Branchenspezifischer Sicherheitsstandard (B3S)

Die Sicherheit der informationstechnischen Systeme in den Krankenhäusern muss dauerhaft gewährleistet werden, sie dient in letzter Konsequenz auch der Patientensicherheit. Die Deutsche Krankenhausgesellschaft unterstützt diesen Prozess durch die Bereitstellung eines Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz.

Der B3S wird in Abstimmung mit dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS sowie der hierfür zuständigen Gremien der Deutschen Krankenhausgesellschaft erstellt und vom Bundesamt für Sicherheit in der Informationstechnik geprüft, ob er für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist.

Für die aktuelle Version 1.3 (Stand 10.10.2025) wurde am 3.11.2025 die Eignung nach § 8a Abs. 1 und Abs. 1a BSIG festgestellt. Die Eignungsfeststellung wurde auf drei Jahre befristet.

An dieser Stelle wird neben der aktuell gültigen Fassung des B3S die Vorversion sowie eine Mappingtabelle der Anforderungen bereitgestellt.

Im Wesentlichen betrifft die Überarbeitung die Aufnahme neuer Anforderungen aus aktuellen gesetzlichen und untergesetzlichen Anforderungen, insbesondere der Reife- und Umsetzungsgradprüfung (RUN) auf Basis der „Konkretisierung der Anforderungen (KdA)“ des BSI, eine Aufteilung von „Sammelanforderungen" auf einzelne Anforderungen sowie inhaltliche sowie redaktionelle Anpassungen an den bestehenden Anforderungen.

Für die Umsetzungsgrade 1 bis 3 (RUN) sind die entsprechenden Anforderungen in den B3S aufgenommen und eine Mapping-Tabelle zum Abgleich zwischen B3S und RUN erstellt worden. Anforderungen für die Umsetzungsgrade 4 und 5 wurden nicht in den B3S aufgenommen, werden jedoch unter Verweis auf die entsprechende Maßnahme nach KdA in der Mapping-Tabelle ausgewiesen.

Der Eignungsfestellungsbescheid des BSI enthält hierzu den folgenden Hinweis:

Die DKG stellt neben diesem B3S eine eigenständige Mapping-Tabelle zwischen den Anforderungen aus dem B3S und den Reife- und Umsetzungsgraden gemäß RUN (Stand 02.0I.2025) zur Verfügung. Diese wurde in Abstimmung mit dem BSI entwickelt und richtet sich an die B3S-Anwender und in der Branche tätige KRITIS-Prüfer..

Weiterhin wird eine Excel-basierte Arbeitsmappe zur Planung der Prüfungen nach § 8a Abs. 1 BSIG bereitgestellt. Diese Prüfungen müssen von Krankenhäusern, welche den Schwellenwert der BSI-KritisVO zur Definition kritischer Infrastrukturen erreichen oder überschreiten, spätestens alle zwei Jahre durchgeführt werden (NIS2UmsuCG: künftig alle drei Jahre). Dieser "Prüfnachweisplaner" wurde im Branchenarbeitskreis "Medizinische Versorgung" erstellt und wird in Version 3 dem B3S künftig als Anlage beigefügt.

Ebenfalls bereitgestellt werden durch den Branchenarbeitskreis erstellte Handlungsempfehlungen für die Umsetzung der Anforderungen für Systeme zur Angriffserkennung (SzA), die im B3S in Version 1.2 enthalten sind.

Der Branchenarbeitskreis „Medizinische Versorgung“ empfiehlt hierin konkrete technische Maßnahmen sowie organisatorische Hinweise für die Umsetzung der Anforderungen. Diese Empfehlung können Krankenhäuser dabei unterstützen, die Anforderungen umzusetzen und im Rahmen der gegebenenfalls anstehenden Prüfungen nach § 8a BSIG den Rahmen der Prüfung dieser neuen Anforderungen mit prüfenden Stellen abzustimmen.

Informationssicherheit in Krankenhäusern (§ 391 SGB V)

Mit dem im Oktober 2020 erlassenen Patientendatenschutzgesetz (PDSG) sind ab dem 01.01.2022 gemäß § 391 SGB V (vor DigiG: § 75c SGB V) alle Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.

