Medizinische Informationssicherheit

Herausforderung bei der Informationssicherheit in der medizinischen Versorgung

Cyber- und Informationssicherheit im Gesundheitswesen: Zwischen Regularienflut und Ressourcenmangel

Das neue Digital-Gesetz läuft vor

Es bleibt ungemütlich im deutschen Gesundheitssystem. Nicht, dass es nach der Coronapandemie und den geplanten und umstrittenen Reformen des derzeitige Gesundheitsministers Karl Lauterbach nicht schon ungemütlich genug wäre. Die Anforderungen an die Informationssicherheit im Gesundheitssektor wurden mit der Verabschiedung des Digital-Gesetzes (DigiG) noch einmal verschärft. Mit dem hinzugefügten Absatz drei des § 391 SGB V, dem früheren § 75c, wird dabei die Möglichkeit für Krankenhäuser und Kliniken, nicht getätigte Investitionen in diesem Bereich zu legitimieren, deutlich eingeschränkt, da Kosten für Maßnahmen zur Absicherung der Informationssicherheit im Verhältnis zum erwarteten Schaden stehen müssen.

Die NIS2 Richtlinie der EU zieht nach

Gerade im Hinblick auf die nationale Umsetzung der EU-Richtlinie NIS2 sehen Krankenhäuser und Kliniken aktuell neben einem deutlich verschärften Strafenkatalog auch den möglichen bürokratischen und logistischen „Albtraum“ einer Doppelregulierung auf sich zurollen. Aufgrund der in der Richtlinie vorgegebenen Schwellenwerte werden die meisten Kliniken und Krankenhäuser wohl als „besonders wichtige“ Einrichtungen eingestuft. Entsprechend muss man davon ausgehen, dass sich die Anforderungen an die Informationssicherheit unter anderem mit eng gefassten Meldefristen oder gezielten Anforderungen wie Multi-Faktor-Authentifizierung in Zukunft noch einmal erhöhen könnten. Wie umfangreich die Änderungen durch die NIS2 Richtlinie tatsächlich werden und wie komplex das Thema Informationssicherheit am Ende wird, ist nicht zuletzt davon abhängig, inwieweit NIS2UmsuCG und § 391 SGB V miteinander verwoben werden.

Stichdaten relevanter Vorgaben mit Bezug zur Informationssicherheit in der medizinischen Versorgung
Stichdaten relevanter Vorgaben mit Bezug zur Informationssicherheit in der medizinischen Versorgung

Eine Fülle von Gesetzen, Normen und Standards

Auch ohne eine mögliche Verschärfung im Zuge der NIS2 Richtlinie ist die Informationssicherheit vor allem im Rahmen der Einbindung von Medizinprodukten in IT-Netzen eine Kunst für sich. Neben Rahmengesetzen wie dem § 391 SGBV oder dem zukünftigen NIS2umsuCG stellen Vorgaben wie die Medizinprodukte-Betreiberverordnung (MPBetreibV) aber auch die europäische Verordnung über Medizinprodukte 2017/745 (MDR) Anforderungen an den Betrieb und die Struktur medizinischer IT-Netze, welche die Betreiber solcher Netze zu beachten haben.

Der in § 391 SGB V referenzierte B3S der medizinischen Versorgung verweist im Rahmen der Informationssicherheit zudem nicht nur auf die Normen DIN EN ISO/IEC 27001 und 27002 sowie die DIN EN ISO 27799, der Spezifizierung für Medizinische Informatik, sondern im Zuge des Risikomanagements vor allem auch auf die DIN EN IEC 80001-1. Hier bringt vor allem die Aktualisierung der Norm einiges an Arbeit mit sich, da sie von Krankenhäusern und Kliniken erwartet, direkt an das Risikomanagement der Hersteller anzuknüpfen. Eine Aufgabe, welche diese Einrichtungen unter den aktuellen Gegebenheiten vor extreme Herausforderungen stellt.

