Eine Delta Analyse zur DIN EN IEC 80001‑1:2023

StartseiteMedizinische Informationssicherheit NewsEine Delta Analyse zur DIN EN IEC 80001‑1:2023
ISMS Tool TTS trax

„Neue“ Verpflichtungen und Chancen im Zuge des Risikomanagements medizinischer IT-Netze

In 2023 wurde die DIN EN IEC 80001-1 aktualisiert und brachte damit für die Betreiber von medizinischen IT (MIT) Netzen einige gravierende Änderungen mit sich. Neben einer ganzen Reihe neuer Verantwortlichkeiten, insbesondere in Form eines umfangreichen Anforderungskatalogs, bietet die Norm jedoch auch einige Chancen. Insbesondere im Hinblick auf die Verpflichtungen des Top-Managements bietet die Norm nun auch Grundlagen, das interdisziplinäre Risikomanagement (RM) in Krankenhäusern und Kliniken weiter zu stärken. Insbesondere mit Blick auf die kommende Aktualisierung des B3S-Standards wird die Umsetzung der DIN EN IEC 80001-1:2023 vermutlich unumgänglich werden. Hier erhalten Sie einen kurzen Überblick über einige wesentliche Änderungen.

Umfang der Risikomanagementakte

Als Teil der RM-Akte gelten nun auch die sogenannten Strukturierten Nachweise, welche unter anderem die folgenden Elemente enthalten müssen:

  • Zuweisung von Rollen, Verantwortlichkeiten und Rechenschaftspflichten in der Organisation
  • Erstellung einer RACI-Matrix für das RM des/ der MIT-Netz(e) ist hier eine valide Maßnahme, um dieser Anforderung nachzukommen
  • Festlegung und Zweck des Anwendungsbereiches eines MIT-Netzes
  • Sämtliche im Zuge des RM durchgeführten Aktivitäten

Erweiterung der Begriffsdefinition „Lebenszyklus eines MIT-Netzes“

  • Die neue Definition des Begriffes erweitert und schließt nun alles vom, Erwerb, über die Installation, Konfiguration, bis hin zur Außerbetriebnahme mit ein.
  • Der Umfang des Risikomanagements erhöht sich drastisch, da nun auch Abteilungen mit einbezogen werden müssen, die vorher nicht Teil des RMs waren.

Definition klarer Anforderungen zur Umsetzung der einzelnen Normkapitel

  • Im Gegensatz zur alten Norm stellt die aktualisierte DIN EN IEC 80001-1 wie zum Beispiel die DIN EN ISO/IEC 27001 gezielte Anforderungen an den Betreiber eines MIT-Netzes. Pro Kapitel sind dies bis zu 13 individuelle Anforderungen.

Anders als in der alten Version der Norm, fehlen jedoch die Bezüge zur DIN EN 14971, der Norm zum Risikomanagement für Medizinproduktehersteller, was die Umsetzung ohne entsprechendes Fachwissen massiv erschwert.

Weitere Verpflichtungen des Top-Managements

  • Die Bereitstellung von Ressourcen wird in der Aktualisierung der Norm nun in Verhältnis zum Umfang, der Komplexität und des Risikoprofils des medizinischen IT-Systems. 
  • Das Personal, das mit dem RM des MIT-Netzes beauftragt wird muss entsprechen erfahren sein und das nötige Maß an Zeit zur Verfügung haben, um dieser Arbeit nachzukommen.

Leistungen

Informationssicherheitsmanagement
Informations­sicherheits­management Gewährleistung der Sicherheitsziele
Identity and Access Management Verwaltung von Identitäten
Identity and Access Management Verwaltung von Identitäten
Risikomanagement
Risikomanagement Bewusster Umgang mit Risiken
Business Continuity Management
Business Continuity Management Absicherung von Geschäftsprozessen
SAP-Sicherheit
SAP-Sicherheit
Dienstleistungen im SAP-Umfeld
tts trax
TTS trax
Das smarte ISMS Tool