IT-Sicherheit im Krankenhaus - das Krankenhauszukunftsgesetz (KHZG)

Die Inhalte und Auswirkungen des Krankenhauszukunftsgesetzes stellen Krankenhäuser und deren Einrichtungen vor erhebliche konzeptionelle und finanzielle Herausforderungen. Die allgemein steigende Bedrohungslage, das Patientendatenschutzgesetz (PDSG) und Ergänzungen im § 75c SGB V verpflichten ab 01.01.2022 nahezu auch alle Krankenhäuser, soweit sie nicht zur kritischen Infrastruktur zählen, zur Umsetzung bestimmter Schutzmaßnahmen. 


Diese Umsetzungsverpflichtung beinhaltet die Forderung nach angemessenen organisatorischen und technischen Vorkehrungen, um die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität konsequent zu gewährleisten.
Zudem sind verlässliche Sicherheitskonzepte für informationstechnische Systeme, Komponenten und Prozesse gefordert, um die Funktionsfähigkeit des Krankenhauses sowie die Sicherheit der zu verarbeitenden Patienten- und Gesundheitsdaten garantieren zu können.
Der Krankenhauszukunftsfond (KHZF) und dessen Verordnung (KHZFV) stellen für Krankenhäuser und alle angeschlossenen Einrichtungen dabei eine große Chance mit Erfolgsaussichten dar.

Die gravierende Herausforderung liegt in der regelkonformen Planung und Umsetzung der Maßnahmen.


Fördermittel sichern

Die Gewährung der Fördermittel bedingt die angemessene Berücksichtigung der IT-Sicherheit in den Projekten. Dabei stehen organisatorische und technische Maßnahmen im Vordergrund, welche nach § 12a Absatz 1 Satz 4 Nummer 3 des KHZG Vorhaben zur Verbesserung der informationstechnischen Sicherheit der Krankenhäuser berücksichtigen.
Als etabliertes und ISO/IEC 27001-zertifiziertes IT-Consulting-Unternehmen in Bayern verfügen unsere Mitarbeiter über die notwendige Qualifikation der Zertifizierung nach §21 Absatz 5 Satz 1 KHSFV.


 

Mit ganzheitlichem Beratungsansatz zur erfolgreichen Umsetzung

Zusätzlich befähigt uns unser interdisziplinäres Fachwissen in den Bereichen Informations- und IT-Sicherheit, Datenschutz und Compliance, Sie ganzheitlich, kompetent und wirtschaftlich zu beraten. Unser Ziel ist es, für Sie den besten Digitalisierungsplan mit relevanten und förderfähigen Maßnahmen aufzustellen, um Ihrer Umsetzungsverpflichtung nachzukommen und dabei Fördermittel sinnvoll und effektiv einzusetzen.

Feststellung nach §21 Absatz 5 Satz 1, KHSFV, ob bei Ihrem Vorhaben ausreichend informationstechnische Maßnahmen getroffen werden, die die Voraussetzung für die Gewährung von Fördermitteln nach § 19 KHSFV Absatz 1 Satz 1 und dem Krankenhausfinanzierungsgesetz erfüllen.
Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach branchenspezifischem Sicherheitsstandard B3S
Beratung von Krankenhäusern bei der Planung und Durchführung von IT-Sicherheitsprojekten, unterstützt durch das Krankenhauszukunftsgesetz, 19 KHSFV Absatz 1 Satz 1 Nummer 10
Datenschutz nach DSGVO und BSI-Vorgaben
Optimierung Ihres Datenschutz-Managementsystems beim Umgang mit besonders schützenswerten Daten
IAM - Berechtigungsmanagement
elementare Maßnahme zur prozessgesteuerten und prüfbaren Verwaltung von Identitäten und Berechtigungen. Weitere Beratungsleistung im IAM-Umfeld: Passwortmanagement, PAM und SIEM
Awareness-Schulungen
um das Bewusstsein Ihres Teams zu schärfen, Risiken und Bedrohungen zu erkennen und geeignete Abwehrmaßnahmen zu ergreifen.

Ihr Weg zum förderfähigen Digitalisierungsplan

KHZG & PDSG

Etablierung eines bundesweiten hohen Digitalisierungs- und Sicherheitsstandards.

Kunde & ARCA-Consult

Neutrale und objektive Erstanalyse. Feststellung des Digitalisierungsumfangs und der Fördermöglichkeit.

Kunde & ARCA-Consult

Verfassen detaillierter Ausführungen und Begründungen zu Digitalisierungs-maßnahmen. Daraus erfolgt die Bedarfsanmeldung.

ARCA-Consult

Planung und Implementierung der informations- und IT-technischen Maßnahmen.