Relevante Verordnungen, Gesetze, Standards & Normen für die medizinische InformationssicherheitZusammenfassung des Dokumenteninhalts
MPBetreibV (Medizinprodukte Betreiberverordnung) Gesetzliche Vorgaben für den Betrieb von Medizinprodukten, welche aktive Medizinprodukte (z.B. Medizingeräte) mit einschließt.
EU-Verordnung 2017/745 (Medical Device Regulation)Erhält durch die Definition von „Systemen und Behandlungseinheiten“, deren Verwendungszweck und Anforderungen an die individuellen Bestandteile, eine Relevanz für die Informationssicherheit in medizinischen IT-Netzen und stellt die Verknüpfung zur MPBetreibV sowie der DIN EN IEC 80001-1 dar.
§ 391 SGB V IT-Sicherheit in KrankenhäusernGesetzliche Vorgaben zur Gewährleistung der Informationssicherheit die in ihrer aktualisierten Form auch einen Bezug zwischen den Investitionskosten und den zu erwartenden Schaden erstellt. Gesetzliche Vorgaben zur Gewährleistung der Informationssicherheit die in ihrer aktualisierten Form auch einen Bezug zwischen den Investitionskosten und den zu erwartenden Schaden erstellt. Der nach § 8a Absatz 2 des BSI-Gesetz freigegebene branchenspezifische Standard für die medizinische Versorgung wird hier ausdrücklich als Referenz erwähnt.
NIS2UmsuCGDie nationale Regelung zur Umsetzung der EU-Richtlinie 2022/2554. Die Auswirkungen dieses Gesetzes das aktuell als Regierungsentwurf besteht und ab dem 17.10.24 gelten soll, ergeben sich vor allem durch mögliche Verknüpfungen mit anderen Gesetzen wie dem § 391 SGB V.
B3S-„Medizinische Versorgung“Der Branchenstandard stellt einen Umsetzungsleitfaden dar um insbesondere die Umsetzung des § 8a Abs. 1 BSI-Gesetz für Betreiber kritischer Infrastrukturen umzusetzen. Wird zudem im Zuge des § 391 SGB V als der Standard definiert, mit dem sich die gesetzlichen Anforderungen an die Informationssicherheit umsetzen lassen.
DIN EN ISO/IEC 27001Standardwerk zum Aufbau eines Informationssicherheits-Managementsystem (ISMS).
DIN EN ISO/IEC 27002Implementation Guideline für den Annex A der 27001
DIN EN ISO 27799Die DIN EN ISO/IEC 27001 Ergänzung zum Thema medizinische Informatik, welche sich vor allem damit beschäftigt, wie Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Gesundheitsdaten am besten geschützt werden können.
DIN EN IEC 80001-1Macht Vorgaben zum Risikomanagement für IT-Netze, welche Medizinprodukte enthalten. Durch einen Bezug auf das Risikomanagement der Hersteller leitet sich hier die DIN EN 14971 ab.
DIN EN 14971 (abgeleitet)Anwendung des Risikomanagements auf Medizinprodukte (einschließlich Software als Medizinprodukt) welche Terminologien sowie Grundsätze für einen Risikomanagement Prozess für Hersteller festlegt.

Relevante Verordnungen, Gesetze, Standards & Normen für die Medizinische Informationssicherheit

Smarte Umsetzung bei knappen Ressourcen

Trotz der 4,3 Milliarden starken Investition von Bund und Ländern im Rahmen des Krankenhauszukunftsgesetzes leidet die medizinische Versorgung durch Krankenhäuser und Kliniken in Deutschland unter einem gravierenden Ressourcenmangel. Eine PwC-Studie aus dem November 2023 konnte große Finanzierungslücken im Zuge der Digitalisierung aufzeigen und schließt sich damit dem Ton der Deutschen Krankenhausgesellschaft an, welche die zu geringen Investitionen über die letzten Jahrzehnte im Allgemeinen kritisiert. Diese Lücken in der Finanzierung der Gesundheitsversorgung betreffen damit natürlich auch die IT- bzw. Informationssicherheit, was bei einer allgemeinen Knappheit des entsprechenden Fachpersonals auf einem hart umkämpften Markt, eine denkbar schlechte Ausgangssituation für die Kliniken und Krankenhäuser in Deutschland darstellt.

