Welche Umsetzungsfristen gelten?
Mit In-Kraft-Treten der Verordnung im Juni beginnen die Umsetzungsfristen für die betroffenen Krankenhäuser zu laufen. Aber welche sind dies konkret?
1. Ende Januar 2018 - Benennen einer Kontaktstelle gemäß §8b BSI-Gesetz
Diejenigen Krankenhäuser, die gemäß §8b BSI-Gesetz eine Kontaktstelle zu benennen haben, müssen dies innerhalb von sechs Monaten nach In-Kraft-Treten der Verordnung tun. Diese Kontaktstelle muss 24 Stunden erreichbar sein. Das BSI übermittelt Informationen an diese Kontaktstelle.
2. Ab Februar 2018 - Meldepflicht bei erheblichen Störungen
Gleichzeitig mit Benennen der Kontaktstelle sind erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu melden. Eine Störung ist erheblich, wenn diese nicht nur vorübergehend ist. Dabei ist diese Störung anonym zu melden, wenn das Krankenhaus verschont wurde und die Störung nur zu einem Ausfall hätte führen können. Der Betreiber ist anzugeben, wenn es einen tatsächlichen Ausfall gegeben hat.
Um diese Störungen zu erkennen, sind verschiedene organisatorische und technische Maßnahmen nötig, damit der nötige Informationssatz erkannt werden kann. Die Aufgabe sollte der IT-Sicherheitsbeauftragte übernehmen.
Unser Angebot "Cert4Health" - www.cert4health.de bietet ihnen ein umfangreiches Angebot, um diese Aufgaben an einen spezialisierten Betreiber auszulagern. Gemeinsam mit unseren Beratungsleistungen sind wir in der Lage, das komplette Managementsystem für Informationssicherheit zu betreiben, Sicherheitsvorfälle zu erkennen und schnell zu beheben.
Um diese Störungen zu erkennen, sind verschiedene organisatorische und technische Maßnahmen nötig, damit der nötige Informationssatz erkannt werden kann. Die Aufgabe sollte der IT-Sicherheitsbeauftragte übernehmen.
Unser Angebot "Cert4Health" - www.cert4health.de bietet ihnen ein umfangreiches Angebot, um diese Aufgaben an einen spezialisierten Betreiber auszulagern. Gemeinsam mit unseren Beratungsleistungen sind wir in der Lage, das komplette Managementsystem für Informationssicherheit zu betreiben, Sicherheitsvorfälle zu erkennen und schnell zu beheben.
3. Bis Mitte 2019 - Nachweis eines IT-Sicherheitskonzeptes nach dem Stand der Technik nötig
Leider hat der Gesetzgeber nicht eindeutig konkretisiert, was der Stand der Technik ist und wie er sein sollte. Aber es ist davon auszugehen, dass die Anwendung anerkannter Normen wie der ISO 27001 für ein Managementsystem für Informationssicherheit und der IT-Grundschutzkataloge des BSI dem Stand der Technik entspricht. Wir empfehlen aufgrund der Problematik im Bereich Medizintechnik ergänzend die DIN 80001 mit umzusetzen.
Sind Sie betroffen? Dann wenden Sie sich gern an uns. CETUS ist auf Krankenhäuser und Gesundheitseinrichtungen spezialisiert und berät herstellerunabhängig. Schreiben Sie einfach an info@cetus-consulting.de.
Sind Sie betroffen? Dann wenden Sie sich gern an uns. CETUS ist auf Krankenhäuser und Gesundheitseinrichtungen spezialisiert und berät herstellerunabhängig. Schreiben Sie einfach an info@cetus-consulting.de.
