Am 18.09.2020 hat der Bundesrat das Patientendaten-Schutz-Gesetz ohne Änderungen beschlossen (kurz PDSG). Dieses Artikelgesetz hat Auswirkungen auf die Gestaltung der IT-Sicherheit in Krankenhäusern. Sowohl das neue PDSG aber auch das in der parlamentarischen Abstimmung befindliche IT-Sicherheitsgesetz 2.0 zielen auf die sichere Digitalisierung des Gesundheitssystems ab. Zwangsläufig hängen damit viele Versorgungsleistungen an IT-Systemen und ihrer Sicherheit. Die Bedrohung durch Cyberangriffe wird für Kliniken und Krankenhäuser ein immer wichtigerer Aspekt.

IT-Sicherheitsmanagement auch für Nicht-KRITS-Krankenhäuser verpflichtend

Der Gesetzesbeschluss des PDSG ändert das Sozialgesetzbuch V (Gesetzestext). Ein neuer Paragraph  § 75c verpflichtet ab dem 1.1.2022 alle Krankenhäuser dazu „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.“  Bisher galt dies nur für Krankenhäuser, die gemäß § 8a BSI-Gesetz (BSIG) so genannte „Kritische Infrastrukturen“ betreiben (> 30.000 vollstationäre Fälle pro Jahr).

Es wird im Gesetzesbeschluss des PDSG nun empfohlen sich am branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S) zu orientieren, dessen Sicherheit vom Bundesamt für Sicherheit in der Informationstechnik anerkannt wurde. Der aktuell freigegebene Standard (Version 1.1) definiert 168 Maßnahmen zur Wahrung der Patientensicherheit und Behandlungseffektivität und orientiert sich an der ISO/IEC 27001 für Informationssicherheitsmanagementsysteme. Eine Zertifizierung der ISO/IEC 27001 ist allerdings für den Nachweis der Maßnahmen nicht nötig. Der neue § 75c SGB V sieht zwar keine Melde- oder Nachweispflichten vor, dennoch ist spätestens alle zwei Jahre eine Prüfung auf den aktuellen Stand der Technik festgeschrieben. Im Kern bedeutet die Umsetzung des B3S die Einführung eines Informationssicherheitsmanagementsystems (ISMS) basierend auf einer spezifischen Risikomanagement-Methodik. Die Umsetzungsfrist für ein Informationssicherheitsmanagement ist mit einem Jahr äußert knapp bemessen, deshalb sollten betroffene Kliniken und Krankenhäuser schnellstmöglich beginnen.

Umfangreiche Fördermöglichkeiten frühzeitig nutzen

Hierbei können viele organisatorische und technische Maßnahmen im Kontext IT-Sicherheit aus dem Krankenhauszukunftsfond (KHZF) aus dem Krankenhauszukunftsgesetz (KHZG) gefördert werden. Laut einer Studie des DKG (2019) verursacht die Umsetzung des Sicherheitsstandards (B3S) initiale Kosten in Höhe von ca. 1,5 – 2,0 Mio. Euro, die im kalkulierten Budget für Informationstechnik/Informationssicherheit enthalten sein sollten. Der KHZF fördert den Aufbau von organisatorischen und technischen Maßnahmen in der IT-Sicherheit – exklusiv für Nicht-KRITIS-Krankenhäuser (siehe § 19 Abs. 1 Nr. 10 der geänderten Krankenhausstrukturfonds-Verordnung im Sinne des Krankenhauszukunftsgesetzes).

Um einen Förderantrag zu stellen, sollten Krankenhäuser eine fachlich und technische Argumentationsgrundlage vorweisen. Dies kann z.B. eine Bestandsanalyse oder eine Potenzialanalyse sein, die als Grundlage für fundierte Maßnahmen- und Investitionspläne fungiert. Gerne helfen wir Ihnen bei der Ermittlung angemessener und notwendiger Maßnahmen zur Verbesserung Ihrer IT-Sicherheit und unterstützen Sie bei Ihrer Förderantragstellung.

Unser Leistungsangebot

Patientendaten-Schutz-Gesetz: Neue Herausforderungen für die IT-Sicherheit in allen Krankenhäusern

Bestandsaufnahme und Potenzialanalyse

In einer zwei- bis dreitägigen Bestandsaufnahme in Form eines Vor-Ort-Audits erheben wir den Stand Ihrer Informationssicherheit. Wir identifizieren Ihre Handlungspotenziale. Das Ergebnis unserer Bestandsaufnahme gibt Ihnen Klarheit über die Schritte, die notwendig sind, um die Vorgaben des PDSG umzusetzen.

Für die Bestandsaufnahme setzen wir Berater ein, die über die Qualifikationen verfügen, wie sie für Nachweise in einem KRITIS-Krankenhaus gefordert sind. Die Berater sind Normenexperten und besitzen umfangreiche Audit- und Prüfungserfahrung.

Patientendaten-Schutz-Gesetz: Neue Herausforderungen für die IT-Sicherheit in allen Krankenhäusern

Einführung eines PSDG-konformen ISMS

Mit unserer Erfahrung aus unterschiedlichen Projekten im Krankenhaus-Umfeld begleiten wir Sie beim Aufbau eines Risikomanagementsystems und eines ISMS. Wir helfen Ihnen wirksame Steuerungsprozesse aufzubauen und die Anforderungen des PDSG umzusetzen.

Patientendaten-Schutz-Gesetz: Neue Herausforderungen für die IT-Sicherheit in allen Krankenhäusern

Konzepte und Projektbegleitung

Mit unserer Expertise im Sicherheitsmanagement und unserem Netzwerk an IT-Experten erarbeiten wir die richtigen Lösungskonzepte für die Erhöhung der IT-Sicherheit auf PDSG-Niveau. Wir entwickeln bauliche, technische und organisatorische Lösungen und begleiten die Umsetzungsprojekte. Dies beinhaltet auch die Unterstützung bei Förderanträgen.

Patientendaten-Schutz-Gesetz: Neue Herausforderungen für die IT-Sicherheit in allen Krankenhäusern

Externe Betreuung & Interimsmanagement

Qualifizierte Informationssicherheitsmanager bzw. -beauftragte (ISB) sind rar. Für kleinere und mittlere Krankenhäuser ist der Einsatz eines internen ISB zudem wirtschaftlich nicht sinnvoll. Als Full-Service-Dienstleistung übernehmen wir die Funktion des ISB und gewährleisten so, dass Ihr Managementsystem angemessen und PDSG-konform implementiert wird

Patientendaten-Schutz-Gesetz: Neue Herausforderungen für die IT-Sicherheit in allen Krankenhäusern

Schulungen und Weiterbildungen

In unserem Krisensicher Campus bilden wir Ihre internen ISMS-Experten aus und weiter. Mit unseren speziell für Krankenhäuser konzipierten Lehrgängen lernen Sie genau, was Sie in Sachen PDSG und B3S wissen müssen.

Fordern Sie jetzt ein unverbindliches Angebot an!

Kontakt aufnehmen

6 + 10 =

Wir benutzen technisch notwendige Cookies um die Funktionsfähigkeit unserer Webseite zu gewährleisten und die Nutzerfreundlichkeit der Webseite zu verbessen. Klicken Sie auf den Button für mehr Informationen.