NIS2UmsuCG und B3S: Die Zeit drängt für Krankenhäuser und Kliniken

Die Umsetzung der NIS2-Regelung steht vor der Tür und der aktuelle Regierungsentwurf zeigt, dass es vermutlich keine Übergangsfrist geben wird. Neben bereits bekannten Anforderungen besteht dabei im Zuge des § 30, Abs. (4) NIS2UmsuCG die Möglichkeit, dass zusätzliche Durchführungsrechtsakte der EU festgelegt werden, die weitere Anforderungen an die Umsetzung entsprechender Maßnahmen vorgeben und den Arbeitsaufwand im Rahmen einer Umsetzung noch weiter erhöhen. Dabei gilt es bis Ende 2024 zu beobachten, wie das NIS2UmsuCG und der B3S-Medizinische Versorgung miteinander verknüpft werden. Der B3S gilt nur noch bis zum Januar 2025 und es ist davon auszugehen, dass der Standard im Zuge des NIS2UmsuCG noch einmal angepasst wird. Diese Kombination aus aktuellen und zukünftigen Regelungen und ihren Anpassungen erhöht den Druck auf Krankenhäuser und Kliniken, ihre Informationssicherheit auf den Prüfstand zu stellen und entsprechend zu optimieren.

Was ist jetzt zu tun?

Aus Sicht eines Krankenhauses oder Klinik müssen zwingend die neuen Anforderungen aus § 391 SGB V und NIS2UmsuCG umgesetzt werden. Eine Orientierung am B3S-Medizinische Versorgung ist hierbei sicher eine gute Wahl. 

Wir haben mit unseren Kunden gute Erfahrungen damit gemacht in genau dieser Situation eine Standortbestimmung durchzuführen und daraus einen Maßnahmenplan zu erarbeiten, der individuell auf Sie zugeschnitten ist.

Nehmen Sie doch gerne Kontakt für ein erstes, unverbindliches Gespräch auf.

Warum TTS?

  • Wir bieten Ihnen ein Beratungsteam, dass Sie mit sehr großer Kompetenz und Erfahrung unterstützen kann. Ein Team, mit dem unsere Kunden gerne und vor allem gut zusammenarbeiten.
  • Wir sind sehr effizient darin, unterschiedliche regulatorische Vorgaben mit unseren Kunden effizient umzusetzen und dabei nicht nur Compliance zu erzeugen, sondern auch Wertschöpfung.
  • Wir unterstützen Organisationen im Gesundheitswesen bei der Erfüllung von KRITIS-Anforderungen, der Umsetzung von § 391 SGB V Anforderungen, B3S-Medizinische Versorgung oder Sicherheit von Medizingeräten nach ISO 80001-1.
  • Das Feedback unserer Kunden oder auch von Auditoren bestätigt regelmäßig, dass wir sehr viel Fachexpertise in relevanten Themen wie ISMS, Risikomanagement, BCMS, Compliance oder Cyber-Sicherheit mitbringen.
  • Wir unterstützen unsere Kunden auch regelmäßig in Prüfungen oder Audits.
  • In den relevanten Themenfeldern ISMS, Risikomanagement, BCMS, Compliance oder Cyber-Sicherheit beraten wir seit mehr als 20 Jahren unsere Kunden.
  • Mehr als 100 Betreiber kritischer Infrastrukturen zählen zu unseren Kunden. Darunter auch viele Leistungserbringer im Gesundheitswesen, wie z.B. die Uniklinik RWTH Aachen.

Gut zusammenarbeiten kann ja jeder sagen!

Das stimmt natürlich. Dazu können wir nur sagen „Probieren Sie es aus“. Tatsächlich arbeiten wir in der Regel sehr lange mit unseren Kunden zusammen, weil es Spaß macht und weil wir die Sicherheit nach vorne bringen.

Was könnten Themen sein, in denen wir zusammenarbeiten?

Durchführung einer GAP-Analyse

  • Dabei analysieren wir sämtliche Aspekte Ihrer Informationssicherheit und erarbeiten Empfehlungen zur Erfüllung der Verpflichtungen, die sich aus dem § 391 SGB V ergeben.

Aufbau / Weiterentwicklung eines geforderten Informationssicherheits-Managementsystems (ISMS) nach DIN ISO 27001

  • Mit unserem ISMS-Baukasten konzipieren oder optimieren wir mit Ihnen zusammen Ihr ISMS und setzen es mit Ihnen in Betrieb.
  • Auf Wunsch begleiten wir selbstverständlich Ihren Betrieb für einen angemessenen Zeitraum.

Etablierung eines Risikomanagementsystems

  • Wir erarbeiten mit Ihnen geeignete Parameter wie Bewertungs- und Akzeptanzkriterien, eine Richtlinie zum Risikomanagement und auch den Prozess für das Risikomanagement. Auch hierfür verfügen wir über einen vielseitigen Baukasten, der uns effizient Ergebnisse erzielen lässt. 

Umsetzung von Maßnahmen

  • Wir unterstützen Sie selbstverständlich auch bei der Planung und Umsetzung einzelner Maßnahmen, z. B. im Rahmen des branchenspezifischen Sicherheitsstandards. Dies schließt unter anderem auch Sicherheitskonzepte für medizinische Anwendungen (Patientenportal, OP-Planung, KIS, RIS, PACS oder DMS) mit ein.

Umsetzungsplanung

  • Da Kliniken und Krankenhäuser nicht nur von § 391 betroffen sind, sondern auch von der NIS2-Richtlinie, planen wir mit Ihnen die Maßnahmen zur Erreichung der NIS2 Konformität und helfen Ihnen bei der Umsetzung.

Erweiterung des Incident-Handling-Prozesses

  • Da besonders wichtige Einrichtungen wie die meisten Krankenhäuser und Krankenkassen nach § 32 NIS2UmsuCG Sicherheitsvorfälle an eine behördliche Meldestelle (kontinuierlich) melden müssen, helfen wir Ihnen, den Incident-Handling-Prozess entsprechend zu erweitern.

Maßnahmen zur Awareness

  • Da nach § 38 des NIS2UmsuCG die Geschäftsleitung (Krankenhausleitung) regelmäßig zu schulen ist, bieten wir Ihnen entsprechende Schulungsmaßnahmen „Praktiken des Risikomanagements“ für den C-Level an.

Durchführung einer GAP-Analyse

  • Wie steht es um meine Grundlagen zur Durchführung des Risikomanagements für MIT-Netze? Von der Analyse bestehender Strukturen und Prozesse bis hin zur Sichtung relevanter Dokumente durchleuchten wir Ihr Risikomanagement und erstellen eine Bedarfsanalyse inklusive Umsetzungsplan.

Planung und Umsetzung des Risikomanagements

  • Von der Planung und Gestaltung des RM-Prozesses, über die Durchführung bis hin zur Erstellung der RM-Akte unterstützen wir Sie je nach Bedarf bei den jeweiligen Schritten.

Integration in das ISMS

  • Wenn gewünscht, konzipieren wir mit Ihnen das RM so, dass es sich flüssig in Ihr ISMS integrieren lässt.

Anpassung und Optimierung im Zuge der Aktualisierung der Norm

  • Wir unterstützen Sie bei der Erweiterung des Risikomanagements auf die Bereiche Einkauf/Beschaffung und Werte-Management.

