Mit Wirkung zum 01.01.2022 wurde durch das Patientendaten-Schutz-Gesetz eine Verpflichtung der Umsetzung von Anforderungen an Betreiber kritischer Infrastrukturen für alle Krankenhäuser in das Sozialgesetzbuch aufgenommen. Die neuen Herausforderungen und wie Sie diesen begegnen können, wollen wir Ihnen kurz vorstellen.

KRITIS-Anforderungen für „Nicht-KRITIS“-Betreiber

In § 75c SGB V wird die verpflichtende Umsetzung nach dem Stand der Technik angemessener organisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit einhergehend mit einer Verpflichtung, diese Maßnahmen an den Stand der Technik alle zwei Jahre anzupassen, vorgeschrieben. Dabei wird die Umsetzung des branchenspezifischen Sicherheitsstandards nahezu obligatorisch. Dieser war bisher nur für Betreiber kritischer Infrastrukturen gemäß BSI-KRITIS-Verordnung verbindlich umzusetzen. Durch die Gesetzesänderung fallen hierunter nun alle Krankenhäuser.

Die große Herausforderung: Informationssicherheitsmanagement

Die Umsetzung von IT-Security-Maßnahmen ist bereits seit längerem gängige Praxis. Durch die Gesetzesänderung und die Einbeziehung des branchenspezifischen Sicherheitsstandards der Deutschen Krankenhaus Gesellschaft wird auch das organisierte Management von Maßnahmen rund um die Informationssicherheit verbindlich. Die Implementierung und der Betrieb eines angemessenen und prozessorientieren Informationssicherheitsmanagementsystems (ISMS) stellt daher für für viele eine große Herausforderung dar. Hinzu kommt der Dschungel an normativen Referenzen wie DIN EN ISO/IEC 27001:2017, DIN EN ISO/IEC 27002:2017, ISO 31000:2018, ISO/IEC 27005:2018 und DIN EN ISO 27799:2016-12, in dem man schnell den Überblick verlieren kann.

Angemessen aber alles andere als von der Stange

Bei der Implementierung eines ISMS müssen sich Krankenhäuser an Best Practices und dem Stand der Technik orientieren. Dennoch ist jedes Krankenhaus anders. Diesem Spagat begegnen wir mit einem grundsätzlich standardisierten, aber auf Ihre Bedürfnisse hin angepassten Vorgehen. Grundlage unserer Beratungsleistung ist der PDCA-Kreis (Plan-Do-Check-Act). Wir achten insbesondere auf die Förderfähigkeit von Maßnahmen, damit Sie notwendige Maßnahmen auch finanziell umsetzen können. Angemessenheit leitet uns dabei in der Definition des zu erreichenden Sicherheitsniveaus in Abwägung zu den eingesetzten Ressourcen Zeit, Arbeit und Geld.

Mit Kompetenz zum Ziel

Wir begleiten Sie bei der Implementierung und sorgen dafür, dass Sie den Überblick behalten. Mit unserer langjährigen Erfahrung in der erfolgreichen Einführung von Informationsmanagementsystemen stehen wir Ihnen als kompetente Partner in der Planung, Umsetzung, Prüfung und Verbesserung sowohl in technischen wie auch organisatorischen Belangen zur Seite.

Sicherheit, die zu Ihnen passt

Mit uns bekommen Sie nicht „Sicherheit um jeden Preis“! Wir achten bei der Umsetzung auf die Angemessenheit der umzusetzenden Maßnahmen zwischen Sicherheitsniveau und Ressourceneinsatz. Ein ISMS muss kein Investitionsloch ohne Boden sein. Geben Sie Ihre Informationssicherheit in treue Hände. Sprechen Sie unsere Sicherheitsexperten gerne an.

Unser Vorgehensmodell

Wir orientieren uns am PDCA-Kreis und setzen einen Schwerpunkt auf die Planung des Managementsystems. Denn unserer Erfahrung nach vereinfacht eine gute Planungsphase die spätere Umsetzung deutlich. Dazu untersuchen wir den Kontext Ihrer Organisation, legen mit Ihnen gemeinsam die Leitplanken und Ziele des ISMS fest, führen eine prozessorientierte Risikoanalyse durch und definieren die ISMS-Organisation mit den notwendigen Ressourcen und Kompetenzen.
Im Anschluss beginnt die Bearbeitung der Maßnahmen zur Risikoreduktion und Umsetzung der weiteren Handlungsschritte zur Etablierung des ISMS. Nach erfolgreicher Umsetzungsphase erheben wir Kennzahlen, führen geforderte interne Audits durch und leiten Sie durch die Management-Bewertung. Die aus diesen Prüfungsschritten entstehenden Maßnahmen setzen wir dann mit Ihnen zusammen zur kontinuierlichen Verbesserung um.

Informationssicherheitsbeauftragte

Auch nach der erfolgreichen Einführungsphase bleiben wir gerne an Ihrer Seite und unterstützen Sie mit unserer Expertise im Betrieb und der kontinuierlichen Weiterentwicklung des ISMS, um insbesondere die gesetzliche Forderung nach einer regelmäßigen Neubewertung der Maßnahmen nach Stand der Technik zu erfüllen. Hierbei stehen für uns sowohl die Effektivität als auch die Effizienz einer Maßnahme und des gesamten Managementsystems im Fokus.

Weiterführende Informationen

Zu den Themen Managementsystem und Datenschutz haben wir ebenfalls ausführliche Blogbeiträge verfasst. Schauen Sie doch gern vorbei. Einen schnellen Überblick über das Thema und unsere Leistungen finden Sie in unserem OnePager: