KRITIS-Sektor Gesundheit

Im KRITIS-Sektor Gesundheit erbringen KRITIS-Betreiber vier kritische Dienstleistungen zur medizinischen Versorgung der Allgemeinheit — von Krankenhäusern bis zur Versorgung mit Arzneien und medizinischen Laboren.

  1. Stationäre medizinische Versorgung: Aufnahme, Diagnose, Therapie, Unterbringung/Pflege und Entlassung in Krankenhäusern
  2. Versorgung mit lebenserhaltenden Medizinprodukten: Herstellung und Abgabe von Medizinprodukten
  3. Versorgung mit Arzneien und Blut/Plasma: Herstellung, Vertrieb und Abgabe von verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten
  4. Laboratoriumsdiagnostik: Transport und Analytik in Laboren

Erbringt ein Betreiber im Sektor diese kritischen Dienstleistungen in eigenen Anlagen und überschreitet dabei Schwellenwerte von 500 Tsd. versorgten Personen, wird er zum KRITIS-Betreiber. Die Anlagen und Schwellenwerte im Sektor sind unten aufgelistet.

KRITIS-Betreiber

Änderungen IT-Sicherheitsgesetz 2.0

2.0 Mit dem Entwurf der neuen KRITIS-Verordnung 2.0 ändern sich die Definitionen der Anlagen und Schwellenwerte im Sektor wahrscheinlich:

  1. Versorgung mit Arzneien: Die Anlage Entnahme und Weiter­verarbeitung von Blut­spenden wird durch Blut- oder Plasmaspenden­steuerung ersetzt, Schwellenwert bleibt.
  2. Laboren: Die neue Anlage Laborinformations­verbund ersetzt das Transportsystem und Kommunikations­system für Aufträge und Befunde — der Verbund steuert mit IT-Dienst­leistungen Probentransport, Kommunikation und das Laborinformations­system (LIS).
IT-SiG 2.0

DE Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

Pflichten als Kritische Infrastruktur

Unternehmen, die mit ihren Anlagen die definierten Schwellenwerte als Kritische Infrastruktur überschreiten, fallen als KRITIS-Betreiber unter die KRITIS-Regulierung und unterliegen dann einer Fülle von Cyber Security Pflichten:

  1. Identifikation KRITIS-Anlagen: Betreiber müssen sich selbst als KRITIS identifizieren.
  2. Registrierung als KRITIS: Meldung der KRITIS-Anlagen und Registrierung beim BSI
  3. KRITIS-Meldepflichten: Informationen zu IT-Störungen, Angriffen und Vorfällen ans BSI
  4. KRITIS-Geltungsbereich: KRITIS-Anlagen definieren und Scope im Unternehmen festlegen
  5. Cyber Security in KRITIS: Technische und organisatorische Maßnahmen zum Management von IT-Sicherheit (ISMS), Risiken, Kontinuität (BCMS) und Technologien
  6. KRITIS-Prüfungen: Umsetzung der Cyber Security Maßnahmen durch Prüfungen nachweisen

up

Anlagen

Die folgenden KRITIS-Anlagen sind im Sektor Gesundheit in den vier Dienstleistungen definiert.

aus BSI-KritisV Stand Juni 2017, Anhang 5, S.16-19
Nr. Anlage Beschreibung Schwellenwert
1. Stationäre medizinische Versorgung (Dienstleistung)
1.1 Krankenhaus nach §108 SGB 5 30 Tsd./Jahrvollstationäre Fallzahl
2. Versorgung mit lebenserhaltenden Medizinprodukten (Dienstleistung)
2.1.1 Produktionsstätte von Medizinprodukten für Beatmung/Tracheostomie, parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes - Typ 1 90,68 Mio. EUR/JahrUmsatz
2.2.1 Abgabestelle von Medizinprodukten für Beatmung/Tracheostomie, parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes - Typ 1 90,68 Mio. EUR/JahrUmsatz
3. Versorgung mit Arzneien und Blut/Plasma (Dienstleistung)
3.1.1 Produktionsstätte mit Herstellungserlaubnis nach §13 AMG, für Hilfsstoffe/-materialien, Wirkstoffe zu verschreibungs-pflichtigen Arzneimitteln zur Anwendung im oder am menschlichen Körper nach §48 AMG 4,65 Mio/Jahrin Verkehr gebrachte Packungen
3.1.2 Entnahme und Weiterverarbeitung von Blutspenden zentrales IT-System zur Steuerung und Verwaltung von Blutspende-Einrichtungen oder Herstellungs-Einheiten 34 Tsd./Jahrhergestellte oder in Verkehr gebrachte Produkte
3.2.1 Betriebs- und Lagerraum zur kurzzeitigen Lagerung verschreibungs-pflichtiger Arzneimittel, Blutspenden, Blut- und Plasmaderivate; sowie zur Weiterverarbeitung oder Aufbereitung von Blut/Plasma zur Anwendung im/am menschlichen Körper 4,65 Mio/Jahrumgeschlagene Packungen
3.2.2 Vertrieb von verschreibungspflichtigen Arzneimitteln zentrales Logistikmanagementsystem für Vertrieb/Disposition verschreibungs-pflichtiger Arzneimitteln zur Anwendung im/am menschlichen Körper. 4,65 Mio/Jahrtransportierte Packungen
3.3.1 Apotheke zur Bereitstellung von verschreibungs-pflichtigen Arzneimitteln für Patienten im Sinne des ersten Abschnitts ApoG 4,65 Mio/Jahrabgegebene Packungen
4. Laboratoriumsdiagnostik (Dienstleistung)
4.1.1 Transportsystem Steuerung des physischen Proben- und Auftragstransports zwischen Auftraggeber und Labor 1,5 Mio/JahrAufträge der Labore in der Gruppe
4.1.2 Kommunikationssystem zur Auftrags- oder Befundübermittlung Übermittlung von Befundungsergebnissen zwischen Auftraggeber und Labor 1,5 Mio/JahrAufträge
4.2.1 Labor für medizinische labordiagnostische Verfahren für Diagnose und Therapiekontrolle in der Humanmedizin und fachärztliche Befundung 1,5 Mio/JahrAufträge

up

Schwellenwerte

Die Schwellenwerte im Sektor Gesundheit berechnen sich wie folgt.

Stationäre medizinische Versorgung

Der Schwellenwert für Krankenhäuser (1.1) ist die vollstationäre Fallzahl:

Medizinprodukte

Der Schwellenwert für die Produktion und Abgabe (2.1.1 und 2.2.1) berechnet sich aus der angenommenen durchschnittlichen Ausgabe von 181,36 EUR Medizinprodukte pro Person pro Jahr für 500.000 versorgte Personen:

Arzneien und Blut/Plasma

Der Schwellenwert für die Produktion, Weiterverarbeitung, Lagerung, Vertrieb und Apotheken (3.1.1 bis 3.3.1) berechnet sich aus dem angenommenen Durchschnittsverbrauch von 9,3 Packungen verschreibungspflichtiger Arzneimitteln und 0,068 Einheiten hergestellten Erythrozyten-Konzentrats, Thrombozyten-Konzentrats und Plasmas zur Transfusion pro Person pro Jahr für 500.000 versorgte Personen:

Labormedizin

Der Schwellenwert für den Transport, Kommunikation und Labore (4.1.1 bis 4.2.1) berechnet sich aus durchschnittlich angenommenen drei labormedizinischen Untersuchungen pro Person pro Jahr für 500.000 versorgte Personen:

Fristen

Betreiber müssen das Überschreiten von Schwellenwerten in einem Jahr bis zum 31. März des Folgejahrs ermitteln und die Anlage zum 1. April als Kritische Infrastruktur registrieren.

up

Weitere Regulierung

Unternehmen im Gesundheitssektor fallen neben der KRITIS-Regulierung unter weitere IT-Sicherheit- und Cyber Security Regulierung.