Kunde & ARCA-Consult

Regelmäßige Nachweiserbringung über die zweckentsprechende Verwendung der Fördermittel.

Vorteile für Ihr Krankenhaus

Nutzung von Fördergeldern für Ihren Digitalisierungsplan

Erfüllung der Informationssicherheits-Anforderungen

Hohe standardisierte Sicherheit im Umgang mit Patienten- und Gesundheitsdaten

Garantiert eine stabile und vertrauenswürdige Zusammenarbeit zwischen den verschiedenen Akteuren im Gesundheitswesen

Vermeidung von Abschlagskürzungen der DRG-Erlöse ab 2025

Einfallstore für Cyber-Attacken erkennen und beseitigen

Reduzierung des Haftungsrisikos durch Nachweis des Erfüllungsgrades der IT-Sicherheit

Sichert die Einhaltung von Gesetzen und Regularien (Compliance), vermeidet Datenmissbrauch und daraus folgende Haftungsansprüche

Gesteigerte Effizienz durch optimierte Prozessabläufe

Vertrauensaufbau gegenüber Patienten / Neupatientengewinnung

Motivation und Bewusstseinsbildung bei den Mitarbeitern hinsichtlich der Wichtigkeit der Informationssicherheit in Ihrem Unternehmen

Aktualisierung Ihrer Dokumente und Verbesserung Ihres Qualitätsmanagements

Als Akteur im Gesundheitswesen den Überblick behalten

  • Seit 2015 ist durch das IT-Sicherheitsgesetz und des darin enthaltenen IT-Sicherheitskataloges klar definiert, welche Sicherheitsvorkehrungen, vor allem von Betreibern der Kritischen Infrastruktur (KRITIS), verpflichtend eingehalten werden müssen. Für Krankenhäuser liegt dieser Schwellenwert bei derzeit 30.000 vollstationären Behandlungsfällen pro Jahr.
    Eine Absenkung des Schwellenwertes wird weiterhin erwartet und erhöht damit den Druck, der Umsetzungsverpflichtung angemessen nachzukommen.
  • Ist dieser Schwellenwert überschritten und Sie als Betreiber kritischer Infrastruktur identifiziert, sind Sie dazu verpflichtet, ein Informationssicherheitsmanagement nach ISO/IEC 27001 zu führen.
    Speziell für das Gesundheitswesen kann der branchenspezifische Sicherheitsstandard für die Versorgung im Krankenhaus, B3S, umgesetzt werden. Er ist von Seiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) anerkannt.
  • Das Krankenhauszukunftsgesetz ist ein sogenanntes Artikelgesetz und hat somit Auswirkungen auf mehrere Gesetze und Verordnungen.
    Im Falle des KHZG betrifft es:

    • das Krankenhausfinanzierungsgesetz
    • die Krankenhausstrukturfonds-Verordnung
    • Sozialgesetzbuch Fünftes Buch
    • Sozialgesetzbuch Elftes Buch
    • das Krankenhausentgeltgesetz
    • die Bundespflegesatzverordnung
    • das Familienpflegezeitgesetz
    • das Pflegezeitgesetz
    • das Bundeskindergeldgesetz

    Das Krankenhauszukunftsgesetz (KHZG) fördert durch den Krankenhauszukunftsfond und dessen Verordnung Investitionen in die Digitalisierung von Krankenhäusern, verbunden mit der Erhöhung der IT- Sicherheit (§ 12a Absatz 1 Satz 4 Nummer 3 des KHZG).
    Bund und Länder stellen hierfür insgesamt 4,3 Mrd. Euro für notwendige Investitionen bereit.
    15 % der beantragten Fördermittel müssen dabei für die Verbesserung der Informationssicherheit eingesetzt werden.
    Krankenhäuser ohne ausreichende Digitalisierung riskieren ab 2025 einen Abschlag von 2 % ihrer DRG-Erlöse.

    Dies betrifft die Fördertatbestände 2-6.
  • Das 2020 eingeführte Patientendatenschutzgesetz und die Ergänzung des § 75 c SGB V bedingen Vorgehensweisen für ein höheres Maß an IT-Sicherheit.
    Ab dem 01.01.2022 sind auch Krankenhäuser unterhalb des Schwellenwertes des BSI-KritisV verpflichtet, dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zu treffen, welche die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität sicherstellen.
    Zudem sind Maßnahmen zur Sicherung der informationstechnischen Systeme, Komponenten und Prozesse zu treffen, damit die Funktionsfähigkeit des Krankenhauses und die Sicherheit der zu verarbeitenden Patienten- und Gesundheitsdaten gewährleistet ist.