Zweite Prüfungswelle für kritische Infrastrukturen

Großes Klinikgebäude
Großes Klinikgebäude: Erneute KRITIS-Prüfung Prüfung gemäß §8a BSI-Gesetz steht an (Foto: ewastudio/123rf.com)

Rund zwei Jahre sind seit den ersten Prüfungen für kritische Infrastrukturen (KRITIS) im Gesundheitswesen vergangen. Damit steht vielerorts die zweite Prüfungswelle an. Einen Fristaufschub aufgrund der Corona-Krise gibt es nicht.

Darauf weist das in Essen ansässige Beratungsunternehmen Cetus Health IT Leadership Gesellschaft für Digitalisierung und Service mbH hin. Der Anbieter ist auch prüfende Stelle für kritische Infrastrukturen im Gesundheitswesen. Die Erfahrungen der ersten Prüfungswelle zeigen laut Cetus, dass es bei der Prüfung gemäß §8a BSI-Gesetz im Krankenhaus auf Erfahrung ankomme. Teilweise taten sich Prüfgesellschaften nach Meinung der Berater schwer damit, erfahrene und branchenkundige Prüfer zu entsenden, was dann zu einer eher mittelmäßigen Prüfungsqualität führte.

Eigener Prüfbereich aufgebaut

Man selbst habe die Zeit nach der ersten Prüfwelle genutzt und einen eigenen Prüfbereich aufgebaut, heißt es von Cetus. Man setze somit nur Prüfer ein, die über Erfahrungen im Krankenhausumfeld verfügen. Dabei handelt es sich um Informationssicherheitsbeauftragte im Krankenhaus oder Berater mit zusätzlicher Prüfkompetenz. Das führe dazu, dass die Cetus-Prüfer mit dem Auge der Praxis auf die Herausforderungen der aktuellen Prüfsaison blicken.

Zusätzlich wurde das Prüfverfahren stärker standardisiert. Daran hat das Essener Unternehmen mitgewirkt. Die nunmehr ergänzend vom Bundesamt für Sicherheit in der Informationstechnik geforderte Einschätzung des Reifegrades der Informationssicherheit und des Kontinuitätsmanagements realisiert Cetus im Rahmen einer Prüfung mit Hilfe von Reifegradmodellen. Diese stehen sowohl für das Kontinuitätsmanagement wie auch für den anzuwenden Branchenstandard zur Verfügung.

Damit ermöglicht Cetus es, die geforderten Nachweise für Betreiber kritischer Infrastrukturen in einer wiederholbaren Weise zu erbringen. Die Prüfer nutzen für die gesamte Prüfdokumentation eine von Cetus entwickelte Softwareplattform, so dass die Informationen jederzeit zur Verfügung stehen. Der gesamte Prüfumfang umfasst in der Regel von Beginn der Dokumentenprüfung bis zur Abgabe des Prüfberichtes sechs Wochen.