Dieser Abschnitt ist in Arbeit

SGB V

Mit dem seit 2020 neuen §75c SGB V (IT-Sicherheit in Krankenhäusern) besteht für alle Krankenhäuser die Pflicht, angemessene IT-Sicherheits-Maßnahmen nach Stand der Technik umzusetzen.

Betroffenheit

Von der Regelung betroffen sind alle Krankenhäuser, sofern sie nicht schon KRITIS-Betreiber (mit über 30 Tsd. Fällen pro Jahr) sind.

Pflichten

Ab dem 1. Januar 2022 müssen alle Krankenhäuser angemessene organisatorische und technische Vorkehrungen nach Stand der Technik umsetzen, um Störungen zu vermeiden sowie die Sicherheit der IT, Komponenten und Prozesse zu schützen, die für das Krankenhaus sowie die Patienteninformationen maßgeblich sind.

Stand der Technik

Die betroffene IT muss alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Dabei können Krankenhäser auf einen vom BSI freigegebenemn B3S Branchenstandard zurückgreifen (siehe unten).

KHZG

Durch das Krankenhaus­zukunftsgesetz wird seit Ende 2021 das Zukunftsprogramm Krankenhäuser vom Bund umgesetzt, mit dem durch den Krankenhaus­zukunftsfonds (KHZF) Investitionen von Krankenhäusern in Digitalisierung gefördert werden. Die Förderung betrifft unter anderem Cyber Security in Krankenhäusern in folgenden Themenfeldern:

1. Krankenhäuser, die Kritische Infrastrukturen nach der KritisV sind:

2. Krankenhäuser, die nicht KRITIS sind:

up

Weitere Informationen

Literatur

  1. Krankenhäuser als kritische Infrastrukturen -Umsetzungshinweise, DKG, 19.12.2017
  2. ENISA-Studie Cloud Security for Healthcare Services, European Union Agency for Cybersecurity, Januar 2021
  3. ENISA-Procurement Guidelines for Cybersecurity in Hospitals, European Union Agency for Cybersecurity, Februar 2020
  4. Der neue § 75c SGB V, Anforderungen an die Informationssicherheit in Krankenhäusern, das Krankenhaus 4.2021
  5. Krankenhaus­zukunftsgesetz für die Digitalisierung von Krankenhäusern, Bundesministerium für Gesundheit, 7.12.2020
  6. Richtlinie zur Förderung von Vorhaben zur Digitalisierung der Prozesse und Strukturen, Bundesamt für soziale Sicherung, 03.05.2021

Branchenstandards

Für den Sektor Gesundheit gibt es branchenspezifische Sicherheitsstandards (B3S):

  1. Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus, DKG, Version 1.1, 22.10.2019
  2. Branchenspezifischer Sicherheitsstandard Pharma, Webseite des BSI
  3. Branchenspezifischer Sicherheitsstandard für die Laboratoriumsdiagnostik

Quellen

  1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  2. Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Artikel 2 des Gesetzes vom 23. Oktober 2020 (BGBl. I S. 2220) geändert worden ist
  3. Gesetz über den Verkehr mit Arzneimitteln (Arzneimittelgesetz - AMG) in der Fassung der Bekanntmachung vom 12. Dezember 2005 (BGBl. I S. 3394), das zuletzt durch Artikel 2 Absatz 1 des Gesetzes vom 25. Juni 2020 (BGBl. I S. 1474) geändert worden ist
  4. Gesetz über das Apothekenwesen (Apothekengesetz - ApoG) in der Fassung der Bekanntmachung vom 15. Oktober 1980 (BGBl. I S. 1993), das zuletzt durch Artikel 2 des Gesetzes vom 14. Oktober 2020 (BGBl. I S. 2115) geändert worden ist