Die Krankenhäuser im Fokus der gesetzlichen Auflagen, so könnte man die Reihe der immer neuen Gesetze zur Sicherheit des Krankenhausbetriebs nennen:

  • erst die größeren Häuser (KRITIS Häuser) mit Nachweispflicht für IT-Risikomanagement und resultierenden Maßnahmen
  • dann gemäß PDSG alle Häuser mit der Forderung nach z. B. IT-Risikomanagement, Abwehrsystemen -> ohne Nachweispflicht für nicht KRITIS Häuser
  • dann (in wenigen Monaten) NIS2.0 mit konkreten Sicherheits- und Notfallmaßnahmen, zwar ohne Nachweispflicht für nicht KRITIS Häuser, aber mit erheblichen Strafzahlungsandrohungen (max. 2% vom Gesamtumsatz)
  • und jetzt das KRITIS Dachgesetz.

Sind wir damit auf dem Gipfel angekommen?
Zumindest sind damit alle wesentlichen Ziele der allen diesen Gesetzen zugrunde liegenden EU-Richtlinie EU 2022/2557 adressiert.

Was verlangt das KRITIS Dachgesetz jetzt noch über NIS2.0 hinaus?

Lassen Sie es mich in drei Teilen beantworten:

Allgemein

Das Dachgesetz geht über die Cybersecurity hinaus und fokussiert sich auf die allgemeine Resilienz und Ausfallsicherheit von „kritischen Einrichtungen“, also nicht nur IT-Systeme, sondern auf alle kritischen Unternehmensprozesse inklusive der physischen Sicherheit.

Wesentliche Themen hierbei sind:

  • Resilienzplan und Resilienzstrategie für IT und physische Sicherheit
  • Maßnahmen zur Anpassung an den Klimawandel
  • Ermittlung alternativer Lieferketten
  • Personen mit kritischen Funktionen identifizieren
  • Aufbau BCM, Übungen, Notfallmanagement mit Ablaufplänen

Was bedeutet das jetzt für die Nicht-KRITIS Häuser und KRITIS-Häuser?

Für nicht KRITIS-Häuser heißt das z.B.:

  • Zunächst einmal die Hausaufgaben der NIS2.0 voranzutreiben (Einführung ISMS, Cyber-Abwehrsysteme, Notfallplanung, Übungen)
  • Im Zuge dessen die ISMS-Konzepte bereits auf Resilienz und physische Sicherheit (Risikobewertung und Maßnahmen) ausrichten
  • Katastrophen- und Notfallpläne auf BCM und Ablaufpläne abstimmen, Übungskonzepte entwickeln

Für KRITIS Häuser:

  • ISB-Aufgaben und ISMS um die Resilienz-Themen erweitern -> z.B. ISMS-Strategie um Resilienz erweitern
  • Katastrophen- und Notfallmanagement auf BCM (Business Continuity Management) erweitern (kontinuierliches Monitoring und Anpassung der Krisen- / Notfall Vorsorgemaßnahmen unter Einbeziehung von IT, Lieferketten, physische Sicherheit wie Zugangsschutz)

Wo stehen Sie mit Ihrem Haus?

Vielleicht sehen Sie sich hier weit hinter den hier dargestellten Anforderungen und fragen sich, wie das bewerkstelligt werden soll mit den Ihnen zur Verfügung stehenden (geringen) Mitteln.

Da kann ich Ihnen Mut machen, denn nach der Erfahrung, die wir als Adiccon bei Kundenprojekten gemacht haben, gibt es für die praktische Umsetzung immer auch eine für Ihr Haus machbare Lösung.

So bieten wir ein integriertes Konzept für alle Anforderungsebenen, von KRITIS über PDMS, NIS2.0 bis hin zum KRITIS Dachgesetz.
Hierbei werden alle Anforderungen auf die für Ihr Haus relevanten Schwerpunkte fokussiert und ein individuelles Stufenkonzept für die Realisierung entwickelt.

Das umfasst z.B.:

  • Erkennen und Umsetzen der wichtigsten Maßnahmen für die Sicherheitslage und Krisen-/Notfallvorsorge, hierbei pragmatisch und Praxis-orientiert vorgehen, aufwändige Analysen vermeiden.
  • Neue Organisationseinheiten vermeiden, vorhandene Strukturen effizient nutzen und an die gesetzlichen Anforderungen anpassen
  • Hierfür bestehende Ressourcen wie Tools und Know-how nutzen und bei Bedarf erweitern

Neugierig geworden? Dann freuen wir uns auf Ihre Kontaktanfrage und besprechen alles Weitere mit Ihnen persönlich.