Cybersicherheit wird Priorität in der Regulierung

18.06.2019
Vernetztes Gesundheitswesen

Zur Stärkung der IT-Sicherheit kritischer Netze und Infrastrukturen hat das Innenministerium (BMI) seinen aktuellen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 (IT-SiG) bereits in die Ressortabstimmung verschickt. Aus Sicht des bvitg besteht am Referentenentwurf noch erheblicher Änderungsbedarf. So sieht er in der aktuellen Fassung eine erhebliche Ausweitung der Pflichten für die Hersteller Klinischer Informationssysteme (KIS) vor, wenn diese KRITIS Krankenhäuser beliefern. Zum anderen müssten KIS Hersteller umfassenden Melde- und Nachweispflichten nachkommen, bei deren Nichteinhaltung drakonische Bußgelder fällig würden. Für weitere Rechtsunsicherheit sorgt die geplante Pflicht zur Vertrauenswürdigkeitserklärung, die Hersteller von KRITIS-Kernkomponenten vor deren Vertrieb über die gesamte Lieferkette abgeben sollen und deren Inhalt vom Innenministerium und nicht vom zuständigen Gesundheitsministerium bestimmt werden soll. Hier könnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei einer Zuwiderhandlung ein Bußgeld von bis zu 20 Mio. Euro oder von bis zu vier Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes verhängen. Dies stellt ein erhebliches Kostenrisiko für Betreiber und Hersteller von KRITIS-Kernkomponenten dar und gefährdet deren Wettbewerbsfähigkeit. Die Deutsche Krankenhausgesellschaft (DKG) veröffentlichte kürzlich im Rahmen des Branchenarbeitskreises zu kritischen Infrastrukturen den branchenspezifischen Sicherheitsstandard B3S für Krankenhäuser. Neben KIS Systemen werden dann auch PACS, LIS- und RIS-Systeme in den Anwendungsbereich der mit hohen Anforderungen versehenen Anwendungssysteme fallen. Sobald der neue Sicherheitsstandard durch das BSI freigegeben wurde, gilt er für die nächsten zwei Jahre und muss von jedem KRITIS Krankenhaus umgesetzt werden.