Ransomware-Übung

  • Wir planen mit Ihnen eine Ransomware-Übung, in der wir das Eintreten einer Ransomware-Attacke simulieren und dann mit Ihnen Reaktionen, den Einsatz von Ressourcen und die Ausführung ggf. bereits vorhandener Notfallpläne durchspielen.

Business Continuity Planung/Management

  • Anhand von Business-Impact-Analysen, BCM-Parametern (RTO, MTPD, RPO) und BCM-Szenarien entwickeln wir mit Ihnen passende, modulare Notfallpläne und etablieren mit Ihnen die Prozesse für deren Aufrechterhaltung und Ausführbarkeit.

Krankenhausspezifische Toolunterstützung mit der ISMS-Software TTS trax

  • Für Kunden aus dem medizinischen Umfeld liefern wir auf Wunsch einen passend vorkonfigurierten Mandanten nach DIN EN 80001-1 und B3S-Medizinische Versorgung aus.

Mehr erfahren

Eine Auswahl der TTS Referenzen im Gesundheitssektor

UK Aachen Logo
UK Essen Logo
Alfried Krupp Logo

Krankenhausspezifische Toolunterstützung mit unserer ISMS-Software TTS trax

TTS trax ist das smarte Tool für den effizienten ISMS Betrieb und ein intelligentes Risikomanagement im Gesundheitssektor.

TTS trax lässt sich flexibel konfigurieren und ermöglicht so eine einfache Anpassung an Ihre individuellen Bedürfnisse und Vorgaben.

Für Kunden aus dem medizinischen Umfeld liefern wir auf Wunsch einen passenden vorkonfigurierten Mandanten nach DIN EN 80001-1 und B3S-Medizinische Vesorgung aus.

Mehr erfahren

TTS trax Use Cases

  • ISMS aufbauen und betreiben
  • B3S, DIN EN 80001-1 & ISO 27001 umsetzten
  • Risikomanagement etablieren
  • Maßnahmenumsetzung steuern
  • Auditunterstützung
  • Zulieferer-/Dienstleistersteuerung
  • Business Continuity Management
  • Datenschutzmanagement

Jetzt kostenloses Beratungsgespräch vereinbaren

Vereinbaren Sie jetzt ein kostenloses Beratungsgespäch unter info@tts-security.com 

Anrede: *
Vorname: *
Nachname: *
Firma: *
E-Mail: *
Telefon:
Bemerkung / Wunschtermin:
Mit dem Absenden des Formulars stimmen Sie zu, dass Sie von der TTS GmbH mit Informationen zu unseren Produkten und Dienstleistungen per E-Mail kontaktiert werden dürfen. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Ihre Einwilligung können Sie jederzeit ohne Angabe von Gründen per E-Mail an dsb@tts-security.com oder über den Unsubscribe-Link mit Wirkung für die Zukunft widerrufen.

Was Sie mitnehmen:

  • 45 minütiger unverbindlicher Teams-Call mit TTS-Gesundheitsexperten
  • Kurz-Analyse der eigenen Unternehmenssituation
  • Erste Identifikation von individuellen Anforderung
  • Empfehlungen für weiteres Vorgehen

Ihr Partner für Informationssicherheit

So erreichen Sie uns

Kontakt

TTS Trusted Technologies
and Solutions GmbH

Büro Berlin

Ihr Ansprechpartner:
Dr. Jörg Cordsen
Telefon +49 30 3980629 0
Hardenbergstraße 12
10623 Berlin

Büro Essen

Ihr Ansprechpartner:
Dr. Michael Gehrke
Telefon +49 201 724579 0
Alfredstraße 57-65
45130 Essen

Standort Hannover

Ihr Ansprechpartner:
Dr. Stefan Ransom
Telefon +49 (0)170 8283981