Ärzte Zeitung, 02.06.2017
 

KRITIS

IT-Sicherheitsgesetz wird scharf geschaltet

110 Kliniken in Deutschland müssen sich auf zusätzliche Hausaufgaben für eine höhere IT-Sicherheit einstellen. Der Kabinettsbeschluss ist allerdings umstritten.

Von Hauke Gerlof

IT-Sicherheitsgesetz wird scharf geschaltet

Sind alle Datenleitungen abgesichert? Das IT-Sicherheitsgesetz definiert Maßnahmen, die in kritischen Infrastrukturen zu treffen sind.

© adrian_ilie825 / Adobe.stock.de

BERLIN. Die Grenze liegt bei 30.000 vollstationären Fällen: Die Bundesregierung hat jetzt definiert, was kritische Infrastrukturen im Gesundheitswesen sind, die besonders gegen Cyber-Angriffe zu schützen sind.

Nach dem Kabinettsbeschluss am Mittwoch zur Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS-V) wird das IT-Sicherheitsgesetz nun auch für das Gesundheitswesen scharf geschaltet. Noch im Juni wird die Verordnung in Kraft treten – sobald sie im Bundesanzeiger veröffentlicht ist.

Laut Verordnung zählen zu den kritischen Infrastrukturen im Gesundheitswesen unter anderem folgende Einrichtungen:

» Krankenhäuser mit jährlich mindestens 30.000 vollstationären Fällen (etwa 110 Kliniken bundesweit),

» Hersteller lebenswichtiger Medizinprodukte etwa zur Beatmung/Tracheostomie, für die parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1 ab einem Jahresumsatz von 90,68 Millionen Euro,

» Arzneimittelhersteller ab einer Jahresproduktion von 4,65 Millionen Packungen,

» Apotheken ab einer Abgabe von 4,65 Millionen Packungen im Jahr

» und medizinische Laboratorien ab 1,5 Millionen Aufträgen pro Jahr.

Verpflichtung zur Meldung

Die betroffenen Einrichtungen sind in Zukunft verpflichtet, bei kritischen Sicherheitsvorfällen unverzüglich Meldung zu machen. Außerdem müssen sie binnen zwei Jahren nachweisen, dass sie wirksame Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern. Außerdem müssen sie eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik nennen.

Das Gesundheitswesen ist eine von sieben Branchen, die über die KRITIS-Verordnung abgedeckt sind. Weitere Branchen sind das Finanz- und Versicherungswesen, Transport und Verkehr, Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung.

Kritische Töne zum Kabinettsbeschluss kommen vom Marburger Bund: "Wir halten es für problematisch, dass nur 110 Krankenhäuser mit jeweils mehr als 30.000 Behandlungsfällen pro Jahr als hinreichend bedeutsam für die stationäre medizinische Versorgung eingestuft werden", so der 1. Vorsitzende des MB Rudolf Henke laut Mitteilung.

Das sei mit der Versorgungsrealität nicht in Einklang zu bringen. Vor dem Hintergrund der Erfahrungen mit vereinzelten Cyber-Angriffen auf deutsche Krankenhäuser und den jüngsten Attacken durch die Erpressungssoftware "WannaCry" fordere der MB ein staatliches Förderprogramm für eine moderne Krankenhaus-IT in Höhe von 10 Milliarden Euro über die nächsten sechs Jahre.

Verpflichtungen im IT-Sicherheitsgesetz

» Kritische Sicherheitsvorfälle: Von der KRITIS-Verordnung erfasste Einrichtungen müssen bei Cyber-Angriffen unverzüglich Meldung ans BSI machen.

» Maßnahmen: Wirksame Vorkehrungen sind binnen 2 Jahren nachzuweisen, die Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten verhindern.

» Kontaktstelle: Binnen 6 Monaten ist dem BSI ein Ansprechpartner zu nennen.

Lesen Sie dazu auch den Kommentar:
KRITIS: Kliniken in Zugzwang

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Weitere Beiträge aus diesem Themenbereich

Wie Grippeviren ihr Erbgut steuern

Forscher haben nachgewiesen, wie Gene von Influenza-A-Viren an- und abgeschaltet werden. Die Erkenntnisse sollen die Entwicklung neuer Therapien vorantreiben. mehr »

6000 Euro Strafe für Informationen über Abtreibung

Wegen unerlaubter Werbung für Schwangerschaftsabbrüche hat das Amtsgericht Gießen am Freitag eine ortsansässige Allgemeinärztin zu 6000 Euro Geldstrafe verurteilt. mehr »

Mehr Transparenz soll die Wogen der SPRINT-Studie glätten

Der Streit um die SPRINT-Studie hält an. Im Fokus steht die genutzte Methode der Praxisblutdruckmessung, um die sich Gerüchte rankten. Jetzt hat die SPRINT-Gruppe für mehr Transparenz gesorgt. mehr »