Es bleibt ungemütlich im deutschen Gesundheitssystem. Nicht, dass es nach der Coronapandemie und den geplanten und umstrittenen Reformen des derzeitige Gesundheitsministers Karl Lauterbach nicht schon ungemütlich genug wäre. Die Anforderungen an die Informationssicherheit im Gesundheitssektor wurden mit der Verabschiedung des Digital-Gesetzes (DigiG) noch einmal verschärft. Mit dem hinzugefügten Absatz drei des § 391 SGB V, dem früheren § 75c, wird dabei die Möglichkeit für Krankenhäuser und Kliniken, nicht getätigte Investitionen in diesem Bereich zu legitimieren, deutlich eingeschränkt, da Kosten für Maßnahmen zur Absicherung der Informationssicherheit im Verhältnis zum erwarteten Schaden stehen müssen.
Gerade im Hinblick auf die nationale Umsetzung der EU-Richtlinie NIS2 sehen Krankenhäuser und Kliniken aktuell neben einem deutlich verschärften Strafenkatalog auch den möglichen bürokratischen und logistischen „Albtraum“ einer Doppelregulierung auf sich zurollen. Aufgrund der in der Richtlinie vorgegebenen Schwellenwerte werden die meisten Kliniken und Krankenhäuser wohl als „besonders wichtige“ Einrichtungen eingestuft. Entsprechend muss man davon ausgehen, dass sich die Anforderungen an die Informationssicherheit unter anderem mit eng gefassten Meldefristen oder gezielten Anforderungen wie Multi-Faktor-Authentifizierung in Zukunft noch einmal erhöhen könnten. Wie umfangreich die Änderungen durch die NIS2 Richtlinie tatsächlich werden und wie komplex das Thema Informationssicherheit am Ende wird, ist nicht zuletzt davon abhängig, inwieweit NIS2UmsuCG und § 391 SGB V miteinander verwoben werden.
Auch ohne eine mögliche Verschärfung im Zuge der NIS2 Richtlinie ist die Informationssicherheit vor allem im Rahmen der Einbindung von Medizinprodukten in IT-Netzen eine Kunst für sich. Neben Rahmengesetzen wie dem § 391 SGBV oder dem zukünftigen NIS2umsuCG stellen Vorgaben wie die Medizinprodukte-Betreiberverordnung (MPBetreibV) aber auch die europäische Verordnung über Medizinprodukte 2017/745 (MDR) Anforderungen an den Betrieb und die Struktur medizinischer IT-Netze, welche die Betreiber solcher Netze zu beachten haben.
Der in § 391 SGB V referenzierte B3S der medizinischen Versorgung verweist im Rahmen der Informationssicherheit zudem nicht nur auf die Normen DIN EN ISO/IEC 27001 und 27002 sowie die DIN EN ISO 27799, der Spezifizierung für Medizinische Informatik, sondern im Zuge des Risikomanagements vor allem auch auf die DIN EN IEC 80001-1. Hier bringt vor allem die Aktualisierung der Norm einiges an Arbeit mit sich, da sie von Krankenhäusern und Kliniken erwartet, direkt an das Risikomanagement der Hersteller anzuknüpfen. Eine Aufgabe, welche diese Einrichtungen unter den aktuellen Gegebenheiten vor extreme Herausforderungen stellt.
Relevante Verordnungen, Gesetze, Standards & Normen für die medizinische Informationssicherheit | Zusammenfassung des Dokumenteninhalts |
MPBetreibV (Medizinprodukte Betreiberverordnung) | Gesetzliche Vorgaben für den Betrieb von Medizinprodukten, welche aktive Medizinprodukte (z.B. Medizingeräte) mit einschließt. |
EU-Verordnung 2017/745 (Medical Device Regulation) | Erhält durch die Definition von „Systemen und Behandlungseinheiten“, deren Verwendungszweck und Anforderungen an die individuellen Bestandteile, eine Relevanz für die Informationssicherheit in medizinischen IT-Netzen und stellt die Verknüpfung zur MPBetreibV sowie der DIN EN IEC 80001-1 dar. |
§ 391 SGB V IT-Sicherheit in Krankenhäusern | Gesetzliche Vorgaben zur Gewährleistung der Informationssicherheit die in ihrer aktualisierten Form auch einen Bezug zwischen den Investitionskosten und den zu erwartenden Schaden erstellt. Gesetzliche Vorgaben zur Gewährleistung der Informationssicherheit die in ihrer aktualisierten Form auch einen Bezug zwischen den Investitionskosten und den zu erwartenden Schaden erstellt. Der nach § 8a Absatz 2 des BSI-Gesetz freigegebene branchenspezifische Standard für die medizinische Versorgung wird hier ausdrücklich als Referenz erwähnt. |
NIS2UmsuCG | Die nationale Regelung zur Umsetzung der EU-Richtlinie 2022/2554. Die Auswirkungen dieses Gesetzes das aktuell als Regierungsentwurf besteht und ab dem 17.10.24 gelten soll, ergeben sich vor allem durch mögliche Verknüpfungen mit anderen Gesetzen wie dem § 391 SGB V. |
B3S-„Medizinische Versorgung“ | Der Branchenstandard stellt einen Umsetzungsleitfaden dar um insbesondere die Umsetzung des § 8a Abs. 1 BSI-Gesetz für Betreiber kritischer Infrastrukturen umzusetzen. Wird zudem im Zuge des § 391 SGB V als der Standard definiert, mit dem sich die gesetzlichen Anforderungen an die Informationssicherheit umsetzen lassen. |
DIN EN ISO/IEC 27001 | Standardwerk zum Aufbau eines Informationssicherheits-Managementsystem (ISMS). |
DIN EN ISO/IEC 27002 | Implementation Guideline für den Annex A der 27001 |
DIN EN ISO 27799 | Die DIN EN ISO/IEC 27001 Ergänzung zum Thema medizinische Informatik, welche sich vor allem damit beschäftigt, wie Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Gesundheitsdaten am besten geschützt werden können. |
DIN EN IEC 80001-1 | Macht Vorgaben zum Risikomanagement für IT-Netze, welche Medizinprodukte enthalten. Durch einen Bezug auf das Risikomanagement der Hersteller leitet sich hier die DIN EN 14971 ab. |
DIN EN 14971 (abgeleitet) | Anwendung des Risikomanagements auf Medizinprodukte (einschließlich Software als Medizinprodukt) welche Terminologien sowie Grundsätze für einen Risikomanagement Prozess für Hersteller festlegt. |
Relevante Verordnungen, Gesetze, Standards & Normen für die Medizinische Informationssicherheit
Trotz der 4,3 Milliarden starken Investition von Bund und Ländern im Rahmen des Krankenhauszukunftsgesetzes leidet die medizinische Versorgung durch Krankenhäuser und Kliniken in Deutschland unter einem gravierenden Ressourcenmangel. Eine PwC-Studie aus dem November 2023 konnte große Finanzierungslücken im Zuge der Digitalisierung aufzeigen und schließt sich damit dem Ton der Deutschen Krankenhausgesellschaft an, welche die zu geringen Investitionen über die letzten Jahrzehnte im Allgemeinen kritisiert. Diese Lücken in der Finanzierung der Gesundheitsversorgung betreffen damit natürlich auch die IT- bzw. Informationssicherheit, was bei einer allgemeinen Knappheit des entsprechenden Fachpersonals auf einem hart umkämpften Markt, eine denkbar schlechte Ausgangssituation für die Kliniken und Krankenhäuser in Deutschland darstellt.
Die Umsetzung der NIS2-Regelung steht vor der Tür und der aktuelle Regierungsentwurf zeigt, dass es vermutlich keine Übergangsfrist geben wird. Neben bereits bekannten Anforderungen besteht dabei im Zuge des § 30, Abs. (4) NIS2UmsuCG die Möglichkeit, dass zusätzliche Durchführungsrechtsakte der EU festgelegt werden, die weitere Anforderungen an die Umsetzung entsprechender Maßnahmen vorgeben und den Arbeitsaufwand im Rahmen einer Umsetzung noch weiter erhöhen. Dabei gilt es bis Ende 2024 zu beobachten, wie das NIS2UmsuCG und der B3S-Medizinische Versorgung miteinander verknüpft werden. Der B3S gilt nur noch bis zum Januar 2025 und es ist davon auszugehen, dass der Standard im Zuge des NIS2UmsuCG noch einmal angepasst wird. Diese Kombination aus aktuellen und zukünftigen Regelungen und ihren Anpassungen erhöht den Druck auf Krankenhäuser und Kliniken, ihre Informationssicherheit auf den Prüfstand zu stellen und entsprechend zu optimieren.
Aus Sicht eines Krankenhauses oder Klinik müssen zwingend die neuen Anforderungen aus § 391 SGB V und NIS2UmsuCG umgesetzt werden. Eine Orientierung am B3S-Medizinische Versorgung ist hierbei sicher eine gute Wahl.
Wir haben mit unseren Kunden gute Erfahrungen damit gemacht in genau dieser Situation eine Standortbestimmung durchzuführen und daraus einen Maßnahmenplan zu erarbeiten, der individuell auf Sie zugeschnitten ist.
Nehmen Sie doch gerne Kontakt für ein erstes, unverbindliches Gespräch auf.
Gut zusammenarbeiten kann ja jeder sagen!
Das stimmt natürlich. Dazu können wir nur sagen „Probieren Sie es aus“. Tatsächlich arbeiten wir in der Regel sehr lange mit unseren Kunden zusammen, weil es Spaß macht und weil wir die Sicherheit nach vorne bringen.
TTS trax ist das smarte Tool für den effizienten ISMS Betrieb und ein intelligentes Risikomanagement im Gesundheitssektor.
TTS trax lässt sich flexibel konfigurieren und ermöglicht so eine einfache Anpassung an Ihre individuellen Bedürfnisse und Vorgaben.
Für Kunden aus dem medizinischen Umfeld liefern wir auf Wunsch einen passenden vorkonfigurierten Mandanten nach DIN EN 80001-1 und B3S-Medizinische Vesorgung aus.
Vereinbaren Sie jetzt ein kostenloses Beratungsgespäch unter info@tts-security.com
Büro Berlin
Ihr Ansprechpartner:
Dr. Jörg Cordsen
Telefon +49 30 3980629 0
Hardenbergstraße 12
10623 Berlin
Büro Essen
Ihr Ansprechpartner:
Dr. Michael Gehrke
Telefon +49 201 724579 0
Alfredstraße 57-65
45130 Essen
Standort Hannover
Ihr Ansprechpartner:
Dr. Stefan Ransom
Telefon +49 (0)170 8283981