Klinikum Oberberg: Prüfung für Kritis-Betreiber gemäß § 8a BSIG

Mit zwei Akutkrankenhäusern und einer psychiatrischen Fachklinik im Oberbergischen Kreis überschreitet das Klinikum Oberberg die Schwellwerte der BSI-Kritisverordnung (KritisV) für die stationäre Versorgung. Gemäß BSI-Gesetz (BSIG) ist das Klinikum verpflichtet, „angemessene organisatorische und technische Vorkehrungen […] zu treffen“ (§ 8a Abs. 1) und diese „mindestens alle zwei Jahre […] nachzuweisen“ (§ 8a Abs. 3). 
HiSolutions führte die Erstprüfung auf Basis des B3S Krankenhaus durch.

Success Story als PDF herunterladen

Ziele

Die Prüfung sollte das Klinikum befähigen, den gesetzlichen Nachweispflichten eines KRITIS-Betreibers (BSIG § 8a Abs. 3) nachzukommen.

Hierzu war das Klinikum entsprechend der Anforderungen des „Branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus“ (kurz B3S Krankenhaus) zu prüfen.

Etwaige Abweichungen gegen den Standard mussten erhoben und in Bezug auf ihr Schadpotenzial gegenüber dem zuverlässigen Klinikbetrieb beurteilt werden. Auf Basis der Untersuchungsergebnisse sollten ein Ergebnis­bericht sowie die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geforderten Nachweisdokumente erstellt werden.
 

Herausforderung

Bei B3S Krankenhaus handelt es sich um einen vergleichsweise neuen Standard, der nur wenige Wochen vor der Prüfung in der finalen Fassung verfügbar war. 

Da die KritisV (Korb II) das Einreichen der Prüfnachweise bis Ende Juni 2019 forderte, fand ein Großteil aller vorzunehmenden Prüfungen im Juni statt. 

Aus diesen Gründen bestanden nur wenige Erfahrungswerte in der Anwendung des jungen B3S, der seinerseits nur zwei Monate zuvor, Ende März 2019, in einer als Prüfgrundlage nutzbaren Fassung veröffentlicht wurde.
 

Umsetzung

In Zusammenarbeit mit unseren Branchenexperten erstellten unsere Auditoren einen tragfähigen, klassisch zweistufigen Prüfplan. 

Der Prüfplan ermöglichte uns eine effiziente und effektive Breitenprüfung und stellte zugleich eine repräsentative Wahl und Inaugen­scheinnahme der Stichproben sicher. 

Gegenstand der Betrachtung waren neben organisatorischen und prozessualen Aspekten auch konkrete technische Gegebenheiten.
 

Ergebnis

Die konstruktive Zusammenarbeit mit den Verantwortlichen im Klinikum Oberberg ermöglichte eine reibungslose Zusammen­arbeit. Unser Prüfansatz erlaubte eine offene Gesprächskultur und eine hohe Transparenz der Gegebenheiten. 

Die Prüfziele wurden durchweg erreicht. Sowohl der Prüfbericht als auch die durch das BSI geforderten Nachweisdokumente konnten daraufhin wie vereinbart erstellt und übergeben werden.

Nach einer Verifikation der Prüfergebnisse konnte das Klinikum Oberberg einen tragfähigen Umsetzungsplan ableiten und mit der Einsendung an das BSI seinen Nachweispflichten fristgerecht nachkommen.
 

Das sagt unser Kunde

„Die Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz stellt für ein Krankenhaus eine große Herausforderung dar. Daneben herrschte Verunsicherung hinsichtlich des Ablaufs der Prüfung, da bislang diesbezüglich noch keine Erfahrungen in der Branche existierten. 

Im Besonderen befand sich das Klinikum Oberberg Anfang 2019 in der Situation, die Prüfung innerhalb kurzer Zeit vorbereiten zu müssen. Hier zeigte sich HiSolutions als starker Partner, enge Zeitpläne einzuhalten und die Prüfung vor Ort in angenehmer Atmosphäre zu gestalten.

Die kompetente Prüfung von HiSolutions half uns, das Sicherheitsbewusstsein im Umgang mit IT und Medizintechnik insgesamt zu steigern. Wir bedanken uns für die kompetente und objektive Unterstützung.“ 

Yvonne Knosowski; Informationssicherheitsbeauftragte des Klinikum Oberberg
 

Über das Klinikum Oberberg

Die Kreiskrankenhäuser in Gummersbach und Waldbröl sowie das Zentrum für Seelische Gesundheit – Klinik Marienheide und die Psychosomatische Klinik in Bergisch Gladbach stehen seit dem Jahr 2008 unter dem gemeinsamen Dach der Klinikum Oberberg GmbH in kommunaler Trägerschaft. 

Der Klinik-Verbund zählt mit rund 3.000 Mitarbeitern zu einem der größten Arbeitgeber in der Region und versteht sich als modernes Dienstleistungsunternehmen der kommunalen Gesundheitsfürsorge mit einem breiten medizinischen Leistungsspektrum in der somatischen und psychiatrischen Versorgung. Dazu zählen ein ambulantes Therapiezentrum sowie ein angeschlossenes Medizinisches Versorgungszentrum. 
Daneben ist das Klinikum Oberberg Lehrkrankenhaus für die Universität Bonn und Köln und betreibt eine Krankenpflegeschule. 

Die Menschen im Oberbergischen Kreis stehen im Mittelpunkt des Handelns.

Zum Themenbereich Kritische Infrastrukturen

Über die HiSolutions AG

Die HiSolutions AG ist eines der führenden Beratungshäuser für IT-Management und Security im deutschsprachigen Raum. Seit mehr als 25 Jahren unterstützen wir unsere Kunden dabei, die Chancen der Digitalisierung optimal zu nutzen und die damit verbundenen Risiken zu beherrschen.

Unser Ziel ist es die Grenzen zwischen IT und Business abzubauen und echte Business-IT-Partnerschaften für den digitalen Wandel zu entwickeln.

Die Vielzahl erfolgreich durchgeführter Kundenprojekte hat uns zu einem der Marktführer in Deutschland gemacht.

Unsere Spezialisten verfügen über einschlägige Zertifizierungen. So beschäftigen wir unter anderem ISO 27001 Lead Auditoren, KRITIS-Prüfer, EnWG-Auditoren, Audit-Teamleiter, IS-Revisoren, CISAs, CISSPs, ISO 22301 Lead Auditoren, Datenschutzbeauftragte, zertifizierte Projektleiter. Unsere zertifizierten Mitarbeiter werden auch als externe Sicherheits- oder Datenschutzbeauftragte bestellt.

Jetzt teilen: