B3S im Krankenhaus – Änderungen im Überblick

PrintMailRate-it

​veröffentlicht am 28. Februar 2023


Für das Nachweisverfahren nach § 8a BSIG im Krankenhausbereich existiert ein branchenspezifischer Sicherheitsstandard (kurz „B3S”), welcher die Anforderungen zum Stand der Technik konkretisiert. Auf Grund der notwendigen turnusgemäßen Überprüfung des B3S wurde der Sicherheitsstandard in den letzten Jahren einer Aktualisierung unterzogen. Hierbei wurden vorhandene Inhalte präzisiert sowie weitere Anforderungen neu mit aufgenommen.


Betreiber Kritischer Infrastrukturen sind gemäß § 8a BSIG dazu verpflichtet, den „Stand der Technik” in Bezug auf die IT-Sicherheit umzusetzen und dies alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (kurz „BSI”) nachzuweisen. Zum Nachweis der Umsetzung der Maßnahmen muss der Betreiber Kritischer Infrastrukturen eine geeignete prüfende Stelle beauftragen.

Für Krankenhäuser, die unter die BSI-Kritisverordnung fallen, wurde in diesem Zusammenhang speziell ein branchenspezifischer Sicherheitsstandard (kurz „B3S”) vom Branchenarbeitskreis „Medizinische Versorgung“ entwickelt. Der Standard fasst alle im Krankenhausbereich notwendigen und sinnvollen Maßnahmen im Bereich IT-Sicherheit zusammen und kann als Prüfgrundlage im Rahmen des Nachweisverfahrens verwendet werden. Die Feststellung der Eignung des B3S erfolgt in der Regel für eine Dauer von zwei Jahren. Im Umkehrschluss bedeutet dies, dass der Sicherheitsstandard kontinuierlich weiterentwickelt und aktuell gehalten werden muss.

Bis zum Jahr 2021 wurde die Version 1.1 des B3S für die Gesundheitsversorgung im Krankenhaus verwendet. Im Zuge der turnusgemäßen Überprüfung ergaben sich einige Änderungen, sodass der B3S überarbeitet und im Juni 2022 in der Version 1.2 erstellt wurde. Im Anschluss wurde die Version 1.2 noch einmal überarbeitet (Stand 8.12.2022) und am 10.1.2023 dessen Eignung durch das BSI festgestellt. Im Folgenden geben wir Ihnen einen Überblick zu den Änderungen von Version 1.1 zu Version 1.2 und von Version 1.2 (Stand 6/2022) zu Version 1.2 (Stand 12/2022).

Änderungen des B3S von Version 1.1 (Stand 10/2019) zu Version 1.2 (Stand 6/2022)
Die Version 1.2 baut auf der Version 1.1 auf, wobei die Struktur des B3S grundlegend gleichgeblieben ist. Durch Straffung und Umsortierung von Inhalten wurde die Lesbarkeit des B3S wesentlich verbessert. So wurde beispielsweise die Zielsetzung und der Anwendungsbereich des B3S klarer herausgearbeitet. Außerdem ergaben sich an mehreren Stellen auch inhaltliche Änderungen, sodass auch neue Anforderungen hinzugekommen sind, wie zum Beispiel:
 
  • Die Leitlinie Informationssicherheit ist nun auch formal als Anforderung definiert.
  • Ein neues Kapitel mit entsprechenden Anforderungen zur branchenspezifischen Technik wurde mit aufgenommen.
  • In den Bereichen „Datensicherung, Datenwiederherstellung und Archivierung” und „Intrusion Detection / Prevention” wurden vereinzelt neue Anforderungen ergänzt.

 

Die Anpassung der Inhalte führte in diesem Zusammenhang auch zu einer neuen Nummerierung der Anforderungen. Weiterhin wurden auch redaktionelle Anpassungen sowie Änderungen in Bezug auf die Schlüsselwörter von beispielsweise „KANN” zu „SOLL” oder von „MUSS” zu „SOLL” vorgenommen.

Änderungen des B3S von Version 1.2 (Stand 6/2022) zu Version 1.2 (Stand 12/2022)
In der weiteren Überarbeitung des B3S in Version 1.2 ergaben sich keine wesentlichen Änderungen. Hauptsächlich wurde die Nummerierung noch einmal angepasst und redaktionelle Korrekturen vorgenommen. Außerdem wurden folgende Bereiche noch einmal spezifiziert:
 
  • Im Kapitel „Externe Informationsversorgung und Unterstützung” wurde mit aufgenommen, dass der Austausch und die Weitergabe von als relevant eingestuften externen Informationen an die zuständigen internen Stellen auch als relevante Informationen gelten und zeitnah ausgewertet werden müssen.
  • Im Bereich „Schutz vor Schadsoftware” ist hinzugekommen, dass ein System zur Vorbeugung und Erkennung schädlicher Software auf Grundlage der Planungen in angemessener Zeit eingerichtet werden muss.
  • Im Kapitel „Protokollierung” wurde als separate Anforderungen mit aufgenommen, dass ein Auswertungskonzept erstellt werden muss, welches die Modalitäten der Auswertung der Protokolldaten regelt.

 

Zusammenfassend können wir feststellen, dass der branchenspezifische Sicherheitsstandard B3S kontinuierlich weiterentwickelt und entsprechend der aktuellen Gegebenheiten und Veränderungen in der IT-Sicherheit angepasst wird. Aus diesem Grund sollten sich Betreiber Kritischer Infrastrukturen regelmäßig mit den Anpassungen der Anforderungen im Detail auseinandersetzen, um so die Anforderungen rechtzeitig vor dem nächsten Nachweisverfahren entsprechend umsetzen zu können.

 
In diesem Zusammenhang hat die Deutsche Krankenhausgesellschaft (DKG) als Hilfestellung auf ihrer Webseite eine Mappingtabelle veröffentlicht, die auf Anforderungsebene die Veränderungen von Version 1.1 zu Version 1.2 detailliert aufzeigt.

Bei Fragen zum Nachweisfahren oder zur Umsetzung von einzelnen Anforderungen, sprechen Sie uns gerne jederzeit an!
 

 Autor

​Jonas Buckel

 

 Folgen Sie uns!

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW

Partner

+49 911 9193 3508

Anfrage senden

 Wir beraten Sie gern

Deutschland Weltweit Search Menu