Der Schwellenwert zur Identifikation kritischer Infrastrukturen im Bereich der Krankenhäuser wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf 30.000 vollstationäre Behandlungsfälle pro Jahr festgelegt. Dieser Schwellenwert bezieht sich auf das Vorjahr.
Laut der BSI-KRITIS-Verordnung müssen Krankenhäuser jeweils bis zum 31. März prüfen, ob sie diesen Schwellenwert erreichen oder überschreiten. In diesem Fall sind sie aufgefordert, eine entsprechende Meldung an das BSI zu übermitteln. Das Krankenhaus gilt dann ab dem Folgetag (1. April) als kritische Infrastruktur im Sinne des BSI-Gesetzes. Dieser Situation sehen sich alle Krankenhäuser gegenüber, die bislang knapp unter dem Schwellenwert lagen (zwischen 29.000 und 29.999 vollstationären Fällen p.a.).
Sicherheitsniveau ausbauen
Mit dem im Dezember 2018 zum ersten Mal als Gesamtdokument vorgelegten branchenspezifischen Sicherheitsstandard (B3S), der zur Zeit vom BSI geprüft wird, steht den KRITIS-Häusern und allen, die es in Kürze werden, ein definiertes Rahmenwerk zur Etablierung eines angemessenen Sicherheitsniveaus bei gleichzeitiger Wahrung des üblichen Versorgungsniveaus der Patientenversorgung und der Verhältnismäßigkeit der umzusetzenden Maßnahmen zur Verfügung.
Informationssicherheits-Management-System
Kern des B3S ist die Einführung eines Informationssicherheits-Management-Systems (ISMS), das grundlegende Vorteile für die Umsetzung eines transparenten Sicherheitsstandards in der heterogenen Systemlandschaft der Krankenhäuser bietet. Das auf den Klinikbereich spezialisierte Beratungsunternehmen Adiccon sagt: „Krankenhäuser, die an der Schwelle zur KRITIS-Einstufung stehen, sollten sich umgehend mit dem Thema ISMS beschäftigen“. Das Darmstädter Unternehmen bietet hierzu Informationsgespräche an und lädt außerdem für den 27. März 2019 zu einem Informationstag für das Gesundheitswesen ein.