Regelung der IT-Sicherheit im Gesundheitswesen: ein Überblick

2017: IT-Sicherheitsgesetz für kritische Infrastruktur

Für Betreiber von Einrichtungen im Sektor Gesundheit, die als kritische Infrastruktur eingestuft werden, gilt bereits seit 2017 das IT-Sicherheitsgesetz (§8a BSI-Gesetz). Es schreibt Krankenhäusern ab 30.000 vollstationären Fällen pro Jahr vor, ein Managementsystem für Informationssicherheit (ISMS) zu implementieren und nachhaltig zu betreiben.

IT-Sicherheit im Krankenhaus: ab 2022 für alle verpflichtend

2020: Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (PDSG)

Um Arztpraxen und Krankenhäuser, die nicht als kritische Infrastruktur eingestuft werden, ebenfalls zur Verbesserung der IT-Sicherheit zu verpflichten, verabschiedete der Gesetzgeber im Oktober 2020 das “Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur”. Ziel des Gesetzes ist die grundsätzliche Digitalisierung des deutschen Gesundheitswesens u.a. mit Angeboten wie dem E-Rezept oder der elektronischen Patientenakte. Ein Schwerpunkt wurde auf die Anforderungen an Datenschutz und Informationssicherheit gelegt. Hierbei orientierte sich der Gesetzgeber an den Vorgaben, die bereits in der Datenschutz-Grundverordnung (DSGVO) definiert wurden.

Für Arztpraxen wurde der §75b SGB V ergänzt. Neu aufgenommen wurde der §75c SGB, der die IT-Sicherheit für Krankenhäuser, die nicht als kritische Infrastruktur eingestuft sind, regelt.

Das vollständige Gesetz wurde auf der Website des Bundesgesundheitsministeriums veröffentlicht.

Fristen

Experten begrüßen die Änderung, gleichzeitig werden die gesetzten Fristen aber auch sehr skeptisch gesehen. So mussten Arztpraxen die ersten Richtlinien bereits bis zum 01. April 2021 umsetzen, der nächste Stichtag ist auf den 01. Juli 2021 festgesetzt. Krankenhäusern bleibt für die Umsetzung Zeit bis zum 01. Januar 2022.