Gesundheitswesen in Deutschland: Regelungen für 2022

Der Gesundheitssektor in Deutschland ist seit dem Anfang der Pandemie mit einer regulatorischen Verschärfung konfrontiert, und die Behörden drängen darauf, dass alle schützenswerten Daten maximal gesichert sind. Kritische Infrastrukturen sind für böswillige Cyberangriffe anfällig, die eine absolute Gefährdung für die Sicherheit und den Datenschutz darstellen. Die Europäische Union verschärft weiterhin zahlreiche Vorschriften, Richtlinien und Standards, zu deren Umsetzung und Einhaltung Unternehmen und Institutionen verpflichtet sind.

Welche Gesundheitseinrichtungen gelten als kritische Infrastrukturen?

Bis Ende 2021 waren alle Kliniken in Deutschland verpflichtet, ihre IT-Sicherheit gemäß den Anforderungen des BSI und der zuständigen Behörden aufzurüsten.

Im deutschen Gesundheitswesen wird die medizinische Versorgung für die Bevölkerung in vier Hauptrichtungen gewährleistet: 

• Stationäre medizinische Versorgung: Aufnahme, Diagnostik, Therapie, Unterbringung in Krankenhäusern
• Versorgung mit lebenserhaltenden Medizinprodukten: Produktion und Vertrieb
• Versorgung mit Arzneimitteln und Blut/Plasma: Herstellung, Vertrieb und Verkauf von verschreibungspflichtigen Medikamenten, Blut- und Plasmakonzentraten
• Labordiagnostik: Transport und Befunderhebung im Labor

Wenn Klinikbetreiber diese kritischen Dienstleistungen in ihren Einrichtungen erbringen und die Grenze von ca. 500.000 zu versorgenden Personen überschreiten, werden sie zu KRITIS-Betreibern.

Was bedeutet B3S im Gesundheitswesen??

Mit dem Ausbruch der Coronavirus-Pandemie haben die Krankenhäuser in ganz Europa einige Cyberangriffe erlebt. Bei der Gesundheitsversorgung als einem der lebenswichtigen KRITIS-Sektoren kann eine Unterbrechung, die durch eine Cyberbedrohung verursacht wird, Menschenleben und die Gesellschaft ernsthaft gefährden. Deshalb müssen bis Ende 2021 alle Krankenhäuser und Gesundheitseinrichtungen in Deutschland, die mehr als 30.000 Fälle pro Jahr behandeln, ihre IT-Sicherheit aktualisieren.

Um dieses Ziel erfolgreich zu erreichen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2019 den neuen branchenspezifischen Standardrahmen — B3S anerkannt, die Methodik, mit der Gesundheitseinrichtungen ihre IT verbessern müssen, um die Sicherheit zu stärken.

B3S umfasst 168 Standards, die umgesetzt werden müssen, wobei alle zwei Jahre seitens der Krankenhäuser dem BSI nachgewiesen wird, dass sie alle notwendigen Maßnahmen zur Stärkung ihrer IT-Sicherheit getroffen haben.

Weitere Änderungen für kritische Infrastrukturen: Gesundheitswesen  

Hier sind die wichtigsten Vorschriften genannt, die im Gesundheitswesen in Deutschland eingehalten werden müssen. 

BSIG

Das BSI-Gesetz ist für ein breiteres Spektrum von Gesundheitseinrichtungen zu einem Muss geworden. Demnach sind große Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr verpflichtet, entsprechende gesetzliche Vorgaben, wie die branchenspezifischen Sicherheitsstandards (B3S), umzusetzen. Außerdem müssen die Krankenhäuser dieser Kategorie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das vorgeschriebene Sicherheitsniveau nachweisen.

PDSG

Nachdem das Patientendaten-Schutz-Gesetz (PDSG) im Oktober 2020 in Deutschland in Kraft getreten war, wurden mehrere innovative digitale Anwendungen und Anforderungen zum Schutz von in elektronischer Form gespeicherten Patienteninformationen eingeführt.

SGB V

Gemäß §75c des Sozialgesetzbuchs (SGB V) wird die Informationssicherheit in Krankenhäusern jetzt neu geregelt. Das BSI-Gesetz und die branchenspezifischen Sicherheitsstandards wurden als Normen für alle Krankenhäuser in Deutschland etabliert. Alle Kliniken, unabhängig von ihrer Größe, müssen ab dem 1. Januar 2022 angemessene und dem Stand der Technik entsprechende IT-Sicherheitsmaßnahmen umsetzen. Alle Krankenhäuser sind von der Verordnung betroffen, sofern sie nicht bereits den Status eines KRITIS-Betreibers mit über 30.000 Fällen pro Jahr haben.

Um die vollständige Einhaltung der Datenschutzgesetze und -vorschriften zu gewährleisten, müssen alle Krankenhäuser ab dem 1. Januar 2022 geeignete organisatorische und technische Maßnahmen ergreifen, um die IT-Sicherheit zu verbessern und Prozesse, die für die Krankenhaus- und Patientendaten relevant sind, vor Gefährdungen zu schützen.

Die davon betroffene IT muss alle zwei Jahre an die Standards angepasst werden. Krankenhäuser können auf einen vom BSI genehmigten B3S-Industriestandard zurückgreifen. Kleinere Krankenhäuser müssen ab Januar 2022 die elektronische Patientenakte (ePA), digitale Überweisungen, E-Rezepte etc. einführen. All das bringt Herausforderungen mit sich, vor allem die Speicherung und Verwaltung personenbezogener Patientendaten, die häufig zum Ziel von Cyberangriffen werden. Kliniken sind verpflichtet, einerseits geeignete Systeme zur Datenverarbeitung bereitzustellen und andererseits die Datenschutzrichtlinien präzise umzusetzen.

