Kritische Infrastruktur: Regierung legt Kriterien fürs Gesundheitswesen fest

Berlin – 110 Krankenhäuser, 151 Apotheken und Betriebsstätten zur Entnahme, Weiter­verarbeitung und Lagerung von Blutspenden, 105 Einrichtungen aus der Laboratori­ums­diagnostik und zwei Hersteller von unmittelbar lebenswichtigen Medizin­produk­ten werden voraussichtlich in Deutschland zur „Kritischen Infrastruktur“ gehören. Diese geschätzte Zahl nennt die Bundesregierung in einer Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV), die heute vom Bundeskabinett verabschiedet wurde.

„Der Gesundheitssektor ist einer der wichtigsten Wirtschaftsbereiche Deutschlands. [...] Bei einem Ausfall oder einer auch lediglich kurzzeitigen Versorgungsunterbrechung wären bedeutende Rechtsgüter wie Leib, Leben und die körperliche Unversehrtheit der Allgemeinheit unmittelbar betroffen“, heißt es in der Begründung des Bundesinnen­minis­terium (BMI) zur Verordnung. Dabei komme es „maßgeblich auf den Kernbereich der Gesundheitsversorgung an“.

Dieser umfasse sowohl die Leistungserbringer der stationären Versorgung als auch die vor- und nachgelagerten unterstützenden Branchen wie Medizintechnik, Arzneimittel­versorgung sowie Labordiagnostik. Aus den Teilbereichen stuft die Regierung zumeist nur bestimmte Dienstleistungen als „kritisch“ ein. So bezieht sich die Versorgung mit Medizinprodukten zum Beispiel lediglich auf Verbrauchsgüter zur Beatmung/Trache­osto­mie, parenteralen und enteralen Ernährung, zur ableitenden Inkontinenz und zur Behandlung von Diabetes Typ 1. In der Arzneimittelversorgung geht es ausschließlich um die Versorgung der Bevölkerung mit verschreibungspflichtigen Arzneimitteln sowie Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper. Bei den stationären Einrichtungen sind Kliniken mit jeweils mehr als 30.000 Behandlungsfällen pro Jahr einbezogen.

Durch die Verordnung sollen die Betreiber von Kritischen Infrastrukturen in die Lage versetzt werden, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. „Nach dieser Änderung ist es Betreibern aus allen sieben Sektoren möglich zu prüfen, ob sie Kritische Infra­strukturen nach dem IT-Sicherheitsgesetz betreiben“, sagte Bundesinnenminister Thomas de Maizière heute.

Er verwies darauf, dass die Aufarbeitung der einzelnen Sektoren nicht immer leicht gewesen sei. „Dennoch ist es uns gelungen, eine für alle Seiten gute Lösung zu finden. Um die Lebensadern unserer vernetzten Gesellschaft in der heutigen Zeit effektiver zu schützen, müssen Wirtschaft und Staat eng zusammenarbeiten“, erklärte de Maizière. Dass Anstrengungen notwendig seien, hätten die Cyberangriffe durch die Ransom-Ware WannaCry vor wenigen Wochen „recht eindrucksvoll belegt“.

Die von der Verordnung betroffenen Betreiber sind mit Inkrafttreten verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Bei Missachtung drohen Bußgelder von bis zu 100.000 Euro.

Die Verordnung soll im Juni in Kraft treten. Entsprechende Regelungen für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung gelten bereits seit Mai 2016. Insgesamt werden damit rund 1.700 Anlagen in Deutschland als Kritische Infrastruktur eingestuft. Weitere Ergänzungen der Liste schloss de Maizière dem Bericht zufolge in der Vorlage ausdrücklich nicht aus.

may/afp/dpa