Von der Kür zur Pflicht: B3S für Krankenhäuser

Was bisher nur für die unter KRITIS fallenden Krankenhäuser Pflicht war (vgl. auch hier), wird nun auch für alle anderen Krankenhäuser unumgänglich(vgl. §75 Abs. 3 c SGB V).

Das Thema Sicherheit beim Einsatz von digitalen Prozessen spielt in Krankenhäusern nicht erst seit dem Frühjahr 2016 eine wichtige Rolle, als die durch die Ransomware „Locky“ bekannt gewordenen Zwischenfälle unzählige Prozesse in den betroffenen Häusern nachhaltig negativ beeinflussten. Der Kostendruck sowie die u.a. damit verbundene Digitalisierung vieler Prozesse in den Krankenhäusern hat dazu geführt, dass die diesbezügliche Sicherheitsfragestellung massiv an Bedeutung gewonnen hat.

Seit dem 1.1.2022 bedeutet das für so manches Haus in der jetzigen Zeit nicht nur eine hohe Belastung im Rahmen von Corona, sondern zusätzlich auch in Bezug auf die Umsetzung der Anforderungen des Cyber-Sicherheitsstandards für Krankenhäuser.

Diese Mehrbelastung der Mitarbeitenden sowie die damit verbundenen Kosten für die Umsetzung der technischen und organisatorischen Maßnahmen bleibt vermutlich nicht ohne Folgen in der ohnehin schon angespannten Personal- und Kostensituation. Möglicherweise führt das auch zu weiteren Schließungen von Krankenhäusern, welche den Anforderungen des Standards nicht gerecht werden können.

Alle Krankenhäuser sind nun seit dem 1. Januar 2022 gesetzlich (vgl. SGB V) dazu verpflichtet (vgl. § 75 c Abs. 2 SGB V), den mittels der Pressemitteilung am 23.10.2019 durch das BSI freigegebene branchenspezifischen Sicherheitsstandard anzuwenden. Außerdem ist es seitdem fKomplexe Anforderungen an die Krankenhäuser durch KRITISür alle Häuser verpflichtend, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Datenverfügbarkeit, -integrität und -vertraulichkeit zu treffen; dies gilt auch für die sonstigen Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind, sollten die Verantwortlichen auf den Einsatz von unterstützenden Tools und Prozessen bauen und entsprechendes Prozess-, Change- und Kontrollmanagement implementieren. Da die meisten Häuser nicht auf der „grünen Wiese“ beginnen, sollte nicht der zweite vor dem ersten Schritt getan werden. Eine „Standortbestimmung“ hilft den Verantwortlichen in den meisten Fällen zur Meinungsbildung, kann eine Einordnung der Angemessenheit der Dokumentation unterstützen und liefert den Nachweis, sich mit der Thematik auseinandergesetzt zu haben.

Es ist zusätzlich zu berücksichtigen, dass die informationstechnischen Systeme spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen sind. Das führt zu einer entsprechenden Budgetplanung der Häuser: so erhöht das in der Regel zwar die Sicherheit in Bezug auf Daten und Systeme, gleichzeitig aber auch den entsprechenden Kostendruck. Durch eine immer wiederkehrende Standortbestimmung kann der Reifegrad der jeweiligen Organisation bewertet werden, was zu einer Vereinfachung in Bezug auf die Einschätzung der getroffenen und noch zu treffenden Maßnahmen führen kann. Auch können die Informationen aus einer Standortbestimmung für das Risikomanagement oder das Compliance- sowie Government-Management herangezogen werden.

 

Was bedeutet das letztendlich?

Was passiert, wenn die Anforderungen nach § 75c SGB V durch die Betreiber der Krankenhäuser ignoriert werden, oder nicht bzw. unzureichend umgesetzt werden?

Bei einer genauen Betrachtung des SGB V fällt auf, dass der Gesetzgeber es – willentlich oder unwillentlich – vermieden hat, die entsprechenden Paragrafen für die Straf- und Bußgeldvorschriften anzupassen.

Möglicherweise ist sich der Gesetzgeber aber auch bewusst, dass der auf den ersten Blick als reines IT-Thema einzuordnende Sachverhalt wesentlich komplexer und weitreichender ist. So sollte das Thema nicht in die „IT-Schublade“ gesteckt, sondern insbesondere unter dem Fokus der Compliance betrachtet werden.

