Es ist soweit: Der zweite Korb der BSI-Kritis-Verordnung steht mit Termin 29. Juni 2017 im Bundesgesetzblatt und tritt damit am 30. Juni 2017 in Kraft. Die Uhr für die Krankenhäuser tickt.
Krankenhäuser müssten anhand der beim BSI einsehbaren KRITIS-Kriterien selbständig prüfen, ob sie unter die KRITIS-Verordnung fallen oder nicht, betonte Matthias Fischer, im Bundesinnenministerium zuständiger Referent für KRITIS, bei einer von RS Medical Consult organisierten und konzipierten Veranstaltung zur IT-Sicherheit in Krankenhäusern in Berlin. Wie schon berichtet, definiert die Verordnung eine Grenze von 30.000 stationären Fällen pro Jahr als „kritisch“.
Das beträfe in Deutschland etwa 110 Krankenhäuser. Es ist aber möglich, dass sich Einrichtungen mit mehreren, einzeln jeweils kleineren Standorten als einheitliche Organisation einordnen und damit „kritisch“ werden. Das sei insbesondere für Einrichtungen mit standortübergreifenden IT-Lösungen erwägenswert, betonte der Geschäftsführer IT der Deutschen Krankenhaus-Gesellschaft (DKG), Jan Neuhaus.
Wer betroffen ist bzw. sich als betroffen einordnet, hat bis zum 30. Dezember 2017 Zeit, eine Kontaktstelle zu benennen, die 24 Stunden am Tag, 7 Tage die Woche in Sachen IT-Sicherheit für das BSI ansprechbar ist. Ab dem Tag der Benennung besteht eine Meldepflicht für erhebliche Störungen an das BSI. Insgesamt zwei Jahre Zeit haben die betroffenen Einrichtungen für den Nachweis, dass sie die nötigen Maßnahmen zur IT-Sicherheit nach dem Stand der Technik umgesetzt haben.
Was das genau heißt, definiert derzeit der im Rahmen des KRITIS-Prozesses etablierte Branchenarbeitskreis Gesundheit. Am Ende soll ein so genannter Branchensicherheitsstandard, kurz B3S, stehen. „Diese Arbeiten müssen wir im nächsten halben Jahr abschließen“, so Neuhaus.
Aus Sicht der Anwender äußerte Kurt Marquardt von den Rhön-Kliniken die Hoffnung, dass sich dieser primär sich an KRITIS-Häuser richtende Branchenstandard letztlich zu einem De-facto-Standard auch für kleinere, regionale Häuser entwickle. Denn dort, nicht in den großen Häusern der Maximalversorgung, sei die Situation in Sachen IT-Sicherheit am prekärsten.
Text: Philipp Grätzel von Grätz, Chefredakteur E-HEALTH-COM