Gesundheit
Im Sektor Gesundheit versorgen KRITIS-Betreiber und Einrichtungen die Allgemeinheit mit vier kritischen Dienstleistungen – der stationären medizinischen Versorgung, der Versorgung mit lebenserhaltenden Medizinprodukten, der Versorgung mit Arzneien und Blut/Plasma sowie der Diagnostik in medizinischen Laboren. Diese Dienstleistungen müssen mit Cybersecurity-Pflichten nach NIS2 und KRITIS geschützt werden.
KRITIS-Betreiber erbringen diese kritischen Dienstleistungen in eigenen Anlagen, und werden KRITIS, wenn sie dabei Schwellenwerte überschreiten. Der Sektor erweitert sich mit NIS2 ab 2024 um viele Einrichtungen, die als Unternehmen reguliert werden, wenn sie Unternehmensgrößen überschreiten.
| Nr. | Unternehmen | Scope |
|---|---|---|
| Betreiber kritischer Anlagen | Anlage über Schwellenwert (KRITIS) | |
KRITIS-Sektordefinition Gesundheit:
|
||
| Besonders wichtige Einrichtung | Unternehmen (NIS2)
|
|
| Wichtige Einrichtung | Unternehmen (NIS2)
|
|
NIS2-Sektordefinition Gesundheit:
|
||
Regulierte Pflichten
NIS2 und KRITIS
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Die Gesetze sind in Arbeit und sollen Oktober 2024 in Kraft treten. Für Betreiber kritischer Anlagen (KRITIS) als auch die neuen Einrichtungen kommen viele neue Pflichten hinzu, die über die bisherige Regulierung des IT-Sicherheitsgesetz 2.0 hinausgehen.
| Thema | Betreiber kritischer Anlagen | Einrichtungen | |
|---|---|---|---|
| Gesetz | NIS2-Umsetzung | KRITIS-Dachgesetz | NIS2-Umsetzung |
| Fristen | ab 2024 | ab 2026 | ab 2024 |
| Scope | Kritische Anlage | Kritische Anlage | Unternehmen |
| Pflichten | Registrierung Vorfallsmeldungen Sanktionen Prüfungen |
Registrierung Vorfallsmeldungen Sanktionen |
Registrierung Vorfallsmeldungen Sanktionen |
| Maßnahmen | Informationssicherheit Risikomanagement IT-Sicherheit Angriffserkennung SzA |
Resilienz Risikomanagement Physische Sicherheit |
Informationssicherheit Risikomanagement IT-Sicherheit |
| Nachweise | Audits | Stichproben | Stichproben |
| Regulator | BSI | BBK/Länder | BSI |
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.
KRITIS
Kritische Anlagen
Die folgenden KRITIS-Anlagen sind im Sektor Wasser in der KRITIS-Verordnung definiert. Betreiben Unternehmen kritische Anlagen und überschreiten dabei Schwellenwerte, werden sie KRITIS-Betreiber.
| Nr. | Anlage | Beschreibung | Schwellenwert | |
|---|---|---|---|---|
| 1. | Stationäre medizinische Versorgung (Dienstleistung) | |||
| 1.1 | Krankenhaus | nach §108 SGB 5 | 30 Tsd./Jahr | vollstationäre Fallzahl |
| 2. | Versorgung mit lebenserhaltenden Medizinprodukten (Dienstleistung) | |||
| 2.1.1 | Produktionsstätte | von Medizinprodukten für Beatmung/Tracheostomie, parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1 | 90,68 Mio. EUR/Jahr | Umsatz |
| 2.2.1 | Abgabestelle | von Medizinprodukten für Beatmung/Tracheostomie, parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1 | 90,68 Mio. EUR/Jahr | Umsatz |
| 3. | Versorgung mit Arzneien und Blut/Plasma (Dienstleistung) | |||
| 3.1.1 | Produktionsstätte | mit Herstellungserlaubnis nach §13 AMG, für Hilfsstoffe, -materialien, Wirkstoffe zu verschreibungspflichtigen Arzneimitteln zur Anwendung im oder am menschlichen Körper nach §48 AMG | 4,65 Mio/Jahr | in Verkehr gebrachte Packungen |
| 3.1.2 | Blut- oder Plasmaspendensteuerung | zentrales IT-System zur Steuerung und Verwaltung von Blutspende-Einrichtungen oder Herstellungs-Einheiten | 34 Tsd./Jahr | hergestellte oder in Verkehr gebrachte Produkte |
