KRITIS
IT-Sicherheitsgesetz wird scharf geschaltet
110 Kliniken in Deutschland müssen sich auf zusätzliche Hausaufgaben für eine höhere IT-Sicherheit einstellen. Der Kabinettsbeschluss ist allerdings umstritten.
Veröffentlicht:BERLIN. Die Grenze liegt bei 30.000 vollstationären Fällen: Die Bundesregierung hat jetzt definiert, was kritische Infrastrukturen im Gesundheitswesen sind, die besonders gegen Cyber-Angriffe zu schützen sind.
Nach dem Kabinettsbeschluss am Mittwoch zur Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS-V) wird das IT-Sicherheitsgesetz nun auch für das Gesundheitswesen scharf geschaltet. Noch im Juni wird die Verordnung in Kraft treten – sobald sie im Bundesanzeiger veröffentlicht ist.
Laut Verordnung zählen zu den kritischen Infrastrukturen im Gesundheitswesen unter anderem folgende Einrichtungen:
» Krankenhäuser mit jährlich mindestens 30.000 vollstationären Fällen (etwa 110 Kliniken bundesweit),
» Hersteller lebenswichtiger Medizinprodukte etwa zur Beatmung/Tracheostomie, für die parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1 ab einem Jahresumsatz von 90,68 Millionen Euro,
» Arzneimittelhersteller ab einer Jahresproduktion von 4,65 Millionen Packungen,
» Apotheken ab einer Abgabe von 4,65 Millionen Packungen im Jahr
» und medizinische Laboratorien ab 1,5 Millionen Aufträgen pro Jahr.
Die betroffenen Einrichtungen sind in Zukunft verpflichtet, bei kritischen Sicherheitsvorfällen unverzüglich Meldung zu machen. Außerdem müssen sie binnen zwei Jahren nachweisen, dass sie wirksame Vorkehrungen getroffen haben, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern. Außerdem müssen sie eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik nennen.
Das Gesundheitswesen ist eine von sieben Branchen, die über die KRITIS-Verordnung abgedeckt sind. Weitere Branchen sind das Finanz- und Versicherungswesen, Transport und Verkehr, Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung.
Kritische Töne zum Kabinettsbeschluss kommen vom Marburger Bund: "Wir halten es für problematisch, dass nur 110 Krankenhäuser mit jeweils mehr als 30.000 Behandlungsfällen pro Jahr als hinreichend bedeutsam für die stationäre medizinische Versorgung eingestuft werden", so der 1. Vorsitzende des MB Rudolf Henke laut Mitteilung.
Das sei mit der Versorgungsrealität nicht in Einklang zu bringen. Vor dem Hintergrund der Erfahrungen mit vereinzelten Cyber-Angriffen auf deutsche Krankenhäuser und den jüngsten Attacken durch die Erpressungssoftware "WannaCry" fordere der MB ein staatliches Förderprogramm für eine moderne Krankenhaus-IT in Höhe von 10 Milliarden Euro über die nächsten sechs Jahre.
Verpflichtungen im IT-Sicherheitsgesetz
» Kritische Sicherheitsvorfälle: Von der KRITIS-Verordnung erfasste Einrichtungen müssen bei Cyber-Angriffen unverzüglich Meldung ans BSI machen.
» Maßnahmen: Wirksame Vorkehrungen sind binnen 2 Jahren nachzuweisen, die Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten verhindern.
» Kontaktstelle: Binnen 6 Monaten ist dem BSI ein Ansprechpartner zu nennen.
Lesen Sie dazu auch den Kommentar: KRITIS: Kliniken in Zugzwang