KRITIS-Krankenhäuser: IT-Sicherheit wird auditiert

Betreiber kri­tis­ch­er Infra­struk­turen sind –sofern nicht andere Spezial­regelun­gen beste­hen– verpflichtet, die für die Erbringung ihrer wichti­gen Dien­ste erforder­liche IT nach dem Stand der Tech­nik angemessen abzusichern.

Die getrof­fe­nen Maß­nah­men müssen min­destens alle zwei Jahre über­prüft wer­den. Wer­den Sicher­heitsmän­gel aufgedeckt, kann das Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI) im Ein­vernehmen mit den Auf­sichts­be­hör­den deren Besei­t­i­gung verlangen.

Am 3. Mai 2016 ist der erste Teil der BSI-Kri­tisverord­nung (§ 10 BSI-Gesetz) zur Umset­zung des IT-Sicher­heits­ge­set­zes in Kraft getreten. Mit der ersten Verord­nung zur Änderung der BSI-Kri­tisverord­nung, die am 30.06.2017 in Kraft getreten ist, wur­den die Sek­toren Finanz- und Ver­sicherungswe­sen, Gesund­heit sowie Trans­port und Verkehr ergänzt.

Kranken­häuser mit mehr als 30.000 sta­tionären Fällen pro Jahr gel­ten als kri­tis­che Infra­struk­turen und haben demzu­folge eine Nach­weispflicht, dass sie die notwendi­gen Maß­nah­men zur IT-Sicher­heit nach dem branchen­spez­i­fis­chen Sicher­heits­stan­dard (B3S) getrof­fen haben.

Die ersten Kranken­häuser müssen bere­its 2019 ihre Schutz­maß­nah­men nach­weisen, näm­lich 2 Jahre nach Inkraft­treten der Verordnung.

Aus­gewählte Doku­mente (Stand 03/2019) des BSI find­en Sie nach­fol­gend zum Down­load. Weit­ere Doku­mente und Infor­ma­tio­nen find­en Sie auf den Seit­en des BSI: 

https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/it_sig_node.html