IT-Sicherheitsgesetz: Schwellenwerte für das Gesundheitswesen absehbar

Nicht nur die jüngsten Hackerangriffe auf Krankenhäuser unterstreichen den Handlungsbedarf in Sachen IT-Sicherheit. Die Politik hat bereits 2015 das IT-Sicherheitsgesetz publiziert und konkretisiert nun die betroffenen Sektoren auf dem Verordnungswege.

Der Referentenentwurf der ersten Verordnung zur Änderung der BSI-Kritisverordnung liegt nun vor.

Nachdem am 3. Mai 2016 die erste Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV)[1] in Kraft getreten ist, enthält der Referentenentwurf der ersten Verordnung zur Änderung der BSI-Kritisverordnung – vom Februar 2017 – Schwellenwerte für den Sektor Gesundheit, außerdem für die Sektoren Transport und Verkehr, Finanz- und Versicherungswesen.

Zeitrahmen für die Umsetzung

Der Referentenentwurf grenzt innerhalb des Gesundheitssektors die kritischen Dienstleistungen „medizinische Versorgung“, „Versorgung mit Medizinprodukten (Verbrauchsgüter“), „Versorgung und Distribution mit verschreibungspflichtigen Arzneimitteln“, „Abgabe verschreibungspflichtiger Arzneimittel“ (Apotheke) und „Laboratoriumsdiagnostik“ ab. Gemäß des Referentenentwurfes erbringen Krankenhäuser eine medizinische Versorgung. Deren Schwellenwert wurde mit 30.000 vollstationären Fällen pro Jahr definiert. Nach der Anpassung der BSI-Kritisverordnung werden diese Dienstleistungen, bei der Erreichung des entsprechenden Schwellenwertes, vom IT-Sicherheitsgesetz betroffen sein.

Mit Inkrafttreten der Änderungsverordnung haben die betroffenen Betreiber des Sektors Gesundheit sechs Monate Zeit, die Voraussetzungen zur Erfüllung der Meldepflicht umzusetzen. Nach weiteren zwei Jahren müssen die Betreiber die notwendigen Sicherheitsmaßnahmen umsetzen (u. a. Informationssicherheitsmanagementsystem gemäß ISO 27001:2015). Für Unternehmen aus betroffenen Sektoren empfiehlt es sich also zeitnah zu ermitteln, ob sie oder Teile ihrer Anlagen und Einrichtungen in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen werden und zu prüfen, wie der eigenen Stand der Technik im Sinne des Gesetzes in Bezug auf IT-Sicherheit ist. Mit der Umsetzung notwendiger Maßnahmen gilt es zeitnah zu starten.

Bei Ordnungswidrigkeiten droht dem betroffenen Unternehmen gem. § 14 BSI-Gesetz ein Bußgeld bis zu 100.000 Euro. Sicherheitsvorfälle können weitere Bußgelder nach sich ziehen, falls diese die Nichteinhaltung der EU-DSGVO bewirken. Hier drohen bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes als Bußgeld.

Unsere Erfahrungen und Leistungen zum Thema IT-Sicherheitsgesetz

Erste praktische Erfahrungen im Gesundheitssektor haben gezeigt, dass die effektivste und effizienteste Option um Reputationsschäden und Bußgelder zu vermeiden, die Etablierung eines Informationssicherheitsmanagementsystems (ISMS) ist. Im Rahmen unserer Unterstützung bei der Durchführung einer Gap-Analyse sowie bei der Konzeption und Implementierung eines ISMS haben sich unsere Tools, Vorlagen und weiteren Assets bewährt. Um Ihrer Nachweispflicht gegenüber Aufsichtsbehörden nachzukommen, können wir Ihr Informationssicherheitsmanagementsystem nach dem internationalen Standard ISO 27001 zertifizieren.

Sollten Sie die Etablierung eines Informationssicherheitsmanagementsystems in Planung haben, unterstützt Sie PwC gerne bei der Durchführung einer Gap-Analyse oder bei der Konzeption und Implementierung Ihres Informationssicherheitsmanagementsystems.

[1] BGBl. 2016 I, 958.

 

Ansprechpartner:

Rüdiger Giebichenstein
Partner
Tel.: +49 221 2084-188
E-Mail: ruediger.giebichenstein@de.pwc.com

Carsten Schirp
Senior Manager
Tel.: +49 211 981-4156
E-Mail: carsten.schirp@de.pwc.com

 

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */