Branchenspezifischer Sicherheitsstandard (B3S)

Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern muss dauerhaft gewährleistet werden, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz.

Der B3S wird in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft erstellt und vom Bundesamt für Sicherheit in der Informationstechnik geprüft, ob er für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist.

Für die aktuelle Version 1.2 (Stand 8.12.2022) wurde am 10.1.2023 die Eignung nach § 8a Abs. 1 und Abs. 1a BSIG festgestellt. An dieser Stelle wird neben der aktuell gültigen Fassung des B3S die Vorversion sowie eine Mappingtabelle der Anforderungen bereitgestellt.

Weiterhin wird eine Excel-basierte Arbeitsmappe zur Planung der Prüfungen nach § 8a Abs. 1 BSIG bereitgestellt. Diese Prüfungen müssen von Krankenhäusern, welche den Schwellenwert der BSI-KritisVO zur Definition kritischer Infrastrukturen erreichen oder überschreiten, spätestens alle zwei Jahre durchgeführt werden. Dieser "Prüfnachweisplaner" wurde im Branchenarbeitskreis "Medizinische Versorgung" erstellt und wird in Version 3 dem B3S künftig als Anlage beigefügt.

Ebenfalls bereitgestellt werden durch den Branchenarbeitskreis erstellte Handlungsempfehlungen für die Umsetzung der Anforderungen für Systeme zur Angriffserkennung (SzA), die im B3S in Version 1.2 enthalten sind.

Der Branchenarbeitskreis „Medizinische Versorgung“ empfiehlt hierin konkrete technische Maßnahmen sowie organisatorische Hinweise für die Umsetzung der Anforderungen. Diese Empfehlung können Krankenhäuser dabei unterstützen, die Anforderungen umzusetzen und im Rahmen der gegebenenfalls anstehenden Prüfungen nach § 8a BSIG den Rahmen der Prüfung dieser neuen Anforderungen mit prüfenden Stellen abzustimmen.

Informationssicherheit in Krankenhäusern (§ 391 SGB V)

Mit dem im Oktober 2020 erlassenen Patientendatenschutzgesetz (PDSG) sind ab dem 01.01.2022 gemäß § 391 SGB V (vor DigiG: § 75c SGB V) alle Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.

Eine Arbeitsgruppe der DKG hat hierzu Umsetzungshinweise („Starter-Paket“) erarbeitet, die sich zunächst an die Geschäftsführung von Krankenhäusern richten.

Das Dokumentenpaket stellt Motivation und Zielstellung der Umsetzung eines systematischen Informationssicherheitsmanagements im Krankenhaus dar, beschreibt die aktuellen spezifischen Sicherheits-Gefährdungen und gibt einen kurzen Überblick über einschlägige gesetzliche Grundlagen und Fördermöglichkeiten.

Arbeitshilfen und Vorlagen unterstützen die organisatorische Integration von Informationssicherheit im Krankenhaus, eine initiale Gap-Analyse zur Bestandsaufnahme von bereits implementierten Informationssicherheitsmaßnahmen sowie den Ausbau eines Notfall- und Business-Continuity-Managements.

Wir stellen das Starter-Paket § 391 (bisher § 75c) SGB V nachfolgend zur Verfügung.