Sind Sie als kleine und mittlere Unternehmen (KMU) im Gesundheitswesen auf die neuen Anforderungen an die Cybersecurity-Strategie vorbereitet?
Nach dem Start des e-Rezepts in 2024 steht mit der Einführung der elektronischen Patientenakte (ePA) für alle gesetzlich Versicherten im Januar 2025 der nächste bedeutsame Schritt in der Entwicklung der Vernetzung unseres Gesundheitswesens an.
Mit Einführung der nächsten Stufe der ePa wird deren Sicherheitsarchitektur nach modernsten Standards ausgerichtet, neue Funktionen, wie beispielsweise die Medikationsliste ergänzt, aber auch der Kreis der Nutzer stark erweitert.
Auswirkungen auf KMU im Gesundheitswesen
Als KMU im Gesundheitswesen sind Sie Teil dieses Netzwerkes, welches hochsensible Daten von einer großen Anzahl von zu versorgenden Personen verarbeitet.
Daher sollten Sie umgehend prüfen, ob Ihr Informationssicherheits-Managementsystem (ISMS) und Ihre Notfallplanung im Business Continuity Management auf die neuen Herausforderungen vorbereitet sind. Würden sie einer möglichen Prüfung durch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) standhalten?
Die Verantwortung für die IT-Sicherheit Ihrer Systeme und Prozesse, sowie die erforderliche Bereitstellung von Dokumentationen an Prüfstellen obliegt Ihnen. Dies gilt auch, wenn Sie den technischen Betrieb Ihrer informationsverarbeitenden Systeme ausgelagert haben. Daher sollten Sie dringend prüfen, ob Ihre Systeme und Prozesse den neuen Anforderungen an die Cybersecurity-Strategie im Gesundheitswesen entsprechen.
Folgende Dokumentationen sind u.a. erforderlich:
- Haben Sie ein aktuelles und umfassendes Verzeichnis der genutzten IT-Komponenten?
- Wie werden Administrations-Passwörter gesichert, um in Notfällen die Durchführung kritischer Prozesse zu gewährleisten?
- Ist das Rollen- und Berechtigungskonzept ihrer Organisation aktuell?
- Welche Zugangs- und Zugriffskontrollen sind eingeführt?
- Gibt es eine Prozess-Dokumentation, die die Abhängigkeiten zwischen Prozessen, oder von Prozessen zu IT-Komponenten, abbildet?
- Wann liegt ein IT-Notfall vor? Was ist zu tun, wenn es zu einem IT-Notfall kommt? Wer ist zu informieren, was ist zu dokumentieren?
- Werden alle Meldepflichten erfüllt?
- Sind Sie auf die kommenden Veränderungen und Anforderungen vorbereitet?
Aber nicht zu vergessen ist: Auch wenn vieles digital wird – die medizinische Versorgung von Menschen wird auch weiterhin durch „Offline-Prozesse“ realisiert.
Gerne unterstützen Sie unsere Berater der MLU bei der Bewältigung Ihrer Herausforderungen in der Umsetzung der bestehenden und kommenden Anforderungen im Bereich Informationssicherheitsmanagement und Business Continuity Management.