current language
Deutschland verfügbar in folgenden Sprachen:
oder wählen Sie Ihr TÜV Rheinland Land / Ihre Region aus:

B3S GAP Analyse

B3S GAP Analyse

Wir analysieren Ihren Stand der Umsetzung bezüglich der im B3S Standard für Krankenhäuser und Kliniken definierten Anforderungen.

Die Digitalisierung in Krankenhäusern wird regelmäßig mit Schlagworten wie E-Health, Krankenhaus 4.0, KI und Automatisierung in Verbindung gebracht. Dies zeigt, dass die Transformation von Kliniken mithilfe von digitalen Systemen mehr als eine Zukunftsvision ist.

Die Vorteile von digital begleiteten Prozessen und softwaregestützten Geräten sind entlang des gesamten Betriebs von Kliniken sichtbar, indem bereits große Effizienzsteigerungen bei der Betreuung und Behandlung von Patienten inklusive der administrativen Verwaltung realisiert werden konnten.

Mit der steigenden Vernetzung und dem erhöhten Digitalisierungsgrad rückt zunehmend das Themenfeld der Informations- und IT-Sicherheit in den Fokus der öffentlichen Berichterstattung. Fälle von unerlaubten, gesetzwidrigen Zugriffen auf die Netzwerke und Daten - einschließlich Patientendaten - von Krankenhäusern in Deutschland zeigen dabei die Risiken für die Sicherheit der Betriebsprozesse, der Patienten und des Personals auf.

Der Handlungsbedarf für die Cybersecurity in Krankenhäusern wurde nicht nur von Betreibern und Trägern erkannt. Auch seitens der Gesetzgebung für kritische Infrastrukturen, zu der Kliniken gehören, wurde das Thema IT- und Informationssicherheit als integraler Bestandteil der Verfügbarkeitssicherung der gesundheitlichen Grundversorgung festgelegt. Dabei wird der Begriff der sogenannten „kritischen Infrastrukturen“ oder „nahen kritischen Infrastrukturen“ nunmehr sehr weit gefasst und erstreckt sich spätestens mit der Einführung des neuen §75c SGB V auf alle Krankenhäuser in Deutschland, welche nicht ohnehin schon als kritische Infrastruktur i.S.d. der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) angesehen werden.

Umsetzung regulatorischer Anforderungen gemäß Sozialgesetzbuch V (SGB V)

Gemäß Sozialgesetzbuch (SGB) Fünftes Buch (V) sind Krankenhäuser ab dem 1. Januar 2022 verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind (§75c SGB 5).

Die Umsetzung und Ausgestaltung zur Erfüllung dieser gesetzlichen Anforderung kann durch die Krankenhäuser insbesondere durch die Anwendung eines branchenspezifischen „Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus“ erreicht werden (vgl. §75c Abs.2 SGB V). Ein geeigneter Sicherheitsstandard wird dabei per Feststellung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben (vgl. § 8a Abs.2 BSIG).

TÜV Rheinland bietet Ihnen eine vorbereitende Analyse des derzeitigen Umsetzungsstandes zur Erfüllung der gesetzlichen Auflagen auf Grundlage des zur Verfügung stehenden und durch das BSI geprüften „Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ der Deutschen Krankenhausgesellschaft e.V. (DKG) an.

Die Analyse umfasst die wichtigen krankenhaustypischen technischen IT-Einrichtungen, die führenden Software-Anwendungen sowie die grundlegenden organisatorischen Prozesse, Verfahren und Maßnahmen zur Erfassung und Steuerung der Informations- und IT-Sicherheit im Krankenhaus.

Mit unserer B3S GAP-Analyse erhalten Sie mehr Sicherheit und Transparenz über Ihre informationstechnischen Systeme. Ihr persönlicher Maßnahmenplan zeigt die nächsten Schritte auf. Wir beraten und begleiten Sie von der Analyse über die Strategie- und Konzeptentwicklung bis hin zur Umsetzung.

Anforderungen des B3S Standards an die IT-Sicherheit im Gesundheitswessen

IT Sicherheit beginnt bei einem umfassenden ISMS (Informationssicherheits-Managementsystem). Die empfohlenen Schritte des B3S beginnen mit dem Aufbau eines ISMS-Systems innerhalb der klinischen Einrichtung. Das ISMS verfolgt die Erreichung der folgenden im B3S definierten Schutzziele:

VEFÜGBARKEIT
von Dienstleistungen, Funktionen eines Informationssystems, IT-Systemen, IT-Netzinfrastruktur oder auch von Informationen ist dann gegeben, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

INTEGRITÄT
bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen.

AUTHENTIZITÄT
der Informationen ist sichergestellt, wenn sie von der angegebenen Quelle erstellt wurden.

VERTRAULICHKEIT
stellt den Schutz vor unbefugter Preisgabe von Informationen sicher. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in zulässiger Weise zugänglich sein.

PATIENTENSICHERHEIT
als die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen. Dies schließt auch die Vermeidung einer nachhaltigen psychischen Belastung ein.

BEHANDLUNGSEFFEKTIVITÄT
stellt die wirksame Behandlung des Patienten unter Benutzung von Informationen und wirksamen Therapiemaßnahmen, ggf. auf Basis eines Informationsaustausches zwischen unterschiedlichen verantwortlichen Organisationseinheiten, sicher.

Modulare Services zur Cybersecurity im Gesundheitswesen

Zur Erreichung eines hohen Cybersecurityniveaus in Kliniken und Krankenhäusern bieten wir Ihnen ein breites Portfolio zur Erfüllung von Branchenspezifischen Anforderungen und kontinuierlicher Verbesserung Ihrer Cybersecurity:

Informationssicherheits-Management

TÜV Rheinland unterstützt Sie bei dem Aufbau eines ISMS mit expliziter Berücksichtigung der im B3S definierten Schutzziele, Methoden und Verfahren. Darüber hinaus bieten wie Ihnen eine kontinuierliche Systemüberwachung an. (Intrusion Detection Systeme/ Intrusion Prevention Systeme)

IT-Risiko- und Compliance- Management

Mit einer wirkungsvollen IT Compliance ermöglichen Sie Ihrer Klinik, sich schnell und flexibel an neue digitale Herausforderungen anzupassen.
Sie vermeiden durch den Aufbau einer regelkonformen und effizienten IT-Infrastruktur gesetzliche Verstöße und Schwachstellen in der Daten- und Informationssicherheit und schaffen so Regelkonformität.

Datenschutz

Unser interdisziplinäres Team aus Volljuristen, Wirtschaftsjuristen, Informatikern und Informationssicherheitsexperten unterstützt Sie dabei, die für Ihr Unternehmen individuell beste Lösung zu entwickeln und umzusetzen, während Sie sich auf Ihr Kerngeschäft konzentrieren können. Somit verringern Sie den Ressourceneinsatz für Ihren Datenschutz deutlich und stellen stets die Konformität zu Datenschutzrichtlinien sicher.
Die TÜV Rheinland Experten beraten Sie zum Datenschutz nach EU DSGVO und nationaler Gesetzgebung, unterstützen Sie beim Aufbau eines professionellen Whistleblowing Systems und identifizieren für Sie die individuellen Synergien zwischen den Managementsystemen ISO/IEC 27001 & ISO/IEC 27701 zur Einhaltung beider Standards in Ihrer Klinik.

BCM, Business Continuity Management

Mit einem betrieblichen Kontinuitätsmanagement sind Sie bestens auf mögliche Krisenzeiten vorbereitet und schaffen so präventiv Handlungsfreiräume. Stellen Sie durch eine effektive Notfallplanung sicher, dass in Ihrem Unternehmen im Schadensfall alle Beteiligten nach Plan handeln. Unsere pragmatischen Notfallkonzepte und Wiederanlaufpläne ermöglichen es Ihnen, dass Sie im Falle einer Beeinträchtigung oder eines Ausfalls Ihrer Geschäftsprozesse, Dienste, IT-Services oder -Systeme schnellstmöglich wieder produktiv arbeiten können.
In Kliniken liegt der Fokus auf der Umsetzung der Anforderungen aus der KRITIS Verordnung und der IT-Nofallvorsorge.

Penetrationstests

Mithilfe des Penetrationstests, kurz Pentests, überprüfen wir unter anderem Ihre bestehende IT-Infrastruktur (Netzwerke und IT-Systeme) wie z.B. das Gäste-WLAN auf potenzielle Schwachstellen, die Kriminellen eine Angriffsfläche für Cyberattacken bieten könnten. Die Testung kann sowohl außerhalb (extern) oder innerhalb (intern) Ihrer IT-Infrastruktur erfolgen. In Kliniken bieten sich insbesondere risikoklassifizierte Penetrationstests an, um ein möglichst umfassendes Bild über die Verwundbarkeit Ihrer Systeme zu erhalten.

IAM = Identity and Access-Management

In komplexen IT-Landschaften mit Cloud Services und mobilen Endgeräten hilft Ihnen ein leistungsstarkes Identity and Access Management dabei, Identitäten, Rollen und Berechtigungen übersichtlich und dynamisch zu verwalten. Wir unterstützen Sie dabei, aus der Vielzahl an Systemen am Markt das passende Identity and Access Management für Ihr Unternehmen auszuwählen. Gleichzeitig stellen wir die Implementierung gemäß den gesetzlichen Compliance Anforderungen sicher.

FAQ

Alle anzeigen Ausblenden

Ab wann ist die Umsetzung der im B3S Standard definierten Maßnahmen verpflichtend?

Nach dem neuen § 75c SGB V sind ab dem 1. Januar 2022 alle Krankenhäuser in Deutschland verpflichtet, angemessene organisatorische und technische Vorkehrungen zur IT-Sicherheit zu treffen. Konkret bedeutet das: Jegliche Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie weiterer Schutzziele der informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Richtungsweisend ist hierbei der „Stand der Technik“.

Wo finde ich den B3S Standard?

Der Branchenspezifische B3S Standard für die Gesundheitsversorgung im Krankenhaus kann auf der Webseite der Deutschen Kankenhausgesellschaft e.V. (DKG) unter diesem Link heruntergeladen werden. Weitere Informationen zu akkreditierten branchenspezifischen Sicherheitsstandards können auf den Webseiten des BSI eingesehen werden.

Kontakt

Fordern Sie ein Angebot an!

Fordern Sie ein Angebot an!

Nehmen Sie Kontakt zu uns auf!

Das könnte Sie auch interessieren

Aktive und nicht-aktive Medizinprodukte

Aktive und nicht-aktive Medizinprodukte

Europaweit auf den Markt: Wir prüfen und zertifizieren Ihr Qualitätsmanagementsystem und Ihre Produkte.

mehr

Business Continuity Management System (BCMS)

Business Continuity Management Systeme | TÜV Rheinland

Mit effektivem BCM, IT-Notfallmanagement und Krisenmanagement die Produktivität sichern.

mehr

Effektive Datenschutzberatung für höchste Datensicherheit

Unser Expertenteam berät Sie in allen juristischen und technischen Fragen rund um Datenschutz I TÜV Rheinland

Schützen Sie Ihre Unternehmenswerte und das Vertrauen Ihrer Kunden mit umfassendem Datenschutz. Unser Expertenteam berät Sie kompetent und individuell.

mehr

Identity and Access Management

Identity and Access Management (IAM)

Erfahren Sie, wie Sie Identitäten, Rollen und Rechte übersichtlich und sicher verwalten.

mehr

Information Security Management System (ISMS)

Information Security Management System (ISMS)

Verbesserte und systematische Steuerung der Informationssicherheit in Ihrem Unternehmen.

mehr

Klinikservice

Klinikservice

Alle Leistungen aus einer Hand: Wir bieten umfassende Unterstützung mit unserem Klinikservice!

mehr

Penetrationstests

Penetrationstest | TÜV Rheinland

Decken Sie mit einem Penetrationstest die Schwachstellen in Ihrer IT-Infrastruktur auf.

mehr

Professionelle IT Compliance

Unsere Experten beraten Sie zu professioneller IT Compliance und beim Aufbau eines IT Compliance Managementsystems | TÜV Rheinland

Mit professioneller IT Compliance schaffen Sie Rechtssicherheit und wirtschaftlichen Erfolg für Ihr Business. Profitieren Sie von unseren IT Compliance Services.

mehr

Sachverständigenprüfung von Röntgentechnik

Röntgentechnik

Wir prüfen Ihre Röntgentechnik: Vor Inbetriebnahme, nach Änderungen sowie wiederkehrend.

mehr

Zuletzt besuchte Dienstleistungsseiten