Betreiber kritischer Infrastrukturen sind –sofern nicht andere Spezialregelungen bestehen– verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern.
Die getroffenen Maßnahmen müssen mindestens alle zwei Jahre überprüft werden. Werden Sicherheitsmängel aufgedeckt, kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung verlangen.
Am 3. Mai 2016 ist der erste Teil der BSI-Kritisverordnung (§ 10 BSI-Gesetz) zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten. Mit der ersten Verordnung zur Änderung der BSI-Kritisverordnung, die am 30.06.2017 in Kraft getreten ist, wurden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.
Krankenhäuser mit mehr als 30.000 stationären Fällen pro Jahr gelten als kritische Infrastrukturen und haben demzufolge eine Nachweispflicht, dass sie die notwendigen Maßnahmen zur IT-Sicherheit nach dem branchenspezifischen Sicherheitsstandard (B3S) getroffen haben.
Die ersten Krankenhäuser müssen bereits 2019 ihre Schutzmaßnahmen nachweisen, nämlich 2 Jahre nach Inkrafttreten der Verordnung.
Ausgewählte Dokumente (Stand 03/2019) des BSI finden Sie nachfolgend zum Download. Weitere Dokumente und Informationen finden Sie auf den Seiten des BSI:
https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/it_sig_node.html