Seit 30. Juni 2017 werden Krankenhäuser mit mehr als 30.000 vollstationären Patienten pro Jahr in die Kategorie „Kritische Infrastrukturen“ eingruppiert. Für sie gilt dadurch das IT-Sicherheitsgesetz genau wie auch für Energieversorger, Verkehrsunternehmen oder Telefongesellschaften. Und das hat Folgen.
Das Gesetz von 2015 verfolgt vorrangig das Ziel, die informationstechnischen Systeme vor cyberkriminellen Angriffen besser zu schützen und die Informationssicherheit durchgängig zu erhöhen. Bis zum 30. Juni 2019 haben die „kritischen“ Kliniken nun Zeit, die vom Branchenarbeitskreis „Medizinische Versorgung“ im Umsetzungs-Plan UP KRITIS definierten Maßnahmen umzusetzen. Der Zeitrahmen bis 2019 stellt dabei für viele Kliniken eine Herausforderung dar, da beispielsweise die Einführung eines Information Security Management Systems (ISMS) als zeitintensiv gilt.
Sanktionen drohen
Der Aspekt von angedrohten Sanktionen spielt erwartungsgemäß eine gewichtige Rolle. Nach Einschätzung des Darmstädter IT-Beratungsunternehmens Adiccon sollte sich jede KRITIS-Klinik einmal vor Augen führen, welche nachhaltigen Vorteile für die Institution aus der Umsetzung des IT-Sicherheitsgesetzes resultieren:
- Das Sicherheitsniveau wird erhöht – Sicherheitsrisiken sinken
- Die Reputation verbessert sich, weil die Klinik eine hohe Informationssicherheit bietet
- Da Angriffe auf die IT abgewehrt werden, bleibt die Klinik stets handlungsfähig
- Das Haftungs-Risiko für das Krankenhaus-Management sinkt
- Die gesamte Belegschaft erlernt den zeitgemäßen Umgang mit moderner IT und den damit verbundenen Risiken („Awareness“)
- Ineffiziente Prozesse werden sichtbar, Medienbrüche beseitigt
- Die Transparenz bei der Risikokommunikation an das Management wird gesteigert
- Die Personalplanung in puncto Informationssicherheit wird genauer
Die Berater von Addicon warnen auch vor Risiken: Die Einführung eines Information Security Management Systems basiert auf prozess-, organisations- und technikrelevanten Maßnahmen, die die gesamte Organisation des Krankenhauses einbeziehen. Deshalb müsse sie vom Management aktiv unterstützt werden.
Die Umsetzung sollte durch fachkompetente Berater begleitet werden, die über eine Kombination von zertifizierter Expertise im Bereich Informationssicherheit, umfassendem technischen und organisatorischem Know-how und vor allem einschlägiger Klinikerfahrung verfügen. Hierzu bietet Adiccon ein KRITIS-Klinik-Beratungspaket an.