Eine Arbeitsgruppe der DKG hat hierzu Umsetzungshinweise („Starter-Paket“) erarbeitet, die sich zunächst an die Geschäftsführung von Krankenhäusern richten.

Das Dokumentenpaket stellt Motivation und Zielstellung der Umsetzung eines systematischen Informationssicherheitsmanagements im Krankenhaus dar, beschreibt die aktuellen spezifischen Sicherheits-Gefährdungen und gibt einen kurzen Überblick über einschlägige gesetzliche Grundlagen und Fördermöglichkeiten.

Arbeitshilfen und Vorlagen unterstützen die organisatorische Integration von Informationssicherheit im Krankenhaus, eine initiale Gap-Analyse zur Bestandsaufnahme von bereits implementierten Informationssicherheitsmaßnahmen sowie den Ausbau eines Notfall- und Business-Continuity-Managements.

Wir stellen das Starter-Paket § 391 (bisher § 75c) SGB V nachfolgend zur Verfügung

Finanzierungsbedarf für Informationssicherheit im Krankenhaus

Das Research-Institut Goldmedia hatte im Auftrag der DKG eine Kostenerhebung zur Ermittlung der Mehrkosten für die Umsetzung von Maßnahmen zur Verbesserung der Informationssicherheit im Krankenhaus durchgeführt, die sich gemäß § 75c SGB V ergeben. Eingeführt wurden diese Maßnahmen mit dem Patientendaten-Schutz-Gesetz im Jahr 2020, sie gelten seit dem 1.1.2022 für alle Krankenhäuser unabhängig davon, ob diese bereits als sogenannte Kritische Infrastruktur i. S. d. § 8a BSI-Gesetz zu entsprechenden Maßnahmen verpflichtet sind. Konkret sollte die Studie die initialen und laufenden Mehrkosten ermitteln, die sich für Krankenhäuser ergeben.

Die Ergebnisse der repräsentativen Studie, an der mehr als 150 Krankenhäuser teilgenommen haben, zeigen deutlich, dass die Folgekosten der Digitalisierung zu ganz erheblichen Teilen nicht finanziert sind und in das Finanzierungssystem der Krankenhäuser eingepreist werden müssen.

Hochgerechnet auf alle Krankenhäuser in Deutschland ergeben sich allein für den initialen Aufwand investive Mehrbelastungen von ca. 1,5 Mrd. EUR. Diese liegen damit in der Größenordnung der Hälfte der sich rechnerisch ergebenden durchschnittlichen Fördermittel des Krankenhaus-Zukunftsfonds.

Aber auch die fortlaufenden jährlichen Kosten von ca. 750 Mio. EUR (hochgerechnet auf alle Krankenhäuser) machen deutlich, dass vor dem Hintergrund der angespannten Ko-stensituation der Krankenhäuser und angesichts bisher fehlender Betriebskostenfinanzierungen eine nachhaltige Absicherung der notwendigen Maßnahmen kaum möglich erscheint.

Die durchschnittlichen Kosten für das einzelne Krankenhaus wurden getrennt nach Größenklassen erhoben. Bereits für Krankenhäuser der Grund- und Regelversorgung in einem Bereich unter 200 Betten ergeben sich initiale durchschnittliche Mehrkosten von ca. 460.000 EUR. Die zusätzlichen fortlaufenden Kosten jährlich belaufen sich hier auf ca. 190.000 EUR. Bei Krankenhäusern mit mehr als 600 Betten ergeben sich durchschnittliche initiale Mehrkosten von mehr als 1 Mio. EUR und fortlaufende Kosten von ca. 530.000 EUR.

Die Studie belegt damit eindrucksvoll, dass Diskussionen über Kosteneinsparungen durch Digitalisierung im Gesundheitswesen immer auch vor dem Hintergrund der notwendigen Folgekosten, z. B. für Datenschutz und Informationssicherheit, geführt werden müssen. Informationssicherheit muss dabei als notwendige Voraussetzung für Digitalisierung verstanden werden.

Die Studie stellen wir nachfolgend zur Verfügung.