IQ network

BSI-Kritisverordnung: IT-Sicherheit anpassen

Seit Jahren zeichnet sich ab, wie verletzlich und abhängig unsere Gesellschaft von bestimmten Infrastrukturen ist. Die Sicherstellung dieser als kritisch eingestuften Infrastrukturen ist Aufgabe des Staates und der jeweiligen Betreiber.

Störungen treffen nämlich unzählige Endnutzer direkt. Deshalb sind die Anforderungen des BSIG strenger als andere Normen.

Gemäß BSI-Kritisverordnung – BSI-KritisV vom 22. April 2016 (BGBl. I S. 958) gelten Kliniken mit mehr als 30.000 stationären Patienten pro Jahr als „Kritische Infrastruktur” (Kritis). Spätestens Mitte 2019 benötigen sie neue IT-Sicherheitsstandards.

Laut IT-Sicherheitsgesetz müssen die Betreiber Kritischer Infrastrukturen Mindest-Sicherheitsstandards nach dem aktuellen Stand der Technik einhalten.

Die Regelungen, die die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit betreffen, traten mit der ersten Änderungsverordnung der BSI-Kritisverordnung am 30. Juni 2017 in Kraft.

Die Pflicht zur Einhaltung der IT-Sicherheitsstandards besteht erst zwei Jahre später – der Stichtag ist also der 30. Juni 2019.

Das können wir für Sie tun:

Ab Juli 2019 müssen die neuen IT-Sicherheitsstandards laut BSI-Kritisverordnung etabliert sein. Dabei können wir Sie unterstützen. Auf der Basis einer strukturierten Bestandsaufnahme mit Risikobewertung erarbeiten wir die erforderlichen Maßnahmen und begleiten Sie bei der Umsetzung – abhängig von Ihren Vorstellungen.

Gerne beraten wir Sie auch über die Darstellung ihrer Konzepte zu Beantragung von Fördermittel im Sinne des Krankenhausstrukturfonds (KHSF). Anpassungen im Hinblick auf Investitionen in die IT-Ausstattung und in baulicher Hinsicht können aus Mitteln der Bundesregierung entsprechend gefördert werden.

Analysen und Pflichten:

  • Kritikalitätseinstufung der eingesetzten Systeme, ggf. Anwendung des  B3S mit Vorstellung der Handlungsoptionen oder des gewählten Standards IDW PS 330, ISO 27001, BSI Grundschutz
  • Identifikation der bestehenden Schutzziele und der  Sicherungsmechanismen
  • Hinterfragen etablierter Routinen in den kritischen Dienstleistungen  (kDL)
  • Untersuchung der Basis-Infrastruktur
  • Einhaltung des aktuellen Stands der Technik
  • Risikoanalyse und .bewertung mit  Betrachtung der Folgen eines  Ausfalls oder einer Beeinträchtigung einer kritischen Infrastruktur
  • Darstellung der Deltas, daraus die Entwicklung des Maßnahmenplans
  • Integration in das bestehende QM / RM -System
  • Regelung von Zuständigkeiten, v.a. bei Not- und Krisenfällen
  • Vorbereitung und Begleitung/Durchführung von IT-Sicherheitschecks mit Berichterstellung
  • Begleitung der Erstellung des  IT Sicherheitschecks
  • Auswahl der Prüfenden Stelle
  • Gestaltung der Prüfnachweise unter Berücksichtigung der  individuellen Gegebenheiten der Einrichtung
  • Abstimmung mit dem BSI und Übermittlung der Prüfergebnisse
  • jährlicher bzw. 2jährlicher Check zu Kritisverordnung mit Bericht an die Geschäftsführung
  • alle 2 Jahre muss die Einrichtung gegenüber dem BSI den Nachweis zur Umsetzung des § 8a (3) BSiG erbringen