Ab dem 01.01.2022 kommt auf alle Krankenhäuser in Deutschland zu, sich verpflichtend um Informationssicherheit (IT-Sicherheit) zu kümmern. Und zwar auf demselben Niveau, wie dies schon seit einigen Jahren für die großen Krankenhäuser gilt, die zu den sog. "Kritischen Infrastrukturen" (kurz: KRITIS) gehören. Dies geht ganz deutlich aus dem neuen §75c SGB V (Sozialgesetzbuch V) hervor.
Es geht jetzt also darum, möglichst schnell die folgenden drei Schritte anzugehen.
Schritt 1: §75c SGB V verschärft die Anforderungen. Besorgen Sie sich Knowhow zu Informationssicherheit!
Konkret steht im neuen §75c SGB V in Abs. (1) das folgende:
Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.
Und noch genauer in Abs. (2):
Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden [...]
Es geht also darum, den Branchenspezifischen Sicherheitsstandard B3S der DKG zu erfüllen. Es ist also sinnvoll, sich mit den Inhalten frühzeitig zu beschäftigen.
Wenn Managementsysteme (wie bspw. hier ein Informationssicherheitsmanagementsystem - ISMS) analog zur ISO 27001 für Sie noch nicht so bekannt sind, ist es ratsam, sich noch externe Unterstützung zu holen.
Schritt 2: Sorgen Sie für eine Finanzierung Ihres IT-Sicherheits-Projekts!
Das Krankenhauszukunftsgesetz gibt Ihnen genau für diese Art von Vorhaben die Möglichkeit, aus dem Krankenhauszukunftsfonds Mittel für ein Informationssicherheitsprojekt zu beantragen (suchen Sie im Link einfach nach §14a Krankenhauszukunftsfonds).
Dies ist ganz konkret geregelt in Abs. (2) Ziffer 3.:
(2) Zweck des Krankenhauszukunftsfonds ist die Förderung notwendiger Investitionen
in Krankenhäusern in[...]
3. die Informationssicherheit
[...]
Wie Sie konkret an Fördermittel kommen, beschreibt § 14a Abs. (4):
(4) Die Krankenhausträger melden ihren Förderbedarf, unter Angabe insbesondere des Vorhabens und der Fördersumme, unter Nutzung der vom Bundesamt für Soziale Sicherung bereitgestellten, bundeseinheitlichen Formulare bei den Ländern an (Bedarfsanmeldung).
Übrigens: Bei Beantragung von Fördermitteln aus dem Krankenhauszukunftsfonds müssen Sie 15% der Mittel verpflichtend für Informationssicherheit aufwenden!
Schritt 3: Suchen Sie rechtzeitig einen Zertifizierer bzw. Prüfer!
Eine ISO 27001-Zertifizierung (oder eine Prüfung gegen den B3S) geht nur mit einem guten Zertifizierungs- oder Prüfunternehmen. Je eher dieses Unternehmen bereits Branchenkenntnisse aus der Gesundheitsbranche mit sich bringt, desto eher wird es für Ihre spezifischen Gegebenheiten Verständnis haben und sich an diese anpassen können.
Was passiert, wenn ein Krankenhaus das nicht macht?
Zunächst einmal: Es gibt keine gesetzlichen Sanktionen, wenn ein Krankenhaus sich an die neuen Regelungen aus §75c SGB V nicht hält. Allerdings ist davon auszugehen, dass im Falle eines Angriffs oder einer Panne in der IT-Infrastruktur Schadensersatzforderungen auf das Krankenhaus zukommen. Und dass solche Angriffe geschehen, zeigt nicht erst das jüngste Beispiel aus der Uniklinik Düsseldorf!
Ob in dem Fall betriebliche Haftpflichtversicherungen leisten werden, ist mehr als fraglich.
Sie möchten das Thema für Ihr Krankenhaus gerne angehen? Dann vereinbaren Sie doch einfach ein unverbindliches und kostenfreies Gespräch mit uns! Oder haben Sie noch Fragen? Einfach unten rechts in den Chat!