| 3.2.1 | Betriebs- und Lagerraum | zur kurzzeitigen Lagerung verschreibungspflichtiger Arzneimittel, Blutspenden, Blut- und Plasmaderivate; sowie zur Weiterverarbeitung oder Aufbereitung von Blut/Plasma zur Anwendung im/am menschlichen Körper | 4,65 Mio/Jahr | umgeschlagene Packungen |
| 3.2.2 | Vertrieb verschreibungspflichtiger Arzneimitteln | zentrales Logistikmanagementsystem für Vertrieb, Disposition verschreibungspflichtiger Arzneimitteln zur Anwendung im/am menschlichen Körper. | 4,65 Mio/Jahr | transportierte Packungen |
| 3.3.1 | Apotheke | zur Bereitstellung von verschreibungspflichtigen Arzneimitteln für Patienten im Sinne des ersten Abschnitts ApoG | 4,65 Mio/Jahr | abgegebene Packungen |
| 4. | Laboratoriumsdiagnostik (Dienstleistung) | |||
| 4.1 | Labor | für medizinische labordiagnostische Verfahren für Diagnose und Therapiekontrolle in der Humanmedizin und fachärztliche Befundung | 1,5 Mio/Jahr | Aufträge |
| 4.2 | Laborinformationsverbund | Verbund von Anlagen, Systemen für IT-Dienstleistungen für Labore, insb. Steuerung Probentransport, Auftragseingang, Befundübermittlung, Laborinformationssystem (LIS) | 1,5 Mio/Jahr | Kumulierte Aufträge im Verbund |
Schwellenwerte
Die Schwellenwerte von KRITIS-Anlagen sind pro Sektor in der KRITIS-Verordnung definiert.
Stationäre medizinische Versorgung
Der Schwellenwert für Krankenhäuser (1.1) ist die vollstationäre Fallzahl:
- 30 Tsd./Jahr vollstationäre Fallzahl
Medizinprodukte
Der Schwellenwert für die Produktion und Abgabe (2.1.1 und 2.2.1) berechnet sich aus der angenommenen durchschnittlichen Ausgabe von 181,36 EUR Medizinprodukte pro Person pro Jahr für 500.000 versorgte Personen:
- 90,68 Mio. EUR Umsatz pro Jahr
Arzneien und Blut/Plasma
Der Schwellenwert für die Produktion, Weiterverarbeitung, Lagerung, Vertrieb und Apotheken (3.1.1 bis 3.3.1) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 9,3 Packungen verschreibungspflichtiger Arzneimitteln und 0,068 Einheiten hergestellten Erythrozyten-Konzentrats, Thrombozyten-Konzentrats und Plasmas zur Transfusion pro Person pro Jahr für 500.000 versorgte Personen:
- 4,65 Mio. Packungen verschreibungspflichtige Arzneimittel pro Jahr
- 34 Tsd. Einheiten Erythrozytenkonzentrats, Thrombozytenkonzentrats und Plasmas Jahr
Labormedizin
Der Schwellenwert für den Transport, Kommunikation und Labore (4.1 bis 4.2) berechnet sich aus durchschnittlich angenommenen drei labormedizinischen Untersuchungen pro Person pro Jahr für 500.000 versorgte Personen:
- 1,5 Mio. Aufträge für labormedizinische Untersuchungen pro Jahr
Fristen
Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.
NIS2
Einrichtungen
Mit NIS2 sind viele Unternehmen als Einrichtungen betroffen, die im NIS2-Umsetzungsgesetz im Anhang separat definiert sind. Betroffen sind jeweils ganze Unternehmen: Großunternehmen als besonders wichtige Einrichtung, mittlere Unternehmen als wichtige Einrichtung.
| Nr. | Teilsektor | Einrichtungsart† | Besonderheit |
|---|---|---|---|
| Gesundheit (Sektor, Anlage 1) | |||
| 4.1.1 | Erbringer Gesundheitsdienstleistungen | ||
| 4.1.2 | EU-Referenzlaboratorien | im Sinne Art. 15 (EU) 2022/2371 | |
| 4.1.3 | Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel | im Sinne §2 AMG | |
| 4.1.4 | Herstellung pharmazeutische Erzeugnisse (NACE C 21) |
| |
| 4.1.5 | Herstellung von Medizinprodukten Medizinprodukte für Notlagen kritisch | im Sinne Art. 22 (EU) 2022/123 Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit |
|
Regulierung und Standards
Gesetze im Gesundheitssektor
Für Betreiber von Krankenhäusern bestehen neben KRITIS und NIS2 weitere Vorgaben, die die IT-Sicherheit regeln.
Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG)
Folgt
SGB V
Die §§ 75b und 75c (IT-Sicherheit in der vertrags[zahn]ärztlichen Versorgung und in Krankenhäusern) wurden durch das DigiG aufgehoben.
KHZG
Durch das Krankenhauszukunftsgesetz wird seit Ende 2021 das Zukunftsprogramm Krankenhäuser vom Bund umgesetzt, mit dem durch den Krankenhauszukunftsfonds (KHZF) Investitionen von Krankenhäusern in Digitalisierung gefördert werden. Die Förderung betrifft unter anderem Cyber Security in Krankenhäusern in folgenden Themenfeldern:
- Krankenhäuser, die Kritische Infrastrukturen nach der KritisV sind:
- KRITIS-Maßnahmen: Anpassung der IT von Krankenhäusern für die Vorgaben von §8a BSIG durch IT- und KT-Systeme, Anlagen und Prozesse
- Nach §12a (1) 4 Nr. 3 KHG i.V.m. §11 (1) Nr. 4 a KHSFV
- Krankenhäuser, die nicht KRITIS sind:
- Prävention: Sicherheitsmanagement (ISMS), VPN, NAC, Firewalls, Zonierung, IPS etc.
- Detektion: SOC, SIEM, Logging, IDS, Malware-Schutz etc.
- Mitigation: Backup, lokaler Malware-Schutz etc.
- Awareness: Kampagnen, Risikoanalysen, Schulungen etc.
- Nach §19 (1) 10 KHSFV und Fördertatbestand 10 in der Förderrichtlinie nach §21 Abs. 2 KHSFV.
Branchenstandards
Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.
B3S
- Informationssicherheit im Krankenhaus - Branchenspezifischer Sicherheitsstandard (B3S), DGK, Version 1.2, Webseite der DKG (gültig bis Januar 2025)
- Branchenspezifischer Sicherheitsstandard für die Laboratoriumsdiagnostik, ALM, Webseite des BSI, Version 1.1 (nicht mehr gültig)
Industrienormen
- Krankenhäuser als kritische Infrastrukturen -Umsetzungshinweise, DKG, 19.12.2017
Weitere Informationen
Literatur
- CSIRT Capabilities in Healthcare Sector, European Union Agency for Cybersecurity, November 2021
- ENISA-Studie Cloud Security for Healthcare Services, European Union Agency for Cybersecurity, Januar 2021
- ENISA-Procurement Guidelines for Cybersecurity in Hospitals, European Union Agency for Cybersecurity, Februar 2020
- Krankenhauszukunftsgesetz für die Digitalisierung von Krankenhäusern, Bundesministerium für Gesundheit, 7.12.2020
- Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens, Effiziente Versorgung im Gesundheitswesen, Bundesministerium für Gesundheit, 14.12.2023
- Richtlinie zur Förderung von Vorhaben zur Digitalisierung der Prozesse und Strukturen, Bundesamt für soziale Sicherung, 03.05.2021
Quellen
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
- Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Artikel 2 des Gesetzes vom 23. Oktober 2020 (BGBl. I S. 2220) geändert worden ist
- Gesetz über den Verkehr mit Arzneimitteln (Arzneimittelgesetz - AMG) in der Fassung der Bekanntmachung vom 12. Dezember 2005 (BGBl. I S. 3394), das zuletzt durch Artikel 2 Absatz 1 des Gesetzes vom 25. Juni 2020 (BGBl. I S. 1474) geändert worden ist
- Gesetz über das Apothekenwesen (Apothekengesetz - ApoG) in der Fassung der Bekanntmachung vom 15. Oktober 1980 (BGBl. I S. 1993), das zuletzt durch Artikel 2 des Gesetzes vom 14. Oktober 2020 (BGBl. I S. 2115) geändert worden ist
- Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz — DigiG) vom 22. März 2024