KRITIS-Sektor Gesundheit

Im KRITIS-Sektor Gesundheit erbringen KRITIS-Betreiber vier kritische Dienstleistungen zur medizinischen Versorgung der Allgemeinheit — von Krankenhäusern bis zur Versorgung mit Arzneien und medizinischen Laboren.

  1. Stationäre medizinische Versorgung: Aufnahme, Diagnose, Therapie, Unterbringung in Krankenhäusern
  2. Versorgung mit lebenserhaltenden Medizinprodukten: Herstellung und Abgabe
  3. Versorgung mit Arzneien und Blut/Plasma: Herstellung, Vertrieb und Abgabe von verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten
  4. Laboratoriumsdiagnostik: Transport und Analytik in Laboren

Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie KRITIS-Betreiber.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

Mit der KRITIS-Verordnung 2021 ändern sich die Anlagen und Schwellenwerte im Sektor:

  1. Versorgung mit Arzneien: Die Anlage Entnahme und Weiter­verarbeitung von Blut­spenden wird durch Blut- oder Plasmaspenden­steuerung ersetzt, Schwellenwert bleibt.
  2. Laboren: Die neue Anlage Laborinformations­verbund ersetzt das Transportsystem und Kommunikations­system für Aufträge und Befunde — der Verbund steuert mit IT-Dienst­leistungen Probentransport, Kommunikation und das Laborinformations­system (LIS).
IT-SiG 2.0

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

KRITIS-Betreiber unterliegen der KRITIS-Regulierung mit Pflichten für IT-Sicherheit:

  1. Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
  2. Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
  3. KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
  4. KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
  5. Cyber Security in KRITIS: Technische und organisatorische Maßnahmen zum Management von IT-Sicherheit (ISMS), Risiken, Kontinuität (BCMS) und Technologien
  6. KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfungen nachweisen

up

Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Gesundheit definiert.

aus BSI-KritisV August 2021, Anhang 5
Änderungen 2021 unterstrichen, Streichungen durchgestrichen.
Nr. Anlage Beschreibung Schwellenwert
1.
Stationäre medizinische Versorgung (Dienstleistung)
1.1 Krankenhaus nach §108 SGB 5 30 Tsd./Jahrvollstationäre Fallzahl
2.
Versorgung mit lebenserhaltenden Medizinprodukten (Dienstleistung)
2.1.1 Produktionsstätte von Medizinprodukten für Beatmung/Tracheostomie, parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1 90,68 Mio. EUR/JahrUmsatz
2.2.1 Abgabestelle von Medizinprodukten für Beatmung/Tracheostomie, parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes Typ 1 90,68 Mio. EUR/JahrUmsatz
3.
Versorgung mit Arzneien und Blut/Plasma (Dienstleistung)
3.1.1 Produktionsstätte mit Herstellungserlaubnis nach §13 AMG, für Hilfsstoffe, -materialien, Wirkstoffe zu verschreibungs­pflichtigen Arznei­mitteln zur Anwendung im oder am menschlichen Körper nach §48 AMG 4,65 Mio/Jahrin Verkehr gebrachte Packungen
3.1.2 Blut- oder Plasmaspendensteuerung zentrales IT-System zur Steuerung und Verwaltung von Blutspende-Einrichtungen oder Herstellungs-Einheiten 34 Tsd./Jahrhergestellte oder in Verkehr gebrachte Produkte
3.2.1 Betriebs- und Lagerraum zur kurzzeitigen Lagerung verschreibungs­pflichtiger Arzneimittel, Blutspenden, Blut- und Plasma­derivate; sowie zur Weiter­verarbeitung oder Aufbereitung von Blut/Plasma zur Anwendung im/am menschlichen Körper 4,65 Mio/Jahrumgeschlagene Packungen
3.2.2 Vertrieb von verschreibungspflichtigen Arzneimitteln zentrales Logistik­management­system für Vertrieb, Disposition verschreibungs­pflichtiger Arznei­mitteln zur Anwendung im/am menschlichen Körper. 4,65 Mio/Jahrtransportierte Packungen
3.3.1 Apotheke zur Bereitstellung von verschreibungs­pflichtigen Arzneimitteln für Patienten im Sinne des ersten Abschnitts ApoG 4,65 Mio/Jahrabgegebene Packungen
4.
Laboratoriumsdiagnostik (Dienstleistung)
4.1 Labor für medizinische labor­diagnostische Verfahren für Diagnose und Therapie­kontrolle in der Humanmedizin und fachärztliche Befundung 1,5 Mio/JahrAufträge
4.2
neu
Laborinformationsverbund Verbund von Anlagen, Systemen für IT-Dienstleistungen für Labore, insb. Steuerung Proben­transport, Auftragseingang, Befund­übermittlung, Labor­informationssystem (LIS) 1,5 Mio/JahrKumulierte Aufträge im Verbund
Entfallene Anlagen
entfällt Transportsystem Steuerung des physischen Proben- und Auftrags­transports zwischen Auftraggeber und Labor 1,5 Mio/JahrAufträge der Labore in der Gruppe
entfällt Kommunikationssystem zur Auftrags- oder Befundübermittlung Übermittlung von Befundungs­ergebnissen zwischen Auftraggeber und Labor 1,5 Mio/JahrAufträge

up

Schwellenwerte

Die Schwellenwerte im Sektor Gesundheit berechnen sich wie folgt.

