Jesse Orrico | Unsplash

Inkrafttreten der KRITIS-Verordnung im Gesundheitsbereich

Via it-daily.net • Redaktion it-daily • 19. Juni 2019
5.36K Views | 0 Notes

Am 30. Juni dieses Jahres ist es soweit: Zahlreiche deutsche Kliniken müssen die KRITIS-Verordnung des BSI bis zu diesem Datum umsetzen. Das Gesetz umfasst insgesamt acht Branchen, die das BSI aufgrund des Betriebs kritischer Infrastrukturen als besonders angriffsrelevant und schützenswert ansieht.

Unter den Begriff „Kritische Infrastrukturen“ fallen schließlich Organisationen, die eine große Rolle für das staatliche Gemeinwesen spielen.

Wen genau das Gesetz betrifft, regelt die BSI-KRITIS-Verordnung (auch „Korb I“ genannt) sowie die erste Änderungsverordnung (bekannt unter „Korb II“). Hier ist anhand transparenter Kriterien festgelegt, für welche Betreiber aus den Bereichen Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr Nachweispflichten gemäß BSI-Gesetz (§ 8a) gegenüber der Behörde bestehen. Für den Gesundheitssektor bedeutet dies konkret, dass Krankenhäuser mit über 30.000 vollstationären Fällen im Jahr als „KRITIS“-Betreiber gelten. Als vollstationär gilt eine Behandlung, wenn der Patient Tag und Nacht im Krankenhaus untergebracht ist und die stationären Leistungen komplett in Anspruch nimmt. Hiervon sind in Deutschland etwa 33 % aller Kliniken betroffen.

Bis zum Stichtag müssen eine Reihe von Anforderungen erfüllt sein – zum einen muss alle zwei Jahre ein Nachweis über geeignete Vorkehrungen zur IT-Sicherheit erbracht werden. Zum anderen muss von Seiten des Betriebs eine Kontaktstelle, beziehungsweise ein Funktionspostfach benannt werden, außerdem müssen IT-Störungen dem Amt umgehend gemeldet werden. Auf technischer Ebene muss sichergestellt sein, dass betroffene Healthcare-Unternehmen dem neuesten Stand der Technik entsprechen und den Prüfstandards der Bundesbehörde gerecht werden.

Warum die neue Verordnung so wichtig ist und warum es ratsam ist, eine Softwarelösung von einem deutschen Unternehmen zu nutzen, C