08012 Resilienz und IT-Sicherheit im Krankenhaus 2025
|
Der Beitrag stellt die für 2025 wichtigsten Gesetzesstände und Standards bezüglich IT-Sicherheit in Krankenhäusern vor und fasst sie in Kernaussagen zusammen. Der EU-Aktionsplan zur Stärkung der Resilienz beim Thema Cybersicherheit im Gesundheitswesen wird beschrieben. von: |
Im Bereich der Cybersicherheit gibt es aktuell einige wichtige Entwicklungen bei Gesetzen und Standards, besonders für kritische Infrastrukturen (KRITIS), zu denen auch Krankenhäuser zählen.
1 Stand der Gesetzgebung
| 1. | KRITIS-Dachgesetz: Ein geplantes Gesetz, das die Sicherheit wichtiger Infrastrukturen regeln sollte, hat im Parlament keine Mehrheit gefunden und konnte in der letzten Legislaturperiode nicht verabschiedet werden. Es wird aber erwartet, dass ein erneuter Versuch mit einem ähnlichen Entwurf unternommen wird, da dieser stark an die europäische CER-Richtlinie angelehnt war. Inhaltliche Änderungen wesentlicher Art sind daher unwahrscheinlich. |
| 2. | NIS-2-Umsetzungsgesetz (NIS2UmsuCG): Auch dieses Gesetz, das die europäische NIS-2-Richtlinie in deutsches Recht umsetzen soll, wurde vor Ende der Legislaturperiode nicht mehr beschlossen. Das bedeutet, die bisherigen Regeln bleiben vorerst gültig, insbesondere der zweijährige Prüfzyklus nach § 8a BSIG (BSI-Gesetz). Es ist wahrscheinlich, dass die nächste Regierung dieses Gesetzgebungsverfahren ebenfalls wieder aufgreifen und sich dabei am letzten bekannten Entwurf orientieren wird. |
2 Branchensicherheitsstandard (B3S) für Krankenhäuser
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Deutsche Krankenhausgesellschaft (DKG) beraten 2025 erneut über die Anpassungen des Branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser.
| • | Aktueller Status: Die Version 1.2 des B3S ist vom BSI bis Januar 2025 als geeignet erklärt worden. Auch nach diesem Datum kann Version 1.2 in Absprache mit dem BSI für Prüfungen im Jahr 2025 weitergenutzt werden, solange die nächste Version in Arbeit ist und noch nicht abschließend bewertet wurde. |
| • | Hintergrund der Verzögerung: Die Einreichung der nächsten B3S-Version hat sich verzögert. Ein Grund dafür ist der Abgleich mit den branchenübergreifenden „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)” des BSI. Es wird geklärt, wie die allgemeinen Anforderungen aus RUN und den „Konkretisierungen der KRITIS-Anforderungen” im B3S spezifisch für Krankenhäuser umgesetzt werden. Ziel ist es, Klarheit darüber zu schaffen, wie die RUN/KdA-Anforderungen in der Branche „Medizinische Versorgung” konkret abgebildet sind. |
| • | Übergangsregelung: Da viele Prüfungen für 2025 bereits beauftragt oder geplant sind und die Überarbeitung des B3S noch nicht abgeschlossen ist, können Krankenhäuser in Abstimmung zwischen DKG und BSI die Version 1.2 des B3S auch über den 1. April 2025 hinaus für ihre geplanten Prüfungen verwenden, bis die Folgeversion offiziell als geeignet erklärt wird. |
Abbildung 1 stellt vereinfacht die Schwerpunkte Resilienz und IT-Sicherheit für 2025 dar.
3 Kernaussagen für 2025
| • | Wichtige Cybersicherheitsgesetze (KRITIS-Dachgesetz, NIS2UmsuCG) wurden nicht verabschiedet, werden aber voraussichtlich bald mit ähnlichem Inhalt wieder aufgegriffen. |
| • | Der branchenspezifische Sicherheitsstandard (B3S) für Krankenhäuser wird überarbeitet; die aktuelle Version 1.2 kann übergangsweise weiterverwendet werden. |
| • | Ziel ist es, klare Regeln und Standards für die Cybersicherheit in kritischen Infrastrukturen wie Krankenhäusern zu schaffen und an europäische Vorgaben anzupassen. |
Weiterführende Links
| • | |
| • | |
| • | AG Kritis: Referentenentwurf des BMI: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG (24.06.2025) |
4 EU-Aktionsplan: Stärkung der Cyberresilienz im Gesundheitswesen
Im Januar 2025 hat die Europäische Kommission einen umfassenden Aktionsplan gestartet, um die Resilienz von Krankenhäusern und Gesundheitsdienstleistern beim Thema Cybersicherheit zu verbessern. Dieser Plan soll unsere Gesundheitssysteme besser schützen, da sie zunehmend zum Ziel von Cyber- und Ransomware-Angriffen werden. Der Aktionsplan konzentriert sich auf vier Hauptbereiche: