Impulsvortrag am 16.11.2023 zur Webinarfolge der Bayern Innovativ „einfach sicher“: Informationssicherheit im Gesundheitswesen, wie Sie gesetzliche Vorgaben strukturiert umsetzen können:

Am 16. November 2023 durfte unser Geschäftsführer Thomas Holzer und unser Informationssicherheitsbeauftragter (ISB) Markus Grassmann einen Impulsvortrag innerhalb der Webinarfolge: „Informationssicherheitsstandards im Gesundheitswesen“ der Bayern Innovativ halten.

Die zunehmende Digitalisierung und Vernetzung von Systemen und Prozessen in der Arbeitswelt hat die Bedeutung von Informationssicherheit und Datenschutz massiv erhöht. Um Unternehmen unter anderem vor Cyberangriffen zu schützen gibt es eine Reihe von Gesetzen, Richtlinien und Normen für die Informationssicherheit. Thomas gab den Teilnehmern einen Überblick welche gesetzlichen Vorgaben für den Schutz sensibler Gesundheitsdaten existieren. Normen und Richtlinien wie die ISO 27001 bilden dabei die Basis für ein effektives Management von Informationssicherheit. In diesem Zusammenhang spielen auch die EU-Richtlinie NIS2, die KRITIS-Verordnung und die BSI-Standardreihe B3S eine wichtige Rolle.

Überblick Gesetze/Richtlinien/Normen

Die zunehmende Digitalisierung und Vernetzung von Systemen und Prozessen in der Arbeitswelt hat die Bedeutung von Informationssicherheit und Datenschutz massiv erhöht.

Um Unternehmen unter anderem vor Cyberangriffen zu schützen, gibt es eine Reihe von Gesetzen, Richtlinien und Normen für die Informationssicherheit.
Thomas gab den Teilnehmern einen Überblick, welche gesetzlichen Vorgaben für den Schutz sensibler Gesundheitsdaten existieren.

Normen und Richtlinien wie die ISO 27001 bilden dabei die Basis für ein effektives Management von Informationssicherheit. In diesem Zusammenhang spielen auch die EU-Richtlinie NIS2, die KRITIS-Verordnung und die BSI-Standardreihe B3S eine wichtige Rolle.

NIS 2

Die Richtlinie über die Netz- und Informationssicherheit (NIS) der Europäischen Union bezweckt die Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus für Netz- und Informationssysteme in der EU. Die neue Version, NIS2, dehnt den Geltungsbereich der Richtlinie auf eine höhere Anzahl von Branchen und Diensten aus und verschärft die Anforderungen an die Sicherheit und die Meldung von Zwischenfällen.     

KRITIS-Verordnung

Die KRITIS-Verordnung (Kritische Infrastrukturen) regelt in Deutschland die Anforderungen, die Betreiber von kritischen Infrastrukturen an die Informationssicherheit erfüllen müssen. Kritische Infrastrukturen sind Einrichtungen oder Systeme, die für das funktionierende gesellschaftliche und wirtschaftliche Leben von entscheidender Relevanz sind, wie zum Beispiel die Energieversorgung, das Gesundheitswesen oder Finanzdienstleistungen.         

BSI-Standardreihe B3S

Die BSI-Standardreihe B3S (Branchenspezifischer Sicherheitsstandard) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurde gemeinsam mit den Vertretern der jeweiligen Branchen entwickelt. Sie liefert konkrete Anleitungen zur Implementierung der Anforderungen der ISO 27001 in der Praxis. Sie beinhaltet u.a. Leitlinien zur Risikoanalyse und -bewertung, zur Auswahl und Umsetzung von Sicherheitsmaßnahmen sowie zur Überprüfung und Verbesserung des ISMS.

ISO 27001

Die ISO 27001 ist eine international anerkannte Form für Informationssicherheits-Managementsysteme (ISMS).

Sie definiert Anforderungen für die Einführung, Umsetzung, Überwachung und Verbesserung eines ISMS und bietet einen planvollen Ansatz zur Verringerung von Informationssicherheitsrisiken.
Die Norm beinhaltet sowohl organisatorische, technische, physikalische als auch personenbezogene Maßnahmen und berücksichtigt dabei alle relevanten Schutzziele wie Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität von Informationen.

Thomas erläuterte, dass es im Gesundheitswesen zusätzlich noch zwei weitere Schutzziele gibt, nämlich die Patientensicherheit und die Behandlungseffektivität.
Diese sechs Schutzziele kann man als „magisches Hexagon“ der Informationssicherheit im Gesundheitswesen bezeichnen.  Die Basis für ein funktionierendes ISMS ist ein optimales Gleichgewicht im „magischen Hexagon“ der Informationssicherheit. Über ein etabliertes Risikomanagement schafft man eine Balance der Schutzziele.

OMNI entwickeltes V-ISMS Vorgehensmodell

Abschließend erklärte Thomas das von OMNI entwickelte V-ISMS Vorgehensmodell, mit dem man die empfohlenen 7 Schritte strukturiert abbilden kann.

Unser OMNI V-ISMS Vorgehensmodell hilft bei der schnellen, effektiven und einfachen Integration eines ISMS und B3S.

 

Zusammenfassend ist festzustellen, dass die ISO 27001 in diversen nationalen und internationalen Normen und Richtlinien als Grundlage für die Informationssicherheit eine zentrale Rolle übernimmt. Durch die konsequente Einhaltung dieser Normen und Richtlinien können Unternehmen nicht nur ihre Informationssicherheit steigern, sondern auch die Konformität mit gesetzlichen und regulatorischen Anforderungen gewährleisten.

Abschließend betonte Thomas noch einmal, dass es äußerst wichtig ist, ein ISMS nicht nur zu implementieren, sondern auch aktiv zu leben.

Haben Sie noch Fragen?

Sie können sich sehr gerne den Vortrag als pdf. hier herunterladen.

Für Rückfragen bezüglich Ihres eigenen ISMS und B3S stehen wir gerne zur Verfügung. Über Ihre Kontaktanfrage freuen wir uns.

Vielen Dank an dieser Stelle an Bayern Innovativ für die Einladung zu dieser Webinarfolge.