Mit der 1. Änderungsverordnung zur BSI-Kritisverordnung (BSI-KritisV) vom 30.6.2017 wurden Bemessungskriterien und Schwellenwerte für die Identifikation sogenannter Kritischer Infrastrukturen auch für den Sektor “Gesundheitsversorgung” festgelegt.
Krankenhäuser mit mindestens 30.000 vollstationären Behandlungsfällen pro Jahr unterfallen seither den Anforderungen des BSI-Gesetzes und haben zum 30.6.2019 die Umsetzung geeigneter Maßnahmen gemäß § 8a Abs. 1 BSI-Gesetz zum Schutz der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse nachzuweisen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.
Nachweis der Umsetzung – Branchenspezifischer Sicherheitsstandard (B3S)
Für diesen Nachweis können sogenannte Branchenspezifische Sicherheitsstandards („B3S“) entwickelt und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Prüfung vorgelegt werden, ob die darin enthaltenen Festlegungen für die Umsetzung der Anforderungen des § 8a Abs. 1 BSI-Gesetz geeignet sind. Stellt das BSI die Eignung fest, können Betreiber kritischer Infrastrukturen durch den Nachweis der Umsetzung eines B3S die Vorgaben zum Schutz ihrer informationstechnischen Systeme erfüllen.
Die Deutsche Krankenhausgesellschaft hat den ersten von zwei geplanten Teilen eines Entwurfs für einen Branchenspezifischen Sicherheitsstandard erstellt und mit dem Branchenarbeitskreis „Medizinische Versorgung“ in mehreren, teils umfangreichen Kommentierungsrunden abgestimmt.
Den vollständigen Artikel der DKG e. V. finden Sie hier.