Durch das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) vom Oktober 2020 werden Krankenhäuser in § 75c SGB V verpflichtet, ab dem 1. Januar 2022 nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen zu treffen.
Dabei sind Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse erforderlich.
Die Verpflichtung trifft auch die Krankenhäuser, die nicht verpflichtet sind, alle zwei Jahre die Erfüllung der Anforderungen an die Betreiber Kritischer Infrastrukturen (KRITIS) aus dem IT-Sicherheitsgesetz nachzuweisen. Anders als KRITIS-Betreiber müssen die Krankenhäuser gem. § 75c SGB V zwar keinen Nachweis erbringen, die informationstechnischen Systeme sind jedoch spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.
Um die Verpflichtung zu erfüllen, wird insbesondere auf die Umsetzung eines branchenspezifischen Sicherheitsstandards (B3S) verwiesen, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik festgestellt wurde. Der B3S ist somit eine Möglichkeit, um der Verpflichtung nachzukommen, allerdings nicht verpflichtend. Auf den Webseiten des BSI ist genau ein branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus gelistet, der noch bis August 2021 gültig ist. Der Standard wurde von der Deutschen Krankenhausgesellschaft e.V. (DKG) herausgegeben und kann hier kostenfrei abgerufen werden.
Was ist zu tun?
Spätestens jetzt sollten sich Krankenhäuser mit der Frage beschäftigen, wie Prozesse zur Informationssicherheit in die Organisation eingebunden werden können. Insbesondere können Krankenhäuser, die den B3S umsetzen davon ausgehen, die gestellten Anforderungen zu erfüllen. Wer den B3S nicht vollständig umsetzen kann oder will, sollte prüfen ob mit dem Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach der internationalen Norm ISO/IEC27001 begonnen oder zumindest eine Risikoanalyse durchgeführt werden kann. Dies sind ohnehin Themen des o.g. B3S. Der Termin bis zum 1. Januar 2022 ist da schon recht sportlich! KRITIS Betreiber hatten für die Umsetzung immerhin zwei Jahre Zeit.
Übrigens: Durch die Verordnung zur Verwaltung des Strukturfonds im Krankenhausbereich (Krankenhausstrukturfonds-Verordnung – KHSFV) kann eine Förderung umzusetzender Maßnahmen sowie erforderlicher Beratungsleistungen möglich sein. Die Fördermittelrichtlinie kann beim Bundesamt für Soziale Sicherung abgerufen werden.