Rz. 3
Mit Abs. 1 Satz 1 der Vorschrift werden auch solche Krankenhäuser, die nicht zu denen gehören, für die die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Kritisverordnung – BSI-Kritis-V nach § 10 Abs. 1 des BSIG) gilt, mit Wirkung zum 1.1.2022 verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen ausschlaggebend sind.
Die Vorschrift gilt für alle kleineren Krankenhäuser, die nach § 109 einen Versorgungsvertrag haben, welcher sie berechtigt, die Versicherten der gesetzlichen Krankenversicherung zu behandeln. Auf Krankenhäuser, welche ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a BSIG angemessene technische Vorkehrungen zu treffen haben, findet die Vorschrift keine Anwendung. Privatkrankenhäuser, welche keinen Versorgungsvertrag nach § 109 haben, werden von der im SGB V stehenden Vorschrift ebenfalls nicht tangiert.
Die Formulierung "nach dem Stand der Technik" macht auch deutlich, dass die genannten Vorkehrungen nicht statisch sind, sondern sich der Weiterentwicklung der Technik anpassen müssen. Nach der Gesetzesbegründung sind die Krankenhäuser verpflichtet, auch nach der ersten Implementierung ihre IT-Systeme an den gültigen Stand der Technik bzw. den jeweils gültigen Standard anzupassen. Dies erfordern schon die Cyberangriffe, die nach Medienberichten aus der ganzen Welt gestartet und auch ständig technologisch weiterentwickelt werden. Nach Abs. 1 Satz 3 sind die informationstechnischen Systeme spätestens alle 2 Jahre an den aktuellen Stand der Technik anzupassen, wobei ein Krankenhaus aber schon im Hinblick auf Abs. 1 Satz 2 gut beraten ist, mit der Anpassung nicht auf den letzten Termin zu warten.
In Abs. 1 Satz 2 ist vorgegeben, was unter einer angemessenen, organisatorischen und technischen Vorkehrung zu verstehen ist. Danach sind solche Vorkehrungen angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Das Krankenhaus soll also zunächst die Folgen und deren Kosten bewerten und danach den finanziellen Aufwand für Organisation und Technik festlegen.
Rz. 4
Nach Abs. 2 der Vorschrift können die Krankenhäuser die Verpflichtungen nach Abs. 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8 Abs. 2 BSIG festgestellt wurde. Die Eignung des entsprechenden branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus der Deutschen Krankenhausgesellschaft (DKG) wurde bereits vom Bundesamt für Sicherheit in der Informationstechnik bestätigt. Alle nach § 8a Abs. 2 BSIG bestätigten branchenspezifischen Sicherheitsstandards allgemein wie auch die Standards der DKG werden nach der Gesetzesbegründung entsprechend dem Stand der Technik angepasst.