Daraus lässt sich möglicherweise ableiten, dass entsprechende Verstöße oder Versäumnisse in Bezug auf den § 75 c SGB V nicht nach SGB oder BSIG mit Bußgeldern oder Freiheitsstrafen geahndet werden, sondern nach OWiG. Hinzu kommen bei Vorfällen in Bezug auf die Informationssicherheit oder Patientenschäden durch den Ausfall oder die Beeinträchtigung von digitalen Infrastrukturen und Systemen mögliche Folgen nach dem Zivil- und Strafrecht. Grundsätzlich ist jedoch immer die Frage der Verantwortlichkeit von Personen und nach dem Organisationsverschulden zu erwarten.

Aus diesem Grund sind Verantwortliche (z.B. Geschäftsführer, Vorstände und Beauftragte) immer gut damit beraten, eine Standortbestimmung in Bezug auf die getroffenen Maßnahmen bezüglich § 75c SGB V vorzunehmen bzw. vornehmen zu lassen.

Wenn es nach Eintritt einer (deutlichen) Unterbrechung der IT-Services und damit einem Ausfall von stationären oder ambulanten Versorgungen von Patienten kommt und nachgewiesen wird – was in in der Regel nicht mit großem Aufwand verbunden ist –, dass dies durch die Nichtumsetzung/-einhaltung der durch den Gesetzgeber geforderten Mindeststandards (vgl. § 75 c SGB V) ermöglicht wurde, ergeben sich hierdurch für die Verantwortlichen eine Vielzahl an Risiken (z.B. Bußgelder und/oder Freiheitsstrafen nach OWiG, ZPO und/oder StGB) in Bezug auf die Organisation (Krankenhausbetreiber, - träger) sowie die eigene Person.

Ob diese zu erwartenden Kosten, u.a. für die Wiederherstellung der IT-Services, in diesen Fällen durch eine möglicherweise abgeschlossene Versicherung (D&O, Haftpflicht, IT und Cyber-Sec.) gedeckt sind, bleibt abzuwarten.

 

Die compliance-net GmbH als kompetenter Partner

Die compliance-net GmbH leistet ihren Beitrag dazu auf verschiedene Art und Weise. Ein Beispiel: Wir haben für Krankenhäuser und medizinische Einrichtungen auf Basis des branchenspezifischen Sicherheitsstandards eine Vorgehensweise erarbeitet, die es den Häusern bzw. Einrichtungen erlaubt, sich – aus unserer Sicht kostengünstig – einer individuellen Situationsbewertung zu unterziehen – einer „Standortbestimmung“.

Darüber hinaus haben wir praktische Inhouse-Schulungen (zwischen zwei und acht Stunden), sowohl für die Bereiche des allgemeinen Datenschutzes als auch der IT-Sicherheit. Diese Schulungen sind nicht zwingend auf IT-Mitarbeiter ausgerichtet (welche sich bereits mit dem Thema IT-Sicherheit auskennen bzw. auskennen sollten), sondern für diejenigen Mitarbeiter und Mitarbeiterinnen gedacht, die die IT täglich als „Mittel zum Zweck“ nutzen.

Eine Beschreibung bzw. einen Steckbrief zur Standortbestimmung, die Sie selbstverständlich selbst durchführen können, finden Sie hier.

Wir helfen Ihnen gerne weiter und unterstützen Sie durch individuell zugeschnittene Schulungen und Trainings. Gerne können Sie uns über die unten angegebenen Kontaktdetails erreichen. Wir entwickeln mit Ihnen gemeinsam Ihre unternehmensindividuellen Schulungen, z.B. zu den Themen IT-Sicherheit und Datenschutz.

 

Dr. Klaus-D. Krause
compliance-net GmbH
Klaus.d.krause@compliance-net.com
Telefon: +49 (0) 6103 376 96 40
Mobil: +49 172 65 17 99 5

 

Ergänzende Artikel/Ausarbeitungen:

https://www.compliance-net.de/content/branchenspezifische-sicherheitsstandards-b3s-f%C3%BCr-kritis-sektoren-ver%C3%B6ffentlicht, Aufruf: 12.01.2022 , 21:00 Uhr

https://www.i-pdb.de/media/ipdb-000120.pdf, Aufruf: 12.01.2022, 19:46 Uhr