Patientendaten-Schutz-Gesetz und KHZG: Bald alle Krankenhäuser kritische Infrastrukturen?

Das Krankenhauszukunftsgesetz (KHZG) soll den Finanzierungsbedarf und Investitionsstau in den Krankenhäusern decken und einen starken Impuls zur Digitalisierung der Krankenhauslandschaft geben. In insgesamt elf Fördertatbeständen können bis 31.12.2021 Anträge eingereicht werden, wobei mindestens 15 % der Fördersumme, also 450 Mio Euro, in Informationssicherheit fließen müssen. Somit wird bei den geförderten Projekten Wert auf „Security by Design“ gelegt. Das Antragsverfahren ist mehrstufig: Je nach Fördertatbestand kann bzw. muss das förderwillige Krankenhaus einen geeigneten Projektpartner in die Ausarbeitung des Förderantrags einbeziehen. Dieser Projektpartner muss seine Befähigung nachweisen, indem die leitenden Mitarbeiter eine spezielle Schulung des Bundesamtes für soziale Sicherung durchlaufen und sich als „berechtigter IT-Dienstleister“ zertifizieren lassen. Die Schulung zum Krankenhauszukunftsfonds erfolgt vor allem für das komplizierte Antragsverfahren und ist auch für Projektbeteiligte auf Krankenhausseite empfehlenswert.

Nach der Ausarbeitung des Förderantrages wird dieser der entsprechenden Landesbehörde übermittelt. Diese prüft den Antrag und leitet diesen an das Bundesamt für Soziale Sicherung (BAS) weiter. Es werden 70 Prozent der förderfähigen Kosten übernommen. Bei einem positiven Bescheid durch das BAS ergeht dieser an das entsprechende Bundesland. Dieses erstellt einen eigenen Fördermittelbescheid an die beantragende Einrichtung, wobei aus eigenen Mitteln die Fördersumme ergänzt werden kann, sodass die übrigen 30 Prozent das Land, der Krankenhausträger oder beide zusammen übernehmen.

Als expliziten Fördertatbestand ist hier die „IT-Sicherheit“ zu nennen, auf die näher eingehen werden soll:

Fördertatbestand 10: IT-Sicherheit (§ 19 KHSFV Absatz 1 Satz 1 Nr. 10 KHSFV): Ziel ist es, die IT- bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) gehören sowie in Hochschulkliniken zu verbessern. Durch die zunehmende Digitalisierung und die damit verbundenen Prozesse sollen deshalb auch Krankenhäuser, die nicht zur kritischen Infrastruktur nach dem BSI-Gesetz (BSI-Kritisverordnung) gehören, berücksichtigt werden.

Es lohnt sich also an dieser Stelle das „Bundesamt für Sicherheit in der Informationstechnik – Gesetz“ (BSI-Gesetz) einzuführen. Dieses regelt die Aufgaben und Zuständigkeiten sowie die regulatorischen Kompetenzen des BSI. Weiterhin ergehen an die Betreiber kritischer Infrastrukturen umfangreiche Anforderungen. Diese Vorbereitungs- und Meldepflichten der Betreiber sind in §8a des BSI-G aufgespannt:

§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen

(1) Betreiber Kritischer Infrastrukturen sind verpflichtet […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

(2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. […]

(3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel.

(4) Das Bundesamt kann beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen nach Absatz 1 überprüfen; es kann sich bei der Durchführung der Überprüfung eines qualifizierten unabhängigen Dritten bedienen. […] Für die Überprüfung erhebt das Bundesamt Gebühren und Auslagen bei dem jeweiligen Betreiber Kritischer Infrastrukturen nur, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen nach Absatz 1 begründeten.

Es stellt sich also die Frage, was für Einrichtungen, Unternehmen oder Dienstleistungen Betreiber kritischer Infrastrukturen sind. Diese Definition gibt es erst seit 2009 durch die „KRITIS-Verordnung“.

Die kritischen Infrastrukturen werden in sog. „Sektoren“ aufgeteilt. Zu jedem Sektor werden Schwellwerte festgelegt, bei Überschreitung gilt der Betreiber als „kritische Infrastruktur“. Im Gesundheitssektor gilt der Schwellwert von 30.000 stationären Patientenbehandlungen pro Jahr.

Dieser Schwellwert wird vorwiegend von Unikliniken und größeren Krankenhäusern überschritten. Ein guter Schätzwert ist, dass nur ca. 20 % aller Krankenhäuser in Deutschland unter diese formale Regelung fallen – noch. Dazu später mehr. Grundsätzlich ist anzunehmen, dass durch die Evaluationen des IT-Sicherheitsgesetz und zunehmenden Cyberangriffen die Schwellwerte abgesenkt werden, um ein steigendes Schutzniveau sicherzustellen.

