Mit der zunehmenden Digitalisierung der Krankenhäuser wird auch der Bereich der Informationssicherheit immer wichtiger. Insbesondere in diesem Bereich ist es von Bedeutung, möglichst mit dem aktuellsten Stand der Technik zu arbeiten. Unterstützen hierbei kann der branchenspezifische Sicherheitsstandard (B3S) „Medizinische Versorgung“.
Was ist ein branchenspezifischer Sicherheitsstandard?
Ein B3S ist ein Standard zur Informationssicherheit, in dem der Stand der Technik in einer Branche dargestellt wird. Jede Branche kann einen solchen Standard erarbeiten und dem BSI vorlegen. Das BSI prüft den vorgelegten Standard und erkennt diesen für einen definierten Zeitraum an. Dadurch gibt der B3S Rechtssicherheit dazu, was das BSI als Stand der Technik in einer Branche ansieht.
Was ist der Anwendungsbereich des branchenspezifischen Sicherheitsstandards?
Unternehmen, die unter die KRITIS-Verordnung fallen, müssen bezüglich der Informationssicherheit den Stand der Technik erfüllen. Um klarzustellen, wie genau der Stand der Technik aussieht, können Branchen einen branchenspezifischen Standard (B3S) erstellen. Wird dieser Standard von einem Unternehmen der Branche umgesetzt, kann davon ausgegangen werden, dass der Stand der Technik implementiert ist. Um Rechtssicherheit bezüglich des Standes der Technik zu erlangen, können Unternehmen sich auch nach dem B3S prüfen lassen.
Im Rahmen der NIS2-Richtlinie erweitert sich der Kreis der betroffenen Unternehmen. Diese Unternehmen müssen die Anforderungen aus der NIS2-Richtlinie bezüglich der Informationssicherheit erfüllen. Um diese Anforderungen umzusetzen, können Krankenhäuser sich an dem B3S Standard Krankenhaus orientieren. Dieser wurde zwar nicht explizit für die NIS2-Richtlinie geschrieben, aber kann in diesem Kontext trotzdem als Leitfaden verwendet werden, denn im B3S werden alle vorgegebenen organisatorischen und technischen Maßnahmen der NIS2-Richtlinie abgedeckt.
Wo findet man den branchenspezifischen Sicherheitsstandard und wie wendet man diesen an?
Der B3S für die medizinische Versorgung kann auf der Seite der Deutschen Krankenhaus Gesellschaft heruntergeladen werden. Zusätzlich dazu sind auf der Seite auch weitere nützliche Dokumente, wie zum Beispiel Mapping Tabellen, Prüfpläne und Arbeitshilfen, aufgelistet. Weitere B3S für andere Branchen sind auf der Seite des BSI verlinkt.
Einerseits können Krankenhäuser den B3S als Checklist verwenden, um die eigene Umsetzung des Standes der Technik zu überprüfen. Der B3S für die medizinische Versorgung erläutert verschiedene Bedrohungsszenarien und stellt Anforderungen sowie Maßnahmenempfehlungen auf. Auf diese Weise wird der Stand der Technik definiert. Die Anforderungen unterteilen sich dabei in Muss-, Soll- und Kann-Anforderungen. Anhand dieser konkreten Anforderungen können Einrichtungen den Umsetzungstand prüfen.
Andererseits kann der B3S als Roadmap verwendet werden, wenn ein Informationssicherheitsmanagementsystem (ISMS) erstellt werden soll. Erste Schritte zur Umsetzung des B3S und damit der Erstellung eines ISMS finden sich im Kapitel 7. Anhand dieser Schritte können Krankenhäuser ein ISMS aufbauen. Hierzu notwendig sind im groben die folgenden Schritte:
- Geltungsbereich des ISMS definieren und strategische Ziele der Informationssicherheit festlegen
- Relevante Compliance-Anforderungen ermitteln
- Informationssicherheitsleitlinie entwickeln und in Kraft setzen
- Weitere Richtlinien und Standards entwickeln und in Kraft setzen (z.B. Vorgehen zur Beurteilung von Informationssicherheitsrisiken)
- Grundlegende Maßnahmen umsetzen (z.B. Kriterien zur Bewertung und Klassifizierung von Informationen definieren)
- Bestandsaufnahme und Risikoeinschätzung
- Maßnahmen gemäß definierten Richtlinien, Prozessen und Verfahren umsetzen
- Führungskräfte und Mitarbeitenden schulen und sensibilisieren
- Effektivität des ISMS überwachen und evaluieren
Fazit
Die konsequente Implementierung des B3S wird in Zukunft entscheidend dazu beitragen, die Resilienz der IT-Infrastrukturen im Gesundheitswesen zu stärken. Angesichts zunehmender Cyberbedrohungen und der fortschreitenden Digitalisierung medizinischer Prozesse ist der B3S als Roadmap eine starke Empfehlung für jedes zukunftsorientierte Krankenhaus.
Falls Sie bei der Umsetzung in Ihrem Krankenhaus Unterstützung wünschen, freuen wir uns über Ihre Anfrage.