In vielen Krankenhäusern ist die Position des IT-Security-Beauftragten mittlerweile fast eine Selbstverständlichkeit, was sicher der stetig ansteigenden Anzahl der Cyber-Angriffe geschuldet ist. In der Regel kommt der Funktionsträger aus der IT-Abteilung und übernimmt die Verantwortung häufig zusätzlich zu seinen bisherigen Aufgaben.

Die Aufgaben des IT-Security-Beauftragten sind fokussiert auf stark technisch orientierte Themen, die dafür sorgen, dass speziell der IT-Bereich vor Cyber-Attacken geschützt und abgeschirmt wird.

Was ist nun der Unterschied zum Informationssicherheitsbeauftragten (ISB)?

Die Funktion des ISB ist in erster Linie ein Resultat der Klassifizierung der Unternehmen verschiedener Branchen in „kritische Infrastrukturen“ durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

In der Industrie und bei Behörden sind bei den relevanten Unternehmen schon über einen längeren Zeitraum diese Funktionsträger im Einsatz und sorgen für ein kontinuierliches Verbessern und Optimieren der Prozesse und Abläufe, um die Informationssicherheit zu gewährleisten.

Nachdem Krankenhäuser ab einer Anzahl von 30.000 vollstationären Patienten jährlich als „KRITIS“ eingestuft wurden, ist die Benennung eines ISB in diesen Häusern verpflichtend geworden.

Ein markanter Unterschied des ISB zum IT-Security-Beauftragten liegt in seinem Zuständigkeitsbereich. Die KRITIS-Verordnung sieht vor, dass das Thema Informationssicherheit in einem definierten Geltungsbereich abteilungsübergreifend umgesetzt werden muss. Grundsätzlich ist der ISB demzufolge unternehmensweit tätig und wird organisatorisch in der Regel als Stabsstelle der Unternehmensleitung positioniert.

Was sind die konkreten Aufgaben des ISB?

Mit seiner krankenhausweiten Zuständigkeit für alle Fragen der Informationssicherheit sind beispielsweise zu nennen:

  • Erstellen und Weiterentwickeln des krankenhausweiten Sicherheitskonzepts
  • Entwickeln eines Notfallvorsorgekonzepts
  • Fortlaufendes Monitoring und Fortschreiben der IT-Sicherheitsinfrastruktur
  • Ausbau und Pflege einer strukturierten Dokumentation
  • Planen und Durchführen von internen Schulungs- und Sensibilisierungsmaßnahmen

 

Darüber hinaus ist eine der Hauptaufgaben des ISB der Aufbau eines Informations-Sicherheits-Management-Systems (ISMS), dessen Ziele wir in der vorherigen Ausgabe beschrieben haben.

Will ein Krankenhaus die vorgenannten Themen angehen, verfügt aber nicht über die entsprechenden personellen Ressourcen, so kann die Funktion auch extern besetzt werden – vergleichbar mit dem externen Datenschutzbeauftragten lösen einige Häuser das Thema aktuell mit externen Experten.

Fazit

Die Funktion des ISB ist für die KRITIS-Krankenhäuser obligatorisch. Die einzelnen Aufgabenstellungen haben zum Ziel, die Informationssicherheit unternehmensweit sicherzustellen.
Es ist daher für alle Krankenhäuser sinnvoll, sich mit dem neuen Berufsbild zu beschäftigen und möglicherweise schon jetzt eine solche Funktion zu planen – auch unter dem Gesichtspunkt, dass geeignete Bewerber nicht beliebig verfügbar sind.

Haben Sie spezielle Fragen zum ISB? Z.B. welche Ausbildung ist notwendig, welche Erfahrungen muss er mitbringen oder wie integriert sich der ISB optimal in die Organisation? Dann sprechen Sie mich einfach an. Ich freue mich auf Ihre Nachricht.