IT-Sicherheitsgesetz 2.0

Passend zu den Änderungen im IT-Sicherheitsgesetz 2.0 enthält die KRITIS-Verordnung 2021 nun zwei Änderungen in Bezug auf die Investitionen und neue Grenzwerte in der Branche:

Arzneimittelversorgung: Die systematische Sammlung und Weiterverarbeitung von Blutspenden wird durch die Blut- oder Plasmaspendekontrolle ersetzt, der Grenzwert bleibt unverändert.

Labore: Der neue Laborinformationsverbund ersetzt das Transport- und Kommunikationssystem für Aufträge und Befunde — das Netzwerk steuert den Probentransport, die Kommunikation und das Laborinformationssystem (LIS) durch IT-Services.

Was ist für kritische Infrastrukturen in anderen Branchen zu erwarten?

Im April 2021 hat der Bundestag das IT-Sicherheitsgesetz 2.0 (auch bekannt als IT-SIG 2.0) verabschiedet, das im Mai 2021 in Kraft getreten ist. Durch das Gesetz wird ein neuer KI-Bereich eingeführt — die kommunale Abfallwirtschaft, zuständig für Sammlung, Entsorgung und Verwertung von Schadstoffen, Chemikalien, Waffen usw.

Außerdem kommen 270 weitere kritische Betreiber zu den 1600 bestehenden hinzu, insbesondere in den Bereichen Gesundheitswesen, Transport, IT, Telekommunikation und Finanzwesen.

Darüber hinaus legt IT-SIG 2.0 eine Reihe neuer Verantwortlichkeiten für kritische Infrastrukturen fest. Es müssen:

• Sicherheitsanforderungen für kritische Komponenten befolgt werden;
• Informations- und Meldepflichten gegenüber dem BSI erfüllt werden;
• Mindestsicherheitsstandards für kritische Infrastrukturen eingehalten werden;
• neue Regeln, wie z. B. Erkennung von Cyberangriffen mit obligatorischen Systemen und Prozessen zu deren Meldung an das BSI beachtet werden;
• kritische Komponenten in kritischen Infrastrukturen identifiziert werden;
• sofortige Betreiber-Anmeldungen beim BSI erfolgen.

Darüber hinaus werden die EU-NIS2- und EU-RCE-Richtlinien die EU-NIS- und ECI-Richtlinien ersetzen.

EU RCE

EU RCE ist die Direktive zur Widerstandsfähigkeit kritischer Einrichtungen, die besagt, dass Organisationen, die kritische Dienste in der Europäischen Union erbringen, im Hinblick auf ihre Widerstandsfähigkeit und die möglichen Risiken reguliert und von den nationalen Regierungen beaufsichtigt werden.

10 kritische Bereiche und Betreiber, die in die Direktive einbezogen wurden, werden von den Behörden der nationalen Regierungen bestimmt, die an die Europäische Union gemeldet werden.

Darüber hinaus werden in der EU RCE einige Maßnahmen benannt, die für kritische Dienste wie Prävention, physische Sicherheit, Krisenmanagement, BCM und Lieferanten, Personalsicherheit und Sensibilisierung ergriffen werden müssen.

Zusätzlich müssen Betreiber die Vorfälle melden und Risikoanalysen und -planungen implementieren.

EU NIS2

EU NIS2 ist die Direktive für ein hohes Cybersicherheitsniveau in der EU. Sie besagt, dass Organisationen, die kritische Dienste in der Europäischen Union erbringen, im Hinblick auf die Cybersicherheit reguliert und beaufsichtigt werden.

Die Direktive umfasst zur Zeit 10 essenzielle und 6 wichtige Branchen, die Betreiber sind mittlere und große Unternehmen. Zu den Maßnahmen, die diese Betreiber für Netzwerk- und IT-Systeme ergreifen müssen, gehören: Richtlinien, Incident Management, BCM und Krisenmanagement, Lieferkettensicherheit, Test und Audit sowie Kryptografie.

So meistern die kritischen Infrastrukturen in Deutschland die regulatorischen Herausforderungen

Die Implementierung mehrerer Standards ist ein umständlicher, herausfordernder und zeitaufwändiger Prozess. Eine Governance-, Risiko- und Compliance-Lösung zur Hand zu haben, kann zu einem echten Game-Changer für kritische Infrastrukturen werden. Compliance-Software hilft ihnen, die Betriebsprozesse zu verwalten und mehrere Normen, Gesetze und Vorschriften einzuhalten.

Compliance Aspekte ist ein GRC-Tool, das speziell für die Bedürfnisse und Ziele der Betreiber kritischer Infrastrukturen entwickelt wurde. Die Lösung ist eine All-in-One-Plattform, die entwickelt wurde, um die Integration von allen regulatorischen oder benutzerdefinierten Standards, Richtlinien, Verfahren oder Prozessen zu unterstützen.

Compliance Aspekte enthält bereits integrierte Standards, darunter BS3, BSI IT-Grundschutz, DSGVO und viele andere. Es ist auch möglich, dass Betreiber kritischer Infrastrukturen auf Anfrage individuelle Normen und Vorschriften hinzufügen, um mehrere Standards an einem Ort verwalten zu können.