Datenschutz & Datensicherheit und Informationstechnik
Seit 1. Januar 2022 sind alle Krankenhäuser in Deutschland verpflichtet, mehr als 150 Anforderungen des B3S einzuhalten – egal, ob sie als KRITIS zählen oder nicht. PwC skizziert in einem Whitepaper, wie Krankenhäuser organisatorische und technische Vorkehrungen treffen können.
Der Gesetzgeber hat die Wichtigkeit der Cybersecurity und die Gefahren einer Cyberattacke auf Krankenhäuser erkannt und weitreichende Pflichten zur Absicherung der IT-Systeme und Infrastrukturen erlassen. Seit Anfang des Jahres greift der branchenspezifische Sicherheitsstandard (B3S) auch für kleine Häuser, unabhängig davon, ob sie zu den kritischen Infrastrukturen (KRITIS) zählen oder nicht.
Das PwC-Whitepaper „Digitalisierung im Krankenhaus? Aber sicher!“ nimmt ausgehend von dem gesetzlichen Rahmen für die digitale Transformation im Krankenhaus die relevanten Sicherheitsanforderungen in den Blick. Es analysiert die aktuelle Bedrohungslage sowie Folgen unzureichender IT-Sicherheit und skizziert einen Weg, wie Krankenhäuser angemessene organisatorische und technische Vorkehrungen treffen können.
„Cybersicherheit ist das Fundament für eine erfolgreiche Digitalisierung des Gesundheitswesens“, sagt Michael Burkhart, Leiter Gesundheitswirtschaft bei PwC Deutschland. „Die verschärften Anforderungen an Krankenhäuser erfordern eine kontrollierte Umsetzung der nötigen Maßnahmen. IT-Sicherheit wird dadurch noch stärker zu einer zentralen Management-Aufgabe.“
Empfohlener Umsetzungsprozess der B3S-Anforderungen
Um die Sicherheit in Krankenhäusern nachhaltig zu erhöhen, empfiehlt PwC ein mehrstufiges Vorgehen. Einerseits geht es darum, den Status-quo zu den B3S-Anforderungen zu erheben, den Reifegrad zu definieren, Steuergrößen zu erstellen und eine konsequente Umsetzung zu planen. Andererseits sollten weitere Best-Practice-Maßnahmen der IT-Sicherheit den Umsetzungsprozess flankieren. Dazu gehören regelmäßig angesetzte Penetrationstests, ein professionalisiertes Patch-Management, um bekannt gewordene Sicherheitslücken schnell zu schließen und eine Vorbereitung der Organisation auf den Ernstfall.
Detaillierte Handlungsempfehlungen lesen Interessierte im Whitepaper.
Rechtliche Folgen bei Nichteinhaltung der Vorgaben
Für Krankenhäuser mit mehr als 30.000 vollstationären Patientinnen und Patienten pro Jahr greifen schon seit Jahren hohe Sicherheitsanforderungen. Sie sind als kritische Infrastrukturen (KRITIS) eingestuft und müssen laut dem BSI-Gesetz (BSIG) regelmäßig nachweisen, dass ihre Absicherung dem Stand der Technik entspricht. Laut § 75c SGB V sind ab dem 1. Januar 2022 nun grundsätzlich alle Krankenhäuser dazu verpflichtet, angemessene Vorkehrungen zu treffen – unabhängig von ihrer Größe. Insgesamt enthält der Standard ca. 200 Anforderungen und Empfehlungen für Maßnahmen. Dazu gehören die Einführung eines Informationssicherheitssystems (ISMS) und eines Business Continuity Systems (BCM) sowie ein aktives Management von Risiken rund um den Ausfall digitaler Systeme.
Wenn die IT-Sicherheitsanforderungen nicht eingehalten werden, drohen nicht nur Einschränkungen des Krankenhausbetriebes und die Gefährdung von Patientinnen und Patienten. Den Verantwortlichen stehen eine Reihe rechtlicher Konsequenzen bevor. Sie reichen von vertragsärztlichen Folgen und Schadensersatzforderungen über Bußgelder und die Rückforderung von Fördergeldern bis hin zu strafrechtlichen Konsequenzen.