Stationäre medizinische Versorgung

Der Schwellenwert für Krankenhäuser (1.1) ist die vollstationäre Fallzahl:

Medizinprodukte

Der Schwellenwert für die Produktion und Abgabe (2.1.1 und 2.2.1) berechnet sich aus der angenommenen durchschnittlichen Ausgabe von 181,36 EUR Medizinprodukte pro Person pro Jahr für 500.000 versorgte Personen:

Arzneien und Blut/Plasma

Der Schwellenwert für die Produktion, Weiterverarbeitung, Lagerung, Vertrieb und Apotheken (3.1.1 bis 3.3.1) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 9,3 Packungen verschreibungspflichtiger Arzneimitteln und 0,068 Einheiten hergestellten Erythrozyten-Konzentrats, Thrombozyten-Konzentrats und Plasmas zur Transfusion pro Person pro Jahr für 500.000 versorgte Personen:

Labormedizin

Der Schwellenwert für den Transport, Kommunikation und Labore (4.1 bis 4.2) berechnet sich aus durchschnittlich angenommenen drei labormedizinischen Untersuchungen pro Person pro Jahr für 500.000 versorgte Personen:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

Regulierung und Standards

Weitere Gesetze

SGB V

Mit dem seit 2020 neuen §75c SGB V (IT-Sicherheit in Krankenhäusern) besteht für alle Krankenhäuser die Pflicht, angemessene IT-Sicherheits-Maßnahmen nach Stand der Technik umzusetzen.

KHZG

Durch das Krankenhaus­zukunftsgesetz wird seit Ende 2021 das Zukunftsprogramm Krankenhäuser vom Bund umgesetzt, mit dem durch den Krankenhaus­zukunftsfonds (KHZF) Investitionen von Krankenhäusern in Digitalisierung gefördert werden. Die Förderung betrifft unter anderem Cyber Security in Krankenhäusern in folgenden Themenfeldern:

  1. Krankenhäuser, die Kritische Infrastrukturen nach der KritisV sind:
  2. Krankenhäuser, die nicht KRITIS sind:
    • Prävention: Sicherheits­management (ISMS), VPN, NAC, Firewalls, Zonierung, IPS etc.
    • Detektion: SOC, SIEM, Logging, IDS, Malware-Schutz etc.
    • Mitigation: Backup, lokaler Malware-Schutz etc.
    • Awareness: Kampagnen, Risikoanalysen, Schulungen etc.
    • Nach §19 (1) 10 KHSFV und Fördertatbestand 10 in der Förderrichtlinie nach §21 Abs. 2 KHSFV.

Branchenstandards

Eine Auswahl weiterer KRITIS-relevanter Security Standards im Sektor.

B3S

  1. Branchen­spezifischer Sicherheits­standard für die Gesundheitsversorgung im Krankenhaus, DKG, Version 1.1, 22.10.2019
  2. Branchen­spezifischer Sicherheits­standard für die Gesundheitsversorgung im Krankenhaus, DKG, Webseite des BSI, Version 2019?
  3. Branchen­spezifischer Sicherheits­standard Pharma, diverse Verbände, Webseite des BSI, Version 2019?
  4. Branchen­spezifischer Sicherheits­standard für die Laboratoriums­diagnostik, ALM, Webseite des BSI, Version 2019?

Industrienormen

  1. Krankenhäuser als kritische Infrastrukturen -Umsetzungshinweise, DKG, 19.12.2017

up

Weitere Informationen

Literatur

  1. CSIRT Capabilities in Healthcare Sector, European Union Agency for Cybersecurity, November 2021
  2. ENISA-Studie Cloud Security for Healthcare Services, European Union Agency for Cybersecurity, Januar 2021
  3. ENISA-Procurement Guidelines for Cybersecurity in Hospitals, European Union Agency for Cybersecurity, Februar 2020
  4. Der neue § 75c SGB V, Anforderungen an die Informationssicherheit in Krankenhäusern, das Krankenhaus 4.2021
  5. Krankenhaus­zukunftsgesetz für die Digitalisierung von Krankenhäusern, Bundesministerium für Gesundheit, 7.12.2020
  6. Richtlinie zur Förderung von Vorhaben zur Digitalisierung der Prozesse und Strukturen, Bundesamt für soziale Sicherung, 03.05.2021

Quellen

  1. BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
  2. Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Artikel 2 des Gesetzes vom 23. Oktober 2020 (BGBl. I S. 2220) geändert worden ist
  3. Gesetz über den Verkehr mit Arzneimitteln (Arzneimittelgesetz - AMG) in der Fassung der Bekanntmachung vom 12. Dezember 2005 (BGBl. I S. 3394), das zuletzt durch Artikel 2 Absatz 1 des Gesetzes vom 25. Juni 2020 (BGBl. I S. 1474) geändert worden ist
  4. Gesetz über das Apothekenwesen (Apothekengesetz - ApoG) in der Fassung der Bekanntmachung vom 15. Oktober 1980 (BGBl. I S. 1993), das zuletzt durch Artikel 2 des Gesetzes vom 14. Oktober 2020 (BGBl. I S. 2115) geändert worden ist