1. Ist-Analyse Im ersten Schritt werden alle relevanten Systeme und Prozesse zusammengetragen und deren Reifegrad ermittelt. So erhalten die Krankenhausbetreiber eine Übersicht aller vorhandenen Sicherheitslücken.

2. Risikoaudit Um die Anforderung an ein angemessenes Schutzniveau zu gewährleisten, gilt es, zudem ein Risikoaudit durchzuführen. Hierbei werden die ermittelten Sicherheitslücken auf die Wahrscheinlichkeit eines Vorfalls sowie die Schwere der Auswirkung geprüft. Nicht jede Sicherheitslücke muss sofort geschlossen werden. Sind das Risiko eines Vorfalls oder die Schwere der Auswirkungen gering, kann ein Risiko auch bewusst akzeptiert werden.

3. Entwicklung geeigneter Maßnahmen Auf Basis der ersten beiden Schritte werden nun Maßnahmen für die Schließung von Sicherheitslücken entwickelt. Diese können sowohl technisch als auch organisatorisch sein und beziehen in der Regel alle Abteilungen mit ein.

4. Umsetzung der Maßnahmen Es empfiehlt sich, den Fokus auf die strukturierte Umsetzung der Maßnahmen zu legen. Hierzu gehört zum einen ein funktionierendes Security Projektmanagement, zum anderen der Aufbau eines IT-Sicherheitsteams, das sich dieser Aufgabe widmet und Verantwortung übernimmt. Da die Maßnahmen in der Regel alle Abteilungen des Krankenhauses betreffen, sollten Mitarbeiter vorab in Informationsveranstaltungen für die kommenden Schritte sensibilisiert und im besten Fall schon in die Ist-Analyse mit einbezogen werden. So kann auch Akzeptanz für die Änderung von Vorgehensweisen und Prozessen geschaffen werden. Wichtig ist die regelmäßige Dokumentation der Umsetzung von Maßnahmen.

5. Kontrolle und Optimierung der getroffenen Maßnahmen Der Gesetzgeber schreibt vor, dass die getroffenen Maßnahmen mindestens alle zwei Jahre auf ihre Wirksamkeit geprüft werden müssen. Es empfiehlt sich, einmal pro Jahr ein Sicherheits-Audit durchzuführen. Hieraus ergeben sich eventuell neue Risiken, die durch die Entwicklung und Umsetzung geeigneter Maßnahmen minimiert werden können.