carmasec

IT-Sicherheit für Krankenhäuser: Der neue §75c SGB V

Dossier zum Patientendatenschutz-Gesetz

Zurück zur Themenübersicht
Hintergrund Gitternetz

Überblick über die regulatorischen Vorschriften

 

Cybersicherheit im GesundheitswesenDer neu geschaffene §75c SGB V gilt für Krankenhäuser, die nicht als Betreiber kritischer Infrastruktur gelten. Die IT-Sicherheit von kritischen Infrastrukturen wurde bereits 2016 in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) geregelt.

Ab dem 1. Januar 2022 sind diese Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen und den Schutz von personifizierten Daten durch die Herstellung eines angemessenen Schutzniveaus in den Bereichen des Datenschutzes und der Informationssicherheit herzustellen. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen. Hierbei empfiehlt der Gesetzgeber die Umsetzung von Sicherheitsmaßnahmen nach dem § 8a BSI-Gesetz, das die IT-Sicherheit für kritische Infrastrukturen regelt.

Anforderungen an die Betreiber von Krankenhäusern

 

Sowohl der §75c SGBV als auch der §8a BSIG schreiben die Umsetzung angemessener organisatorischer und technischer Vorkehren vor (OTV), die dem aktuellen Stand der Technik entsprechen. Diese Maßnahmen sind mindestens alle zwei Jahre zu prüfen und dem Stand der Technik anzupassen.

Das PSDG benennt drei Schutzziele:

  • Verfügbarkeit
    Daten und Dienste sind jederzeit erreichbar und können immer genutzt werden.
  • Integrität
    Daten sind in sich konsistent und können von Unbefugten nicht verändert werden.
  • Vertraulichkeit
    Nur berechtigte Personen haben Zugriff auf entsprechende Informationen.

Das BSI-Gesetz ergänzt zudem ein weiteres Schutzziel:

  • Authentizität
    Daten stammen nachweislich aus einer vertrauenswürdigen Quelle und sind inhaltlich korrekt.

Von den Betreibern getroffenen Sicherheits-Maßnahmen sollten stets mindestens eines der Schutzziele stärken.

 

Maßnahmenkatalog zur Verbesserung der IT-Sicherheit in Bayerischen Krankenhäusern

 

Als erste Orientierung empfiehlt sich der im Rahmen des Projekts “Smart Hospitals – Sichere Digitalisierung bayerischer Krankenhäuser” im August 2020 publizierte Maßnahmenkatalog für eine angemessene Umsetzung von IT-Sicherheit in Krankenhäusern. “Smart Hospitals” wird als Initiative von vom bayerischen Staatsministerium für Gesundheit und Pflege (StMGP) und vom Forschungsinstitut Cyber Defence (FI CODE) der Universität der Bundeswehr München gefördert.

Das Dokument beinhaltet Musterlösungen für die Verwendung sowohl in bestehenden IT-Infrastrukturen als auch bei anlaufenden Digitalisierungsprojekten:

  • Die Bausteine sind für Krankenhäuser aller Größen und Aufgabenstellungen konzipiert.
  • IT-Sicherheit wird in ihrer vollen Breite angegangen, neben im Vordergrund stehenden präventiven IT-Sicherheitsmaßnahmen wird auch die Detektion von und Reaktion auf IT-Sicherheitsvorfälle(n) behandelt und ein ausgewogenes Verhältnis aus technischen und organisatorischen Maßnahmen angestrebt.
  • Die Zusammenstellung der Maßnahmen erfolgt auf der Grundlage von Prämissen der Risikoorientierung und der kontinuierlichen Verbesserung.

Den Maßnahmenkatalog „Smart Hospitals“ können Sie hier herunterladen.

Profilbild mit Unterzeile von Carsten Marmulla, Managing Partner & Senior Trusted Advisor

Mein Angebot: kostenfreie Expertenberatung!

Gerne unterstütze ich Sie bei der Entwicklung und Implementierung eines Managementsystems für Informationssicherheit und Datenschutz.

+49 (0)201 426 385 905

Kontakt aufnehmen

Zurück zur Themenübersicht

Sie haben Fragen?
Kontaktieren Sie Ihren persönlichen Ansprechpartner.

Ihr persönlicher Ansprechpartner

Profilbild Carsten Marmulla Geschäftsführer carmasec

Carsten Marmulla

+49 (0)201 426 385 900 Y29udGFjdEBjYXJtYXNlYy5jb20=
Hintergrund Gitternetz