Gesetzliche Vorgaben zur IT-Sicherheit in Krankenhäusern

Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr zählen hinsichtlich ihrer Sicherheit in der Informationstechnik bereits seit 2017 zu den Kritischen Infrastrukturen (KRITIS). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht für diese Krankenhäuser eine regelmäßige Prüfung der informationstechnischen Systeme vor. Zudem müssen sie einen Nachweis der Sicherheitsvorkehrungen gegenüber dem BSI erbringen. Seit Jahresbeginn sind auch Krankenhäuser unter dem Schwellenwert von 30.000 vollstationären Behandlungsfällen pro Jahr gesetzlich verpflichtet, angemessene Vorkehrungen zu treffen, um die Funktionsfähigkeit der IT-Strukturen und den Schutz der Patientendaten sicherzustellen. Michael Schrewe, Consultant bei der GRB Gesellschaft für Risiko-Beratung und Branchenexperte für KRITIS-­Prüfungen in Krankenhäusern mit einer zusätzlichen Prüfverfahrenskompetenz für § 8a BSIG, fasst die Neuerungen zusammen.

Das Patientendaten-Schutz-Gesetz – PDSG

Am 20.10.2020 ist das Patientendaten-Schutz-Gesetz in Kraft getreten. Mit diesem soll die Digitalisierung des deutschen Gesundheitswesens vorangebracht werden. Im Mittelpunkt dieses Gesetzes stehen Datenschutz und Datensicherheit in der Telematikinfrastruktur, die inhaltlichen Schwerpunkte liegen auf der elektronischen Patientenakte (ePA) der Krankenkassen, digitalen Überweisungen und dem E-Rezept. Im Verlauf des Gesetzgebungsverfahrens wurde jedoch auch noch der § 75c SGB V „IT-Sicherheit in Krankenhäusern“ in das Artikelgesetz aufgenommen – im Gesetzentwurf der Bundesregierung war dieser Paragraf noch nicht enthalten.


Anforderung an die IT-Sicherheit

Die wesentlichen Anforderungen des PDSG zur IT-Sicherheit sind im Absatz 1 des § 75c SGB V zusammengefasst: „Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.“

Ein weitgehend gleicher Wortlaut findet sich bereits im § 8a, Abs. 1 IT-Sicherheitsgesetz (2015). Hier richtet sich die Anforderung jedoch nur an Betreiber Kritischer Infrastrukturen. Aus der Übernahme des Regelungsumfangs aus dem IT-Sicherheitsgesetz in das Patientendaten-Schutz-Gesetz ergibt sich somit, dass die Anforderungen nunmehr für alle Krankenhäuser unabhängig der Größe gleichermaßen gelten und dass sich diese auf die Gesamtheit der IT-Strukturen eines Krankenhauses beziehen (und nicht allein auf IT-Systeme, die an die Telematikinfrastruktur angeschlossen sind).

Organisatorische und technische Vorkehrungen sind in diesem Zusammenhang angemessen, „wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht“. Eine Anpassung der informationstechnischen Systeme an den aktuellen Stand der Technik ist spätestens alle zwei Jahre vorzunehmen.


Orientierung am branchenspezifischen Sicherheitsstandard

Für das „Was“ und „Wie“ gibt der Gesetzgeber in Absatz 2 direkt eine Empfehlung zur Umsetzung: „Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.“

Der für Krankenhäuser zutreffende branchenspezifische Sicherheitsstandard (B3S) wurde von der Deutschen Krankenhausgesellschaft entwickelt und wird seit 2019 in den meisten KRITIS-Häusern genutzt. Im B3S werden die abstrakten gesetzlichen Anforderungen branchenspezifisch konkretisiert, die enthaltenen Anforderungen und Maßnahmen können krankenhausintern als Handlungsleitfaden zur Umsetzung und als Grundlage für (externe) Audits, Prüfungen und Zertifizierungen verwendet werden.

Die Anwendung des branchenspezifischen Sicherheitsstandards ist eine Empfehlung und keine Verpflichtung. Der Aufwand für die Entwicklung und Umsetzung eigener Sicherheitsstandards dürfte jedoch für das einzelne Krankenhaus ungleich höher sein, als die Anwendung der vorhandenen und praxiserprobten DKG-Vorlage. Hierbei gilt zu berücksichtigen, dass selbstentwikelte Sicherheitsstandards, die das Niveau des Branchenstandards unterschreiten, sehr wahrscheinlich nicht vom BSI akzeptiert werden.


Sind damit auch kleinere Krankenhäuser Kritische Infrastruktur?

Mit dem Patientendaten-Schutz-Gesetz werden die IT-Sicherheits-Anforderungen des IT-Sicherheitsgesetzes für alle Krankenhäuser verbindlich. Alle übrigen Anforderungen, die an KRITIS-Häuser gestellt werden, sind für Krankenhäuser unterhalb des Schwellenwertes von 30.000 vollstationären Fällen pro Jahr nicht verpflichtend. Auch und insbesondere die zweijährig wiederkehrende unabhängige Überprüfung der Umsetzung ist für diese Krankenhäuser nicht vorgeschrieben. Wenngleich die verschärften Anforderungen gerne als „KRITIS light“ bezeichnet werden: Kleinere Krankenhäuser werden hiermit nicht zu einer Kritischen Infrastruktur gemäß IT-Sicherheitsgesetz und BSI-Kritisverordnung.



Michael Schrewe
michael.schrewe(at)ecclesia(dot)de