Kritische Infrastruktur: Kliniken müssen sich um IT-Sicherheit kümmern

Die IT von rund 110 Kliniken zählt künftig zur kritischen Infrastruktur. Foto: olegdudko/123RF

Große Krankenhäuser in Deutschland müssen sich künftig intensiver um die Sicherheit ihrer IT-Infrastruktur kümmern. Am 30. Juni ist der zweite Korb der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritis-Verordnung) in Kraft getreten. Die von der Verordnung betroffenen Betreiber müssen danach bis zum 30. Dezember 2017 eine zentrale Kontaktstelle benennen, die dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für Fragen der IT-Sicherheit rund um die Uhr zur Verfügung steht. Ab dem Zeitpunkt der Benennung sind Kritis-Betreiber zudem verpflichtet, erhebliche Störungen, die die Versorgung beeinträchtigen, an das BSI zu melden. Im Gegenzug erhalten sie Unterstützung vom BSI. Darüber hinaus müssen die betroffenen Einrichtungen innerhalb von zwei Jahren nachweisen, dass sie die erforderlichen Maßnahmen zur IT-Sicherheit „nach dem Stand der Technik“ umgesetzt haben. Welche Maßnahmen dazu zählen, soll anhand von branchenspezifischen Sicherheitsstandards festgelegt werden, die bis Ende des Jahres erarbeitet und vom BSI abgesegnet werden müssen, erläuterte Jan Neuhaus, Geschäftsführer der Deutschen Krankenhausgesellschaft, bei einem Expertenforum von RS Medical Consult in Berlin.

Zu den Betreibern einer kritischen Infrastruktur im Gesundheitsbereich zählen nach der Verordnung im stationären Sektor alle Krankenhäuser in Deutschland mit mehr als 30 000 Behandlungsfällen jährlich. Das sind etwa 110 Häuser. Dabei bestehe eine Selbstidentifizierungspflicht des Kritis-Betreibers – die Betreiber müssten selbst prüfen, ob sie vom Gesetz betroffen seien, sagte Matthias Fischer, Referent im Bundesinnenministerium. Er erwarte jedoch, dass der branchenspezifische IT-Sicherheitsstandard auch von den übrigen Kliniken umgesetzt werde, die nicht unter die Verordnung fallen. KBr