Das Thema Digitalisierung und Informationssicherheit wird in Krankenhäusern dieser Tage großgeschrieben. Denn es gibt ein vom Gesetzgeber vorgegebenes Datum, den 1. Januar 2022, zu dem Informationssicherheits-Anforderungen umzusetzen sind. Vor dem Hintergrund der derzeitig erschwerten Bedingungen und personellen Belastungen, auch hervorgerufen durch Corona, müssen nun finanzielle Mittel des Krankenhauszukunftsgesetzes sinnvoll für die eigene Infrastruktur eingesetzt werden. Da diese Investitionen aber kaum von den einzelnen Krankenhäusern allein zu schultern sind, kann auf Basis der Krankenhausstrukturfonds-Verordnung – KHSFV eine Förderung beantragt werden. Die entsprechende Fördermittelrichtlinie finden Sie hier.

Wie ist nun der Ablauf?

1. Gehört Ihr Krankenhaus zur Kritischen Infrastruktur (KRITIS)?

Ihr Krankenhaus gilt ab 30.000 vollstationären Fällen pro Jahr als Kritische Infrastruktur. Sollte dies der Fall sein, müssen bereits die Vorgaben aus dem IT-Sicherheitsgesetz und des §8a BSI-Gesetz (BSIG) erfüllt werden. Das bedeutet, dass die IT-Sicherheit nach dem Stand der Technik umzusetzen und ihre Einhaltung regelmäßig gegenüber dem BSI nachzuweisen ist. Die Umsetzung kann auf Basis des Branchenspezifischen Sicherheitsstandard (B3S) für Krankenhäuser erfolgen.

2. Ihr Krankenhaus fällt nicht unter die KRITIS-Verordnung?

Für Krankenhäuser, die nicht zur Kritischen Infrastruktur gehören, wurden die Anforderungen erhöht. Hier auf Basis des Patientendaten-Schutz-Gesetz (PDSG). Auch diese Kliniken müssen bis zum 31.12.2021 gewährleisten, dass sie für ihre Systeme „dem Stand der Technik“ entsprechende Maßnahmen getroffen haben. Dabei sind Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse erforderlich. Dies ist in § 75c SGB V geregelt. Im Gegensatz zu „KRISTIS-Krankenhäusern“ ist zwar kein Nachweis zu erbringen, die informationstechnischen Systeme sind jedoch spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen. Auch hier kann der Branchenspezifischen Sicherheitsstandard (B3S) für Krankenhäuser genutzt werden.

Welche zusätzliche Möglichkeit bietet sich?

Wer den B3S nicht vollständig umsetzen kann oder will, sollte trotzdem prüfen ob ein Informationssicherheits-Managementsystems (ISMS) aufgebaut werden kann, um dem „Stand der Technik“ angemessen umzusetzen.

Denn ein ISMS ist ein System von Vorgaben und Abläufen, um Informationssicherheit in einer Organisation zum einen zu definieren und umzusetzen und zum anderen dauerhaft zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Also die optimale Lösung um die gesetzlichen Anforderungen zu erfüllen. Gepaart mit der langjährigen Erfahrung unserer Berater wird aus Ihrer Aufgabe eine zukunftssichere Lösung. Weiter Informationen, wie wir Sie unterstützen können, finden Sie hier.

| | | , ,