Rödl & Partner als prüfende Stelle für KRITIS

Als Wirtschaftsprüfungsgesellschaft haben wir einen akribischen Qualitätsanspruch bei Prüfungstätigkeiten und sind routiniert im Umgang mit hochsensiblen Informationen und Daten.

Wir setzen auf unsere hoch qualifizierten Mitarbeiter in spezialisierten Experten-Teams. Für die KRITIS Prüfungen im Bereich Gesundheits- und Sozialwirtschaft kommt das branchenkundige Team Assurance & IT zum Einsatz. Jeder Prüfungsleiter verfügt vollständig über die vom BSI geforderten Kompetenzen.

Audit-/Prüfungserfahrung
IT-Sicherheit
Branchenkenntnisse
Grundsätzliche Kompetenz über das IT-Sicherheitsgesetz und die Nachweiserbringung, die vom BSI „zusätzliche Prüfverfahrenskompetenz für § 8a BSIG” genannt wird

Unser Team hat sich auf die Prüfung und Beratung der Gesundheits- und Sozialwirtschaft spezialisiert. Daher kennen wir mit unserer langjährigen Berufserfahrung die Anforderungen und Besonderheiten in der Branche sehr gut. Die fachliche Expertise für IT-Sicherheit ist durch einschlägige Weiterbildungen, insbesondere die weltweit anerkannte Zertifizierung zum Certified Information Systems Auditor (CISA), sichergestellt.

Branchenkompetenz

Der Gesundheits- und Sozialwirtschaft stehen wir seit über 20 Jahren als fach- und branchenkundiger Partner zur Seite. In einem interdisziplinären Team arbeiten über 100 Kollegen an den täglichen Herausforderungen und Problemstellungen der Unternehmen dieser Branche:

Wir sind als externe Informationssicherheitsbeauftragte bei Betreibern kritischer Infrastrukturen bestellt. Mit methodischer und strukturierter Vorgehensweise beschäftigen wir uns mit der Identifikation und Bewertung wesentlicher Verfahren, Prozesse und Komponenten bis zur Umsetzung der Maßnahmen.
Im Rahmen der Jahresabschlussprüfung beschäftigen wir uns mit den Kernprozessen der Unternehmen sowie der hierfür notwendigen IT-Systeme und unterstützenden IT-Serviceprozesse. Insbesondere auch um Maßnahmen zur Sicherung des Regelbetriebs, Netzwerküberwachung, Netzsegmentierung, physische und logische Sicherungsmaßnahmen, Network Access Controls u.v.m.
Unsere Datenschutzexperten führen regelmäßig Audits zur Einhaltung der DSGVO durch. Dies betrifft ganz besonders auch den hochsensiblen medizinischen Bereich und die dort vorhandenen technischen und organisatorischen Maßnahmen.
Wir stellen externe Datenschutzbeauftragte im Krankenhausumfeld. Entsprechend kennen wir die Herausforderungen beim Aufbau eines (Datenschutz-) Managementsystems und angemessene Maßnahmen zur Sicherstellung der Vertraulichkeit.
Unsere Medizinökonomen führen Maßnahmen zur Erlössicherung im medizinischen Bereich durch und diskutieren hierfür regelmäßig mit den Fachabteilungen über die Abläufe in den Abteilungen und Stationen.
Bei speziellen Anforderungen können wir direkt auf unsere teaminternen Rechtsanwälte und Steuerberater zurückgreifen.

Unsere Erfahrung als ISB in der Gesundheitswirtschaft

Als Informationssicherheitsbeauftragter im Kritis-Umfeld der Gesundheitswirtschaft bauen wir ein belastbares, strukturiertes Managementsystem für die Informationssicherheit auf. Die Herausforderungen sind vielfältig und oft vergleichbar. Ein wesentlicher Faktor ist:

„Wie kann die Informationssicherheit in den Prozessen erhöht werden ohne dabei Mitarbeiter in ihrer Arbeit zu behindern?”

Dieses Wissen und die gemachten Erfahrungen bringen wir bei der Beurteilung der Umsetzung der Anforderungen ein. Insbesondere bei der Beurteilung von Abweichungen haben wir im Blick, welche tatsächlich eine Gefährdung der kritischen Dienstleistung darstellen und welche nur auf dem Papier problematisch ist. Trotz und gerade wegen dieses praxisorientierten Vorgehens können Sie von uns höchste Prüfungsqualität und fundierte, wie nachvollziehbare Ergebnisse in der Beurteilung erwarten.

Diese Fähigkeiten schätzen unsere Mandanten, wie ein Empfehlungsschreiben eines großen Universitätsklinikums bestätigt:

„Besonders positiv fand ich die kritische Grundeinstellung bei gleichzeitig praxisnaher Abschätzung der Auswirkungen von möglichen Abweichungen und dem damit verbundenen Schweregrad der Mängel.”

Seit Inkrafttreten des IT-Sicherheitsgesetzes haben wir bereits zahlreiche Prüfungen nach § 8a BSIG für Krankenhäuser, Labore und Blutspendedienste zur vollsten Zufriedenheit unserer Mandanten durchgeführt.

Profitieren Sie von unserer Erfahrung

Durch die Vielzahl durchgeführter KRITIS-Audits haben wir mit jeglichen Prüfungsgrundlagen bereits gute Erfahrungen machen können. Dies beinhaltet insbesondere die branchenspezifischen Sicherheitsstandards (B3S) in der Gesundheitsbranche, die Orientierungshilfe zu Nachweisen vom BSI sowie das Rahmenwerk BSI-Grundschutz und die ISO/IEC 27001 Norm. Weiterhin ist der kürzlich veröffentlichte Anforderungskatalog „Konkretisierung der Anforderungen an die gemäß § 8a BSIG Absatz 1 BSIG umzusetzenden Maßnahmen” vom BSI in Zusammenarbeit mit dem Institut der Wirtschaftsprüfer (IDW) als Prüfungsgrundlage grundsätzlich in Betracht zu ziehen.

Darauf aufbauend hat das IDW in Zusammenarbeit mit dem BSI bereits eine Prüfungshilfe (IDW PH 860.2) mit konkreten Prüfungshandlungen veröffentlicht. Als Wirtschaftsprüfungsgesellschaft profitieren wir von dieser engen Vernetzung mit dem BSI und begrüßen dieses einfache und nachvollziehbare Konzept zur Nachweiserbringung für Sie als Betreiber kritischer Infrastruktur.