Cybersicherheit im Gesundheitswesen

Im Oktober 2020 verabschiedete der Gesetzgeber das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG). Dies zeigt deutlich, dass der Gesetzgeber Cyberkriminalität als großes Risiko für das zunehmend digitalisierte Gesundheitswesen erkannt hat.

Dies sorgt für viele Fragen bei Betreiber:innen von Krankenhäusern, Arztpraxen und Laboren. Welche Vorschriften gelten für wen? Wie können sie pragmatisch umgesetzt werden? Welche Sanktionen drohen bei Verstößen? Erste Antworten erhalten Sie in unserem Fachartikel zum Thema “Cybersicherheit im Gesundheitswesen”. Darüber hinaus haben Ihnen unsere Experten für Cybersicherheit ausführliche Informationen zur Gesetzgebung in einem Dossier zusammengestellt und nützliche Quellen verlinkt. Wie Sie die Maßnahmen des PDSG pragmatisch umsetzen können, erläutern wir Ihnen darüber hinaus in unserem Use Case, den wir Ihnen wie das Dossier am Ende dieses Artikels verlinken.

 

Die BSI KritisV als erste Grundlage für strukturierte IT-Sicherheit im Gesundheitswesen

Cyberattacken im GesundheitswesenBereits im Jahr 2017 wurde für Betreiber kritischer Infrastrukturen, zu denen Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr zählen, die Kritis-Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI KritisV) erlassen. Die Verordnung verpflichtete Betreiber:innen von kritischen Infrastrukturen zur Umsetzung konkreter IT-Sicherheitsmaßnahmen, um ein angemessenes Schutzniveau zu erreichen und zu halten.

Ein Blick auf die Entwicklung der Cyberkriminalität im Gesundheitswesen zeigt allerdings: Es besteht dringender Handlungsbedarf auch bei allen anderen Krankenhäusern, Praxen und Laboren! Check Point Research, die Security-Forschungsabteilung von Check Point® Software Technologies, veröffentlichte im Januar 2021 eine Statistik, die aufzeigt, dass allein in den Monaten November und Dezember 2020 die Anzahl der Cyber-Attacken gegen deutsche Krankenhäuser um 220 % angestiegen ist.

 

Das Patientendatenschutz-Gesetz als regulatorische Grundlage für ausreichende IT-Sicherheit im Gesundheitswesen

Im Oktober 2020 verabschiedete der Gesetzgeber das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) und setzte mit dem 01.04.2021 sowie dem 01.01.2022 enge Fristen für die Umsetzung. Dies zeigt deutlich, dass der Gesetzgeber Cyberkriminalität als großes Risiko für das zunehmend digitalisierte Gesundheitswesen erkannt hat. Das PDSG ist allerdings – das zeigt die fünfzig-seitige Veröffentlichung im Bundesgesetzblatt am 19. Oktober 2020 – komplex und seine Anwendung erstreckt sich über mehrere Gesetzbücher, Richtlinien und Verordnungen.

 

IT-Sicherheit für Praxen und Labore: “Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit” der Kassenärztlichen Bundesvereinigungen (KBV)

Für die Umsetzung des Gesetzes in vertragsärztlichen bzw. vertragspsychotherapeutischen Praxen und Laboren ist in Deutschland die Kassenärztliche Bundesvereinigung (KBV) zuständig. Sie erließ am 16. Dezember 2020 die “Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit”. Die Richtlinie enthält insgesamt fünf Maßnahmenpakete, die, abhängig von der Größe und dem Aufwand bei der Verarbeitung von personenbezogenen Daten, Anwendung finden.

Betreiber:innen von Arztpraxen und Laboren müssen hierbei die engen Fristen beachten. So mussten die ersten Maßnahmenpakete bereits bis zu m 01.04.2021 umgesetzt werden. Der zweite Stichtag folgt nun am 01.01.2022.

 

IT-Sicherheit für Krankenhäuser: Der neue §75c SGB V

Für Krankenhäuser, die nicht als kritische Infrastruktur eingestuft werden, hat der Gesetzgeber mit dem §75c SGB V einen regulatorischen Rahmen geschaffen.

Auch hier ist die Frist fast abgelaufen: Ab dem 1. Januar 2022 sind diese Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen und den Schutz von personifizierten Daten durch die Herstellung eines angemessenen Schutzniveaus in den Bereichen des Datenschutzes und der Informationssicherheit herzustellen. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen. Hierbei empfiehlt der Gesetzgeber die Umsetzung von Sicherheitsmaßnahmen nach § 8a BSI-Gesetz, das die IT-Sicherheit für kritische Infrastrukturen regelt.

 

Sanktionen bei mangelhafter Umsetzung der Maßnahmenpakete

Der Gesetzgeber zielt mit den Vorschriften des PDSG in erster Linie auf die Gewährleistung der Funktionsfähigkeit von IT-Systemen im Gesundheitswesen ab. Daher sieht das Gesetz keine eigenen Regelungen zur Sanktionierung von Verstößen vor. Dies bedeutet aber nicht, dass die Regelungen nicht eingehalten werden müssen. Neben straf- und berufsrechtlichen Konsequenzen können vor allem durch die Datenschutz-Grundverordnung (DSGVO) hohe Strafen durchgesetzt werden.

Laut dem Beauftragten für Datenschutz und Informationssicherheit des Landes NRW können dann Abhilfe- und Sanktionsmaßnahmen ergriffen werden, wenn die Missachtung der Vorgaben aus den §§ 75b und § 75c SGB V zugleich einen Verstoß gegen die Regelungen der DSGVO darstellt. In besonders schweren Fällen können Bußgelder in Höhe von bis zu 10 Millionen Euro oder 4 % vom Gruppenumsatz verhängt werden.

 

Pragmatische Umsetzung des PDSG

Unsere Experten für Cybersicherheit unterstützen Sie bei der Umsetzung des PDSG und der Implementierung von IT-Sicherheitsmaßnahmen mit diesen drei Schritten:

  1. Schritt: Delta-Analyse und Risikoaudit
    Wir tragen alle Abweichungen vom Ist-. zum Soll-Zustand zusammen und bewerten diese hinsichtlich ihres Risiko-Potentials
  2. Schritt: Auswahl geeigneter Maßnahmen
    Auf Basis Ihres Risikomanagements definieren wir gemeinsam geeignete Maßnahmen und Richtlinien.
  3. Schritt: Implementierung Ihres ISMS
    Wir unterstützen bei der Umsetzung und Dokumentation der Maßnahmen im Rahmen eines ISMS.

Weitere Informationen zur pragmatischen Umsetzung von IT-Sicherheitsmaßnahmen erhalten Sie auf unserer Website.

 

Dossier mit weiteren Informationen und Tipps

Die Fülle an Maßnahmen und Vorschriften, die Inhaber:innen einer Arztpraxis, Betreiber:innen eines medizinischen Labors und Verwaltungsleiter:innen eines Krankenhauses nun umsetzen müssen, ist immens und die Fristen sind knapp. Wir haben zur Orientierung ein Dossier zu “Cybersicherheit im Gesundheitswesen” zusammengestellt, in dem die für Sie wichtigsten Themen noch einmal aufbereitet sind. In kuratierten Abschnitten informieren wir Sie über die aktuelle Lage der Cybersicherheit im Gesundheitswesen, geben eine Einführung in die neuen Vorschriften zu Informationssicherheit und Datenschutz und zeigen pragmatische Lösungswege auf.

Das vollständige Dossier finden Sie auf unserer Website.