveau gemäß DSGVO ist auf Anfrage von Aufsichtsbehörden aktiv nachzuweisen. Hierzu ist ein geeignetes Managementsystem sinnvoll. Sei es in Form eines Informationssicherheits-Managementsystem (ISMS), eines Meldewesens bzw. Krisenmanagements oder eines integrierten Managementsystems, das alle Disziplinen berücksichtigt.
Mit dem fuentis ISMS Modul basiert der Sicherheitsstandard für die Gesundheitsversorgung auf ISO/IEC 27001, in der die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS normiert sind. Alternativ wäre ein Vorgehen nach ISO/IEC 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) möglich.
Zwecks Nachweis gegenüber dem BSI, können KRITIS-Kliniken auf den von der Deutschen Krankenhausgesellschaft (DKG) entwickelten branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung zurückgreifen.
Bei der Festlegung des Geltungsbereichs sollten die Kerngeschäftsprozesse zur medizinischen Versorgung von Patienten als Orientierung (Aufnahme, Diagnose, Therapie, Pflege, Entlassung) dienen. Sämtliche Richtlinien, Prozessbeschreibungen und Dokumentationen sind auf diesen Geltungsbereich abzustimmen.
ISMS-Risikomanagement nach B3S-Katalog Gesundheitsversorgung
Die gesetzlich verankerten Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von Informationen, Geschäftsprozessen und Assets lassen sich nur durch ein organisatorisch verankertes ISMS-Risikomanagement realisieren.
Der branchenspezifische Sicherheitsstandard sieht insgesamt 37 Anforderungen an ein ISMS-Risikomanagement vor. Bei der Gefährdungsanalyse werden sämtliche Punkte erfasst, die den Krankenhausbetrieb beeinträchtigen können. Aufgelistet werden 40 verschiedene Bedrohungsszenarien, Schwachstellen und mögliche Gefahren wie beispielsweise Elementarschaden und Stromausfall, Cyber-Attacken oder menschliche Fehler.
Der B3S-Katalog empfiehlt insgesamt 168 Maßnahmen, kategorisiert in Muss-, Soll- und Kann-Anforderungen. Somit kann das Regelwerk sowohl als Leitfaden für die Praxis dienen wie auch als Grundlage für Kontrollen.
Geltungsbereiche, Infrastrukturen bzw. Assets und die Berücksichtigung der Anforderungen, Gefährdungsanalysen und empfohlenen Maßnahmen (Kontrollen) lassen sich optimal mit dem ISMS-Modul der fuentis Suite abbilden.
Fördermittel KHZG u.a. für ISMS in Krankenhäusern
Mit dem Krankenhauszukunftsgesetz (KHZG) wurde 2020 ein milliardenschweres Investitionsprogramm ins Leben gerufen, um digitale Infrastrukturen in Krankenhäusern zu verbessern und ihre IT-Sicherheit zu erhöhen. Gemäß KHZG sind mindestens 15 Prozent der gewährten Fördermittel zur Verbesserung der Informationssicherheit bzw. Einführung eines ISMS zu verwenden.
Die fuentis AG ist zertifizierter IT-Dienstleister nach dem KHZG (Krankenhauszukunftsgesetz).
Kontaktieren Sie uns gerne für weitere Informationen hierzu.
