KRITIS

IT-Sicherheitsgesetz wird scharf geschaltet

110 Kliniken in Deutschland müssen sich auf zusätzliche Hausaufgaben für eine höhere IT-Sicherheit einstellen. Der Kabinettsbeschluss ist allerdings umstritten.

Hauke GerlofVon Hauke Gerlof Veröffentlicht:
Sind alle Datenleitungen abgesichert? Das IT-Sicherheitsgesetz definiert Maßnahmen, die in kritischen Infrastrukturen zu treffen sind.

Sind alle Datenleitungen abgesichert? Das IT-Sicherheitsgesetz definiert Maßnahmen, die in kritischen Infrastrukturen zu treffen sind.

© adrian_ilie825 / Adobe.stock.de

BERLIN. Die Grenze liegt bei 30.000 vollstationären Fällen: Die Bundesregierung hat jetzt definiert, was kritische Infrastrukturen im Gesundheitswesen sind, die besonders gegen Cyber-Angriffe zu schützen sind.

Nach dem Kabinettsbeschluss am Mittwoch zur Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS-V) wird das IT-Sicherheitsgesetz nun auch für das Gesundheitswesen scharf geschaltet. Noch im Juni wird die Verordnung in Kraft treten – sobald sie im Bundesanzeiger veröffentlicht ist.

Laut Verordnung zählen zu den kritischen Infrastrukturen im Gesundheitswesen unter anderem folgende Einrichtungen:

» Krankenhäuser mit jährlich mindestens 30.000 vollstationären Fällen (etwa 110 Kliniken bundesweit),

» Hersteller lebenswichtiger Medizinprodukte etwa zur Beatmung/Tracheostomie, für die parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1 ab einem Jahresumsatz von 90,68 Millionen Euro,

» Arzneimittelhersteller ab einer Jahresproduktion von 4,65 Millionen Packungen,

» Apotheken ab einer Abgabe von 4,65 Millionen Packungen im Jahr

» und medizinische Laboratorien ab 1,5 Millionen Aufträgen pro Jahr.

Die betroffenen Einrichtungen sind in Zukunft verpflichtet, bei kritischen Sicherheitsvorfällen unverzüglich Meldung zu machen. Außerdem müssen sie binnen zwei Jahren nachweisen, dass sie wirksame Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern. Außerdem müssen sie eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik nennen.

Das Gesundheitswesen ist eine von sieben Branchen, die über die KRITIS-Verordnung abgedeckt sind. Weitere Branchen sind das Finanz- und Versicherungswesen, Transport und Verkehr, Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung.

Kritische Töne zum Kabinettsbeschluss kommen vom Marburger Bund: "Wir halten es für problematisch, dass nur 110 Krankenhäuser mit jeweils mehr als 30.000 Behandlungsfällen pro Jahr als hinreichend bedeutsam für die stationäre medizinische Versorgung eingestuft werden", so der 1. Vorsitzende des MB Rudolf Henke laut Mitteilung.

Das sei mit der Versorgungsrealität nicht in Einklang zu bringen. Vor dem Hintergrund der Erfahrungen mit vereinzelten Cyber-Angriffen auf deutsche Krankenhäuser und den jüngsten Attacken durch die Erpressungssoftware "WannaCry" fordere der MB ein staatliches Förderprogramm für eine moderne Krankenhaus-IT in Höhe von 10 Milliarden Euro über die nächsten sechs Jahre.

Verpflichtungen im IT-Sicherheitsgesetz

» Kritische Sicherheitsvorfälle: Von der KRITIS-Verordnung erfasste Einrichtungen müssen bei Cyber-Angriffen unverzüglich Meldung ans BSI machen.

» Maßnahmen: Wirksame Vorkehrungen sind binnen 2 Jahren nachzuweisen, die Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten verhindern.

» Kontaktstelle: Binnen 6 Monaten ist dem BSI ein Ansprechpartner zu nennen.

Lesen Sie dazu auch den Kommentar: KRITIS: Kliniken in Zugzwang

Ihr Newsletter zum Thema
Mehr zum Thema
Kommentare
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Tenecteplase nach 4,5 Stunden

Schlaganfall: Auch die späte Lyse lohnt sich noch

Lesetipps
Dr. Carsten Gieseking

© Daniel Reinhardt

Praxisabgabe mit Hindernissen

Warum Kollege Gieseking nicht zum Ruhestand kommt

Krankenkassen haben zum Jahreswechsel schlechte Botschaften für ihre Mitglieder: die Zusatzbeiträge steigen stark. Die Kritik an versäumten Reformen der Ampel-Koalition ist einhellig.

© Comugnero Silvana / stock.adobe.com

Update

70 Kassen im Beitragssatz-Check

Höhere Zusatzbeiträge: So teuer wird Ihre Krankenkasse 2025

Eine Spritze für eine RSV-Impfung liegt auf dem Tisch.

© picture alliance / Ulrich Baumgarten

Update

Umfrage unter KVen

Erst sechs Impfvereinbarungen zur RSV-Prophylaxe Erwachsener