Neue gesetzliche Grundlage zur Umsetzung der IT-Sicherheit in allen Krankenhäusern

PrintMailRate-it

​​​​​​​​​veröffentlicht am 17​. Mai 2024 | Lesedauer ca. 2 Minuten

Die gesetzliche Verpflichtung zur Umsetzung der IT-Sicherheit im Krankenhaus besteht seit einiger Zeit. Der bisher gültige § 75c SGB V zieht jetzt nach § 391 SGB V um und erhält dabei einige inhaltliche Änderungen. In diesem Artikel stellen wir Ihnen die wesentlichen Änderungen kurz vor.


 

IT-Sicherheit wird auch aufgrund der aktuellen Entwicklungen mit immer häufigeren Cyberangriffen auf Krankenhäuser aller Größen und der gleichzeitigen Zunahme der Digitalisierung immer wichtiger.

 
Krankenhäuser werden im § 391 SGB V weiterhin dazu verpflichtet nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu treffen. Die Funktionsfähigkeit des Krankenhauses und der Schutz der Patientendaten sollen damit weiterhin an erster Stelle stehen.
Die Maßnahmen zum Schutz gelten als angemessen, solange der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Informationen steht. Da es sich bei Patientendaten um besonders schützenswerte Daten handelt, ist dabei die Messlatte jedoch sehr hoch.

 
Die Verpflichtung zur Umsetzung der IT-Sicherheit gilt für Krankenhäuser aller Größen, nicht nur für Maximalversorger, Universitätskliniken oder Häuser der Kritischen Infrastruktur und unabhängig davon, ob das Krankenhaus als Betreiber kritischer Infrastrukturen unter die Regelungen des BSI- Gesetzes fällt oder nicht. Zwar werden in dem Gesetz keine konkreten Strafen bei mangelhafter Umsetzung aufgeführt, es handelt sich dabei aber dennoch um einen Compliance-Verstoß, der in einem Schadensfall nur schwer zu rechtfertigen ist. Es liegt in der Verantwortung der Geschäftsführung die Sicherheit im Krankenhaus zu gewährleisten. Diese Verantwortung kann nicht an die IT-Leitung delegiert werden, auch wenn in der Praxis die IT-Leitung sich um die Umsetzung der Maßnahmen kümmern wird.

Dabei empfiehlt es sich auf dem Branchenspezifischen Sicherheitsstandard (B3S) für die Medizinische Versorgung als Stand der Technik aufzubauen und die darin vorgesehenen Maßnahmen umzusetzen. Hierbei werden die besonderen Anforderungen in Krankenhäusern berücksichtigt, sodass sich nicht jedes Haus selbst Gedanken dazu machen muss.

Gegenüber § ​75c SGB V werden die Maßnahmen zur Steigerung der Security-Awareness von Mitarbeitenden in den Fokus gerückt. Krankenhäuser werden verpflichtet, entsprechende Maßnahmen zu treffen. Schulungen zur Informationssicherheit für alle Mitarbeitenden oder auch Phishing-Simulationen können die Awareness erhöhen. Es ist von großer Bedeutung, dass die Mitarbeitenden die aktuellen Bedrohungen kennen und wissen, wie sie sich in konkreten Fällen verhalten und davor schützen können.
 
Genauso wichtig ist es aber auch, dass die jeweilige Geschäftsführung die Risiken kennt, die sich aus der IT ergeben und die Anforderungen versteht, die an die Sicherheit gestellt werden. Nur so kann sie qualifiziert entscheiden, wie die verfügbaren Mittel ausgegeben werden sollen und sich vor Fehlentscheidungen absichern.
Eine 100%ige Sicherheit kann durch technische Maßnahmen nicht gewährleistet werden – am Ende kommt es auf jeden Einzelnen an.​
IT-Sicherheit kann die Komplexität in Prozessen erhöhen, deswegen ist es wichtig einen passenden Mittelweg zwischen IT-Sicherheit und Arbeitsfähigkeit zu finden, denn am Ende geht es um die Sicherstellung der Medizinischen Versorgung. Für die Wirtschaft bedeutet dies einen geringen, noch nicht abschließend quantifizierbaren Mehraufwand. Sprechen Sie uns hierzu gerne an.



AUTOREN

Jürgen Schwestka
Matthias Edler


Aus dem Themenspecial

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Unternehmer-briefing

Kein Themen­special verpas­sen mit unserem Newsletter!



Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu