KRITIS

IT-Sicherheitsgesetz wird scharf geschaltet

110 Kliniken in Deutschland müssen sich auf zusätzliche Hausaufgaben für eine höhere IT-Sicherheit einstellen. Der Kabinettsbeschluss ist allerdings umstritten.

Von Hauke GerlofHauke Gerlof Veröffentlicht:
Sind alle Datenleitungen abgesichert? Das IT-Sicherheitsgesetz definiert Maßnahmen, die in kritischen Infrastrukturen zu treffen sind.

Sind alle Datenleitungen abgesichert? Das IT-Sicherheitsgesetz definiert Maßnahmen, die in kritischen Infrastrukturen zu treffen sind.

© adrian_ilie825 / Adobe.stock.de

BERLIN. Die Grenze liegt bei 30.000 vollstationären Fällen: Die Bundesregierung hat jetzt definiert, was kritische Infrastrukturen im Gesundheitswesen sind, die besonders gegen Cyber-Angriffe zu schützen sind.

Nach dem Kabinettsbeschluss am Mittwoch zur Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS-V) wird das IT-Sicherheitsgesetz nun auch für das Gesundheitswesen scharf geschaltet. Noch im Juni wird die Verordnung in Kraft treten – sobald sie im Bundesanzeiger veröffentlicht ist.

Laut Verordnung zählen zu den kritischen Infrastrukturen im Gesundheitswesen unter anderem folgende Einrichtungen:

» Krankenhäuser mit jährlich mindestens 30.000 vollstationären Fällen (etwa 110 Kliniken bundesweit),

» Hersteller lebenswichtiger Medizinprodukte etwa zur Beatmung/Tracheostomie, für die parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1 ab einem Jahresumsatz von 90,68 Millionen Euro,

» Arzneimittelhersteller ab einer Jahresproduktion von 4,65 Millionen Packungen,

» Apotheken ab einer Abgabe von 4,65 Millionen Packungen im Jahr

» und medizinische Laboratorien ab 1,5 Millionen Aufträgen pro Jahr.

Die betroffenen Einrichtungen sind in Zukunft verpflichtet, bei kritischen Sicherheitsvorfällen unverzüglich Meldung zu machen. Außerdem müssen sie binnen zwei Jahren nachweisen, dass sie wirksame Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern. Außerdem müssen sie eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik nennen.

Das Gesundheitswesen ist eine von sieben Branchen, die über die KRITIS-Verordnung abgedeckt sind. Weitere Branchen sind das Finanz- und Versicherungswesen, Transport und Verkehr, Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung.

Kritische Töne zum Kabinettsbeschluss kommen vom Marburger Bund: "Wir halten es für problematisch, dass nur 110 Krankenhäuser mit jeweils mehr als 30.000 Behandlungsfällen pro Jahr als hinreichend bedeutsam für die stationäre medizinische Versorgung eingestuft werden", so der 1. Vorsitzende des MB Rudolf Henke laut Mitteilung.

Das sei mit der Versorgungsrealität nicht in Einklang zu bringen. Vor dem Hintergrund der Erfahrungen mit vereinzelten Cyber-Angriffen auf deutsche Krankenhäuser und den jüngsten Attacken durch die Erpressungssoftware "WannaCry" fordere der MB ein staatliches Förderprogramm für eine moderne Krankenhaus-IT in Höhe von 10 Milliarden Euro über die nächsten sechs Jahre.

Verpflichtungen im IT-Sicherheitsgesetz

» Kritische Sicherheitsvorfälle: Von der KRITIS-Verordnung erfasste Einrichtungen müssen bei Cyber-Angriffen unverzüglich Meldung ans BSI machen.

» Maßnahmen: Wirksame Vorkehrungen sind binnen 2 Jahren nachzuweisen, die Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten verhindern.

» Kontaktstelle: Binnen 6 Monaten ist dem BSI ein Ansprechpartner zu nennen.

Lesen Sie dazu auch den Kommentar: KRITIS: Kliniken in Zugzwang

Mehr zum Thema

Ballistokardiografie im All

Mit dem smarten T-Shirt auf extraterrestrischer Mission

Das könnte Sie auch interessieren
Digitalisierung? „Muss für Ärzte einen Mehrwert bieten!“

© [M] Scherer: Tabea Marten | Spöhrer: privat

„EvidenzUpdate“-Podcast

Digitalisierung? „Muss für Ärzte einen Mehrwert bieten!“

Digitalisierung und Datenschutz pandemiekonform: SVR-Vorsitzender Professor Ferdinand Gerlach (li.) am 24. März in Berlin bei der Vorstellung des Ratsgutachtens und der Bundesdatenschutzbeauftragte Professor Ulrich Kelber (re.) einen Tag später bei der Vorlage seines Tätigkeitsberichts.

© [M] Gerlach: Wolfgang Kumm / dpa | Kelber: Bernd von Jutrczenka / dpa

„ÄrzteTag“-Podcast

„Wir verlangen Digitalisierung mit Gehirnschmalz!“ (Streitgespräch Teil 1)

Thorsten Kaatze, kaufmännischer Direktor am Uniklinikum Essen

© UK Essen

„ÄrzteTag“-Podcast

Ein „Kochrezept“ für die Digitalisierung einer Uniklinik

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Jetzt anmelden / registrieren »

Die Newsletter der Ärzte Zeitung

» kostenlos und direkt in Ihr Postfach

Am Morgen: Ihr individueller Themenmix

Zum Feierabend: das tagesaktuelle Telegramm

Newsletter bestellen »

Top-Meldungen
Zeitgenössischer Kupferstich von William T. G. Morton und Kollegen im Massachusetts General Hospital in Boston. Mittels eines Glaskolbens führte Morton die Äthernarkose vor.

© akg-images / picture-alliance

175 Jahre Anästhesie

Triumph über den Schmerz

Nach erfolgreicher Sondierungswoche (v.l.n.r): Robert Habeck und Annalena Baerbock, Bundesvorsitzende von Bündnis 90/Die Grünen, SPD-Kanzlerkandidat Olaf Scholz und FDP-Chef Christian Lindner am Freitag in Berlin.

© Kay Nietfeld/picture alliance

Erfolgreiche Sondierung

Das plant die Ampelkoalition im Bereich Gesundheit