Krankenhäuser, die zur "Kritischen Infrastruktur" (KRITIS) gehören, müssen gemäß dem IT-Sicherheitsgesetz besonderen Schutz gegen Cyberattacken und Systemausfälle gewährleisten. Die Deutsche Krankenhausgesellschaft (DKG) hat den branchenspezifischen Sicherheitsstandard B3S entwickelt. Auch dafür gibt es Managementsysteme.
Der B3Sn in der aktuelle Version 1.2 umfasst über 200 Anforderungen, basierend auf der international anerkannten Norm ISO/IEC 27001. Er zielt darauf ab, eine resiliente Informationstechnik sicherzustellen und gleichzeitig die Patientenversorgung und Gesundheit zu gewährleisten. Der B3S-Katalog enthält Muss-, Soll- und Kann-Anforderungen, die sich nicht nur auf Cybersecurity, sondern auch auf organisatorische, strukturelle und prozessuale Aspekte erstrecken. Eine Gefährdungsanalyse berücksichtigt verschiedene Szenarien wie Elementarschäden, Stromausfälle, Cyber-Attacken und menschliche Fehler.
Risiko- und Kontinuitätsmanagement
Für KRITIS-Kliniken fordert der B3S ein Informationssicherheits-Risikomanagement. Die Kritikalität der Informationstechnik wird dabei nach Auswirkungen auf die medizinische Leistungsbereitstellung bewertet. Der B3S empfiehlt ein betriebliches Kontinuitätsmanagement, um die medizinische Versorgung bei IT-Ausfällen aufrechtzuerhalten. Es umfasst die Identifizierung kritischer Systeme und die Erstellung von Geschäftsfortführungs-, Notfall- und Wiederanlauf-Plänen.
Geschäftsführung und Informationssicherheit
Der B3S verpflichtet die Geschäftsführung, Informationssicherheitsziele durchzusetzen, einen Datenschutzbeauftragten zu haben und einen dedizierten Informationssicherheitsbeauftragten einzusetzen.
Herausforderungen und Anwendung des B3S
Der B3S spiegelt die heterogene IT-Landschaft in Krankenhäusern wider. Er stellt eine Herausforderung dar, die jedoch notwendig ist, um die medizinische Versorgung der Patienten in jedem Fall aufrechtzuerhalten. Informationssicherheit kann so der Orientierung dienen und zum Wettbewerbsvorteil für digitalisierte und optimierte Prozesse werden. Kliniken, unabhängig von ihrer Größe, müssen den Status quo analysieren, Handlungsbedarf ermitteln und kurz-, mittel- und langfristige Pläne zur Umsetzung der B3S-Anforderungen entwickeln.
Was sind die Vorteile des Standards?
Der B3S stellt sicher, dass Gesundheitseinrichtungen robuste Maßnahmen implementieren, um sich vor Cyberattacken zu schützen bzw. die negativen Auswirkungen minimieren, und somit die Integrität ihrer IT-Infrastruktur besser wahren. Durch die Umsetzung des B3S wird die Kontinuität der medizinischen Versorgung auch bei IT-Ausfällen gewährleistet, was für die Patientensicherheit von entscheidender Bedeutung ist.
Der B3S basiert auf international anerkannten Normen wie der ISO/IEC 27001, was eine Anpassung an bewährte Praktiken und globale Sicherheitsstandards ermöglicht. Wer heute schon diese Norm kennt (oder die verwandte VDA ISA 6.0 aus dem Bereich Automotive), hat einen guten Ausgangspunkt, um die Veränderungen anzustoßen. Die Anlehnung an diese Norm bietet Zukunftssicherheit, er stellt eine Grundlage für zukünftige Digitalisierungsprojekte und gesetzliche Anforderungen, was zu langfristiger Sicherheit beiträgt.
B3S und NIS-2
Doch auch mit Blick auf die NIS-2 Gesetzgebung der EU ist der B3S sinnvoll. Denn die NIS-2 erlaubt die ISO-Reihe 27000 als Bezugsrahmen für den Nachweis der Einhaltung der Anforderungen. Da der B3S auf der Norm ISO/IEC 27001 aufbaut, hat eine Gesundheitseinrichtung damit im Wesentlichen bereits den Nachweis der NIS-2 erbracht, man schlägt gewissermaßen "zwei Fliegen mit einer Klappe".
Vorteil Managementsystem
Und wer es sich einfacher machen will und eine Softwarelösung zur Unterstützung des Managementsystems für den B3S einsetzt, kann den Standard auf Basis von Templates, mitgelieferten Regelwerken, Richtlinien und Best Practices besser, schneller und kostengünstiger einführen.
Wir haben ein solches System für den B3S, fragen Sie uns nach einer Demo!
Comments