Betreiber Kritischer Infrastrukturen im Gesundheitswesen müssen dem BSI nachweisen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Am 30. Juni endete die Meldefrist dazu. Auch angesichts wachsender Bedrohungen durch Cyberangriffe nimmt die Dringlichkeit dafür zu. Einige Krankenhäuser sind noch Nachzügler, dabei gilt es jedoch einiges zu beachten.
Die Digitalisierung von Arbeitsabläufen macht Krankenhäuser und andere Einrichtungen im Gesundheitswesen auch verwundbarer. Das hat erst kürzlich ein spektakulärer Hackerangriff auf einen Krankenhausverbund in Rheinland-Pfalz gezeigt, bei dem zwanzig Einrichtungen zeitgleich betroffen waren. Nach Einschätzung der Bundesbehörde BSI war dies bundesweit der erste Fall dieser Größenordnung. Ein Trojaner hatte die Server und Datenbanken verschlüsselt, so dass die Mitarbeiter nicht mehr auf die Systeme zugreifen konnten.
Fälle wie dieser führen sehr eindrucksvoll vor Augen, wie abhängig die Patientenversorgung von sicheren IT-Prozessen ist und wie wichtig präventive Maßnahmen zum Schutz sensibler Patientendaten sind. Die gesetzliche Pflicht zum Nachweis der IT-Sicherheit muss sehr ernst genommen werden. Wegen angespannter Ressourcenlage oder schlicht Nicht-Verfügbarkeit der Prüfgesellschaften haben es einige Kliniken noch nicht geschafft, ihrer Nachweispflicht nachzukommen. Wichtig ist es hierbei, dem BSI den Grund für die Verzögerung zu melden und offen zu kommunizieren.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verpflichtet Betreiber Kritischer Infrastrukturen, diese dem Stand der Technik entsprechend abzusichern. Die BSI-KRITIS-Verordnung (BSI-KritisV) beschreibt, welche Anlagenkategorien in den jeweiligen Sektoren als kritisch angesehen werden und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik. Spätestens seit 30. Juni 2019, also zwei Jahre nach Inkrafttreten der Verordnung, sind Betreiber in Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen nach §8a BSIG zum Nachweis verpflichtet, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Für andere KRITIS-Sektoren wie z.B. Energie und Wasser gilt diese Nachweispflicht bereits seit 2018.
Was tun, wenn die Frist überschritten wurde?
Der KRITIS-Betreiber muss mit Sanktionen rechnen, aber eine Verlängerung der Nachweisfrist ist grundsätzlich nicht vorgesehen. Die Betreiber sind verpflichtet, dem BSI die Gründe für die Verzögerung nachvollziehbar darzulegen. Dem BSI muss außerdem bestätigt werden, dass die notwendigen Maßnahmen zur Erfüllung des § 8a BSIG (BSI-Gesetz) ohne weitere Verzögerung umgesetzt werden. Belegt werden kann dies durch einen konkreten Umsetzungsplan, aus dem für das BSI alle erforderlichen Maßnahmen ersichtlich sind, um den Nachweis zur IT-Sicherheit zeitnah zu erbringen. Wichtig dabei: Die Zusammenarbeit mit einer prüfenden Stelle und ein konkreter Prüfungstermin sind Teil dieser Maßnahmen, die auf eine mögliche Fristverlängerung abzielen. Berater wie CETUS unterstützen dabei gerne.
Beratungsbrief: abbonieren
