Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken vom BSI veröffentlicht
Im Juli 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) veröffentlicht und damit in Kraft gesetzt. Die dazugehörende BSI-KRITIS-Verordnung (BSI-KritisV) definiert dabei Bemessungsgrenzen der kritischen Infrastrukturen und den Umfang der zu ergreifenden Sicherheitsmaßnahmen, u. a. für das Gesundheitswesen. Seit dem 30.06.2017 laufen die Fristen von 6 Monaten bzw. 2 Jahren.
Nach § 8a BSIG müssen Betreiber kritischer Infrastrukturen ihre für die Versorgung der Bevölkerung kritischen Prozesse nach dem Stand der Technik absichern und dieses gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geeignet nachweisen.
Ein sog. Branchenspezifischer Sicherheitsstandard (B3S) existiert bis dato nicht. Ein etwaiger B3S muss, bevor er gültig und anerkannt ist, durch das BSI geprüft und freigegeben werden. Verschiedene Arbeitsgruppen/Arbeitskreise setzen sich derzeit mit den Anforderungen und daraus resultierenden Maßnahmen auseinander. Mit der Veröffentlichung eines anerkannten B3S wird nicht vor Anfang/Mitte 2018 gerechnet.
Da die Umsetzungsfristen von 6 Monaten bzw. 2 Jahren knapp bemessen sind, befinden sich die betroffenen Klinken/Krankenhäuser teilweise bereits in der Umsetzung. Um den durch das IT-Sicherheitsgesetz betroffenen Kliniken/Krankenhäusern dabei eine Orientierungshilfe mit auf den Weg zu geben, hat der Branchenarbeitskreis Medizinische Versorgung im UP KRITIS vorab eine “Handlungsempfehlung für die Verbesserung zur Informationssicherheit an Kliniken” (nunmehr in der Version 1.1) herausgegeben. Bei Interesse an dem Dokument kontaktieren Sie uns gerne.
Die Branchen- und Sicherheitsexperten der AuraSec GmbH stehen Ihnen für Fragen gerne zur Verfügung.