Die Einführung eines auf einem systematischen Ansatz basierenden Sicherheitsmanagements wird von vielen Nicht-KRITIS Häusern derzeit nicht gesehen oder nicht verfolgt.

Oftmals trifft man auf Aussagen wie:

  • IT-Sicherheit können wir auch so mit den bekannten Bordmitteln sicherstellen
  • Wir wissen schon welche Sicherheitsmaßnahmen nötig sind und in welchem Umfang.
    • also sparen wir uns den Aufwand.

Ist das wirklich so?

Schauen wir uns aus unterschiedlichen Betrachtungsperspektiven einmal die Vorteile eines ISMS an:

Aus technischer Sicht

  • Die Bedrohungslage und Risikosituation der kritischen Prozesse und Systeme kann auf Basis einer Risikomethodik bewertet und die gezielt für das benötigte Sicherheitsniveau nötigen Maßnahmen und technischen Sicherheitsanforderungen definiert werden.
  • Fehlinvestitionen in überdimensionierte Maßnahmen (z.B. zu viele redundante Systeme) werden vermieden, Schwachpunkte und Handlungsbedarfe können erkannt und gezielt behoben werden.
  • Investitionen in IT-Sicherheit sind konkret begründbar, da sie aus den Ergebnissen einer systematischen Risikobewertungsmethodik abgeleitet wurden.
  • Sicherheitsanforderungen und deren Kontrolle für Outsourcing Modelle wie Betrieb, Wartung und Instandhaltung der Medizingeräte durch Dienstleister können dediziert vereinbart werden. Das Krankenhaus, das weiterhin die Verantwortung hierfür hat, kann diese somit auch wahrnehmen (Anmerkung: Eine Verantwortungsübertragung an den Dienstleister ist rechtlich durch dessen Beauftragung nicht möglich).
  • Die Sicherheitsanforderungen an Hersteller und Dienstleister kommen aus einer fundierten Risikobetrachtung und folgen nicht den manchmal durch diese angebotenen „marktüblichen“ Sicherheitsfunktionen.

Aus organisatorischer Sicht

  • Es sind formal verantwortliche Personen für die Risikoeinschätzung und die Sicherheitsanforderungen sowohl auf der IT-Seite als auch bei den klinischen Abteilungen benannt. Diese sind in die notwendigen Prozesse und Aufgaben eingewiesen und können diese in der Praxis umsetzen.
  • Es besteht fachübergreifend eine Sicherheitsorganisation, die zentral die Bedrohungslage und die Risikosituation beurteilen kann.
  • Notwendige Sicherheitsmaßnahmen können proaktiv und gezielt umgesetzt werden.
  • Sicherheitsvorfälle können in einem kontinuierlichen Verbesserungsprozess behandelt und Verbesserungen der Sicherheit systematisch erreicht werden.

Aus regulatorischer Sicht (Compliance und gesetzliche Anforderungen)

  • Die Haftungsrisiken der Geschäftsführung werden reduziert.
  • Die Gefahr von Bußgeld- und Strafzahlungen wegen nicht erfüllter Sicherheitsanforderungen aus dem KHZG oder PDSG (§75c Sozialgesetzbuch) wird vermindert.
  • Die Gefahr von reduzierten Fallpauschalen bei zu geringem Digitalisierungsgrad (KHZG) wird vermindert.

Fazit

Auch ein Nicht-KRITIS Haus braucht ein ISMS, welches auf seine Verhältnisse zugeschnitten ist.

Wie die obige Auflistung zeigt, liegen die Vorteile eines ISMS auf der Hand. Vor allem darf man aber nicht vergessen, wohin die Reise von Seiten des Gesetzgebers geht: Immer mehr Digitalisierung und damit auch immer mehr IT-Sicherheitsanforderungen. Laut PDSG sind auch die Nicht-KRITIS Häuser ab dem 1. Januar 2022 verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.

Hinzukommt, dass die Anwendung des B3S im PDSG faktisch vorgeschlagen wird.

(Zitat aus PDSG 8a: „Angemessene Vorkehrungen im Sinne von Satz 2 gelten als getroffen, wenn die organisatorischen und technischen Vorkehrungen nach § 8a Absatz 1 des BSI-Gesetzes oder entsprechende branchenspezifische Sicherheitsstandards umgesetzt wurden.“)

Am Aufbau eines ISMS werden auch die kleineren Krankenhäuser auf Dauer nicht vorbeikommen. Es ist daher sehr empfehlenswert, den Aufbau eines ISMS schrittweise aber kontinuierlich voranzutreiben.

Wie kann der Aufbau eines ISMS erfolgen?

Fangen Sie klein an und beginnen Sie mit einer Bestandsaufnahme.

Hier einige wichtige Punkte, mit denen sie nach einer Bestandsaufnahme weitergehen könnten:

  • Die wichtigsten kritischen Risikoobjekte und ihre Mindestverfügbarkeitszeiten feststellen
  • Risikoklassen bilden
  • Risikomatrix definieren und in einer ersten Version eines Risikomanagement-Konzepts dokumentieren (Freigabe durch GF ist wichtig)
  • Risikobewertungen der wichtigsten Risikoobjekte durchführen

Neugierig geworden?

Die Adiccon kann Sie bei der Bestandsaufnahme und dem weiteren Aufbau eines ISMS gerne unterstützen.

Dabei profitieren Sie von unserer Erfahrung aus zahlreichen Projekten und dem umfassenden technischen sowie branchenspezifischen Praxis-Know-how. Vereinbaren Sie einfach einen unverbindlichen Termin.