Patientendatenschutzgesetz (PDSG)
Maßnahmen für mehr IT-Sicherheit ab 2022 verpflichtend für alle Kliniken
Mit dem Patientendatenschutzgesetz (PDSG) hat der Deutsche Bundestag am 3.7.2020 auch Änderungen in Bezug auf die IT-Sicherheit in Krankenhäusern beschlossen. Bisher ergaben sich Anforderungen in Bezug auf IT-Sicherheit für Krankenhäuser aus dem § 8a BSI-Gesetz (BSIG) für so genannte „Kritische Infrastrukturen“ (Krankenhäuser mit mindestens 30.000 vollstationären Behandlungsfällen im Jahr) sowie aus § 75b SBG V für vertragsärztliche Leistungsbereiche im Krankenhaus, die ihre Systeme und Prozesse entweder nach Vorgaben der Kassenärztlichen Bundesvereinigung (KBV) oder den Anforderungen des Branchenspezifischen Sicherheitsstandards (B3S) der Deutschen Krankenhausgesellschaft abzusichern hatten.
Die neuen Regelungen ergänzen die Vorgaben für Krankenhäuser insofern, als dass ab dem 1.1.2022 alle Krankenhäuser in Deutschland angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Schutzziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen haben, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Hierfür können Krankenhäuser einen den sog. Branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung umsetzen, welcher federführend durch die deutsche Krankenhausgesellschaft und Branchenexperten erstellt und seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) anerkannt wurde. Der sog. BS3 MV beschreibt 168 Maßnahmen, die nötig sind, um eine resiliente Informationstechnik zu gewährleisten und die medizinische Versorgung, die Patientensicherheit und die Behandlungseffektivität sicherzustellen.
Auch wenn der neue § 75c SGB V im Gegensatz zu den Anforderungen an Kritische Infrastrukturen keine Melde- oder Nachweispflichten vorsieht, dürfte die Frist zur Umsetzung für Krankenhäuser äußerst knapp bemessen sein.
Aus Sicht der Fachleuten und Branchenexperten der AuraSec GmbH sind die nun vorgenommene Änderung im Grundsatz zu begrüßen. Die Bedrohungssituation in Bezug auf mögliche Cyberangriffe stellt sich für Krankenhäuser unabhängig von der Anzahl der Behandlungsfälle dar, wenngleich die möglichen Auswirkungen differenziert betrachtet werden müssen. Da ausweislich der Begründung des Gesetzentwurfs aus Sicht des Gesetzgebers mit zunehmender Digitalisierung die Abhängigkeit der Versorgung immer stärker von IT-Systemen abhänge und auch das Bedrohungspotenzial durch zunehmend zielgerichtete, technologisch ausgereiftere und komplexere Angriffe wachse, sollen die Anforderungen an IT-Sicherheit künftig von allen Krankenhäuser in Deutschland umgesetzt werden. Gerne beraten wir Sie hinsichtlich einer pragmatischen sowie Kosten/Nutzen-optimierten Umsetzung.
Wünschen Sie ein erstes unverbindliches Gespräch?
Wenn Sie noch Fragen haben, vereinbaren Sie mit uns einen Termin für ein unverbindliches, rund 30-minütiges Beratungsgespräch!
Wir freuen uns auf Ihre Nachricht –
Ihr Team der AuraSec GmbH
Telefon: 030 408173352
E-Mail: info@aurasec.de