IT-Sicherheit

IT-Gesetz verschärft Anforderungen für Kritis-Kliniken

  • News des Tages
IT-Gesetz verschärft Anforderungen für Kritis-Kliniken
© pixabay/thedigitalartist

Die Bundesregierung hat den von Bundesinnenminister Horst Seehofer vorgelegten Entwurf des IT-Sicherheitsgesetzes 2.0 beschlossen. Das Gesetz regelt unter anderem den Schutz der Bundesverwaltung, kritischer Infrastrukturen (Kritis), von Unternehmen im besonderen öffentlichen Interesse. Der Bundestag muss dem Gesetzentwurf noch zustimmen.

Betreiber kritischer Infrastrukturen werden verpflichtet, Systeme zur Angriffserkennung einzusetzen. Das heißt: Rund 90 Krankenhäuser fallen unter die Kritis-Definition, weil sie mehr als 30.000 vollstationäre Fälle pro Jahr haben. Sie müssen nun sogenannte Intrusion Detection Systemen (IDS) einrichten, wenn sie noch keine haben. Dafür haben sie ein Jahr Zeit: Die Verpflichtung zur Einrichtung entsprechender Systeme besteht ab dem 1. Januar 2022.

DKG fordert Übergangsfrist von zwei Jahren

Die Deutsche Krankenhausgesellschaft (DKG) kritisiert das. Angesichts der Kürze der Zeit bestünde für die Kliniken "aktuell aufgrund der Corona-Pandemie sowie der massiven Digitalisierungsbestrebungen im Kontext der Telematikinfrastruktur (die seitens des BSI gesondert begleitet wird) ein erheblicher Handlungsdruck, der zu einer schlichten Überforderung der Krankenhäuser" führen könnte. Die Herausforderungen betreffen nicht allein die Investitionen - eine Möglichkeiten zur Förderung nach dem Krankenhauszukunftsgesetz (KHZG) besteht, jedoch sind Kritis-Krankenhäuser davon ausgenommen -, sondern auch Betrieb, Personal und Organisation. Die DKG fordert daher eine Übergangsfrist von mindestens zwei Jahren. 

Weiter kritisiert die DKG, die verpflichtende Protokollierung von Ereignisdaten über einen Zeitraum von vier Jahren. Damit werde den Betreibern kritischer Infrastrukturen ein unverhältnismäßiger Aufwand für die Unterstützung der Strafverfolgungsbehörden auferlegt. Sie fordert: "Die Vorhaltung von Protokollierungsdaten sollte im Normalfall auf drei Monate beschränkt sein. In potenziellen Detektionsfällen sollten diese Daten über einen Zeitraum von maximal ein Jahr aufbewahrt werden müssen."

Darüber hinaus würden mit einzelnen Regelungen bewusst nationale Regelungen ohne europäisches Pendant verfolgt, so die DKG, "was im günstigsten Fall Wettbewerbsnachteile für den Standort Deutschland nach sich ziehen, im ungünstigsten Fall zu einer nachträglich notwendig werdenden Harmonisierung mit der auf europäischer Ebene maßgeblichen Netzwerk- und Informationssicherheits-Richtlinie (NIS-RL) führen könnte".

 

Autor

 Christina Spies

Abonnieren Sie unseren Newsletter

Mit unserem täglichen Newsletter informieren wir bereits rund 10.000 Empfänger über alle wichtigen Meldungen aus den Krankenhäusern und der Gesundheitsbranche

Kontakt zum Kundenservice

Rufen Sie an: 0 56 61 / 73 44-0
Mo - Fr 08:00 bis 17:00 Uhr

Senden Sie uns eine E-Mail:
info@bibliomedmanager.de

Häufige Fragen und Antworten finden Sie im Hilfe-Bereich