IT-Sicherheitsanforderungen an Kliniken/Krankenhäuser gemäß Patientendatenschutzgesetz (PDSG) bzw. des § 75c SGB V
Krankenhäuser und viele andere Einrichtungen des Gesundheitswesens tragen in mehrfacher Hinsicht eine besondere Verantwortung für die Resilient ihrer IT-Infrastrukturen. Die Versorgung von Patientinnen und Patienten mit Unterstützung modernster IT-Systeme muss ebenso zuverlässig gewährleistet sein wie der Schutz sensibler Patientendaten.
Öffentlich bekannt gewordene IT-Sicherheitsvorfälle in Kliniken und Krankenhäusern zeigen, dass medizinische Einrichtungen zunehmend gezielt aber auch ungezielt Opfer eines Cyber-Angriffs werden können. Nicht zuletzt aufgrund der zunehmenden Digitalisierung im Bereich der medizinischen Versorgung stehen vor allem Krankenhäuser vermehrt vor großen Herausforderungen im Hinblick auf die Absicherung und die Resilienz ihrer IT-Systeme, -Prozesse und -Komponenten, die für die medizinische Versorgung relevant sind.
Diesen Handlungsbedarf hat der Gesetzgeber erkannt und bereits mit dem IT-Sicherheitsgesetz in 2015 bzw. der BSI-Kritis-Verordnung in 2017 Universitätskliniken und Großkrankenhäuser dazu verpflichtet entsprechende Sicherheitsmaßnahmen umzusetzen und die effektive Umsetzung ggü. dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen.
Doch auch für Krankenhäuser unterhalb des Schwellenwertes aus der BSI-KritisV, der aktuell bei 30.000 stationären Patienten p.a. liegt, rückt IT- und Informationssicherheit immer stärker in den Fokus. In diesem Zusammenhang wird es auch zukünftig zwingend notwendig sein, dass Krankenhäuser als wichtiger Bestandteil der medizinischen Versorgung der Bevölkerung verstärkt den Prozess ihrer kritischen Dienstleistung analysieren, um diesen durch die Umsetzung von technischen und organisatorischen IT-Sicherheitsmaßnahmen bestmöglich schützen zu können.
Patientendatenschutzgesetz (PDSG) bzw. Ergänzung des § 75 SGB V
Maßnahmen für mehr IT-Sicherheit ab 2022 verpflichtend für alle Kliniken
Im September 2020 wurde das Patientendaten-Schutz-Gesetz (PDSG) beschlossen; ein Artikelgesetz, welches viele andere Gesetze verändert bzw. ergänzt. Darunter auch den § 75c SGB V. Dort heißt es nunmehr in einer Ergänzung:
(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.
(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.
(3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.
Somit sind nunmehr alle Kliniken/Krankenhäuser verpflichtet bis 01.01.2022 angemessene Maßnahmen zur Erhöhung der IT-Sicherheit umzusetzen und können hierzu nach § 8a Abs. 2 BSI-Gesetz vom Bundesamt für Sicherheit in der Informationstechnik bestätigten branchenspezifische Sicherheitsstandards (B3S) für die Gesundheitsversorgung im Krankenhaus anwenden. Unter „angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit“ wird ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) verstanden. Solch ein ISMS beschreibt auch der in § 75c SGB V Abs. 2 genannte branchenspezifische Sicherheitsstandard für die medizinische Versorgung.
Regelwerke und Standards für die IT- und Informationssicherheit
Es gibt bekanntlich diverse allgemein anerkannte Standards zur IT-Sicherheit, z.B. der ISO/IEC 27001 (zu welcher es zudem eine Branchenspezifische Erweiterung (ISO/IEC 27799 existiert) oder dem IT-Grundschutz Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI), an welchen sich auch Kliniken/Krankenhäuser orientieren können. Darüber hinaus gibt es von Seiten des BSI weitere Handlungshilfen zur Verbesserung der IT-Sicherheit in Kliniken und Krankenhäusern.
In Bezug auf die Anforderungen des IT-Sicherheitsgesetzes bzw. BSI-Gesetzes an Betreiber kritischer Infrastrukturen hat die Deutsche Krankenhausgesellschaft (DKG) gemeinsam mit dem Arbeitskreis med. Versorgung im UP Kritis einen Branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung erstellt, welcher seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) anerkannt wurde (vgl. Anforderungen § 75c SGB V Abs.2). Dieser Branchenstandard definiert ein Informationssicherheitsmanagementsystem auf Basis ISO/IEC 27001 und beschreibt 168 Maßnahmen, die nötig sind, um eine resiliente Informationstechnik in einem Krankenhaus zu gewährleisten und die medizinische Versorgung, die Patientensicherheit und die Behandlungseffektivität sicherzustellen.
Kürzlich hat zudem das Landesamt für Sicherheit in der Informationstechnik in Bayern eine Orientierungshilfe zur IT-Sicherheit in Kliniken herausgegeben.
Nun ist es nicht zwangsläufig ökonomisch sinnvoll oder gar notwendig, Anforderungen, die für größere Organisationen oder gar Kritis-Betreiber vorgesehen sind, z.B. in einem vglw. kleineren städtischen Krankenhaus umzusetzen. Denn der Branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung als auch die ISO/IEC 27001 und der IT-Grundschutz erfordern eine personelle Sicherheitsorganisation, die in der Regel in Form eines Informationssicherheitsbeauftragten (ISB) oder sogar als eigene Organisationseinheit aufzusetzen ist.
Doch wie gelingt es auf Basis der vielfältigen Standards und Möglichkeiten einen angemessenen sinnvollen Ansatz zu finden, den eigenen Bedarf an technischen und organisatorischen Sicherheitsmaßnahmen in angemessener Form zu bestimmen und mit diesem die Anforderungen des § 75c SGB V umzusetzen?
IT-Sicherheit kostet Geld: Mehrkosten für Krankenhäuser
Durch die Umsetzung von IT-Sicherheitsmaßnahmen im Allgemeinen bzw. der im B3S definierten Maßnahmen entstehen relevante Mehrkosten für die Krankenhäuser.
Die DKG hatte 2019 eine Studie in Auftrag gegeben, wonach die Umsetzung des Branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung für ein Krankenhaus initiale Mehrkosten in Höhe von ca. 1,5-2,0 Mio. EUR versursacht. Im laufenden Betrieb eines Informationssicherheitsmanagements in einem Krankenhaus werden, insbesondere aufgrund des erhöhten Personalbedarfs, Mehrkosten in Höhe von ca. 500-600 TEUR pro Jahr entstehen, die nicht in den bisher kalkulierten Budgets für Informationstechnik enthalten sind.
Daher kann auch ein gestuftes Umsetzungskonzept infrage kommen, welches den Geltungsbereich zunächst abschließend beschreibt, für die Umsetzung jedoch eine iterative, einer Priorisierung folgende, Nutzenorientierte Vorgehensweise beschreibt mit welcher im ersten Umsetzungsschritt die Themen und Anforderungen berücksichtigt und umgesetzt werden, die nach dem Pareto-Prinzip den höchsten Nutzen bzw. den größten Einfluss auf die Resilienz der IT-Systeme haben.
Kliniken und Krankenhäuser, die vom Patientendatenschutzgesetz (PDSG) betroffen sind und bis 01.01.2022 ein Informationssicherheitsmanagement (ISMS) einführen müssen, sollten damit schnellstmöglich beginnen, denn erfahrungsgemäß dauert die Implementierung eines ISMS i.d.R. mindestens ein Jahr. Hierbei können viele organisatorische und technische Maßnahmen im Kontext IT-Sicherheit aus dem Krankenhauszukunftsfond (KHZF) gefördert werden.
Gerne unterstützen wir Sie bei der Identifikation relevanter und notwendiger technischer und organisatorischer Maßnahmen zur Erhöhung der IT-Sicherheit.
Kontaktieren Sie uns!