In jedem KRITIS-Sektor durch z.B. Branchenverbände kann ein branchenspezifischer Sicherheitsstandard (B3S) erarbeitet werden, der durch das BSI anerkannt werden kann. Im Sektor Gesundheit hat die Deutsche Krankenhausgesellschaft den „Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ aufgelegt, der Oktober 2019 anerkannt wurde.

Im Rahmen der Corona-Pandemie hat der Begriff „systemrelevant“ oder „systemrelevante Berufe“ Einzug genommen. Es ist anzumerken, dass dies eng mit den kritischen Infrastrukturen verwoben, jedoch nicht deckungsgleich ist. So sind – im Rahmen der Coronaschutz- oder -betreuungsverordnungen der Bundesländer – die Mitarbeitenden aller kritischen Infrastrukturen, unabhängig von den Schwellwerten, als systemrelevant deklariert. Die Einstufung als Systemrelevant ist umfassender und weitgreifender als die Definition der kritischen Infrastruktur und separat zu sehen. Nicht jeder systemrelevanter Beruf ist in einer kritischen Infrastruktur angesiedelt, aber alle Mitarbeitenden eines KRITIS-Betriebes sind systemrelevant.

Was sind weitere Anforderungen an Krankenhausinfrastrukturen? Im aktuellen Krankenhausgestaltungsgesetz NRW sind keine Vorgaben zu Krankenhausinfrastrukturen enthalten. In der Krankenhausbauverordnung der Bundesländer sind grobe Vorgaben zu einer Ersatzstromversorgung enthalten. Diese ist für einen Zeitraum von 24 Stunden auszulegen. Vorgaben zu einer Trinkwasserersatzversorgung oder Abwasser sind nicht vorhanden. Je nach Bundesland ist die Gültigkeit der Krankenhausbauverordnung ausgelaufen. Krankenhäuser, die in den Zeiten des kalten Krieges entworfen und gebaut wurden, sind mit Blick auf die Bedrohungslage häufig mit umfassenderen ausgelegten Versorgungsanlagen (Strom, teilweise Trinkwassernotbrunnen/Einspeisung) ausgestattet worden.

Was ändert sich?

Mit dem Patientendaten-Schutz-Gesetz (Oktober 2020) ist eine umfassende Regelung in Kraft getreten, die an vielen kleinen und größeren Stellschrauben in unterschiedlichster Gesetzgebung dreht. Ein Part davon ist die Aufnahme von §75c „IT-Sicherheit in Krankenhäusern“ in das fünfte Sozialgesetzbuch:

(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

Was passiert, wenn die Vorgaben nicht eingehalten werden?

Der Krankenhausbetrieb kann durch Ausfälle von Infrastrukturen teilweise oder vollständig zum Erliegen kommen, mit den entsprechenden medizinischen, finanziellen und reputativen Folgen. Grundsätzlich ist eine Nichtkonformität zu regulatorischen Vorgaben ein Unternehmensrisiko – bei kritischen Infrastrukturen sollten diese Vorgaben aber mit besonderem Bedacht umgesetzt werden. Ein Ausfall der Krankenhausinfrastruktur bedeutet nicht nur Umsatzausfälle, sondern auch ungeplante Kosten zur Schadensbewältigung und -behebung. Die sorgfältig aufgebaute Krankenhausreputation wird durch einen Ausfall und der damit einhergehenden intensiver lokaler, regionaler und überregionaler, anhaltender Akut- und Nachberichterstattung in Mitleidenschaft gezogen. Hier ist bedenkenswert, dass die Tonalität der Berichterstattung vom Grad der Patientengefährdung und der Vorsorge- und Bewältigungsstrategie abhängt. Insbesondere offensichtliche Versäumnisse in der Notfallvorsorge sorgen schnell für eine negative Berichterstattung mit entsprechendem spöttischem Echo in den sozialen Medien.

Bei Verstößen gegen die Vorgaben der KRITIS-Verordnung können je nach Verstoß größere Bußgelder ausgesprochen werden. Hier sind im neuen IT-Sicherheitsgesetz 2.0 die Möglichkeiten deutlich ausgeweitet worden und können bis zu 2-4 % des Jahresumsatzes betragen. Wird durch das Ereignis auch der Schutz personenbezogene (Patienten-)Daten verletzt, so können weitere Bußgelder folgen.

Was bedeutet das für mein Krankenhaus?

Wir empfehlen Ihnen, frühzeitig mit der Vorbereitung zu beginnen und sich einen geeigneten Partner zu suchen, der Sie bei der Erfüllung der Anforderungen unterstützt: