Seit dem 01.01.2022 sind alle Krankenhäuser verpflichtet, Maßnahmen zur Informationssicherheit nach dem Stand der Technik zu implementieren. Mit dem neuen §75c SGB V wird die bereits seit 2017 bestehende Verpflichtung für KRITIS Krankenhäuser (§ 8a BSI-Gesetz) jetzt auch auf Nicht-KRITIS Häuser ausgedehnt.

Um die Umsetzung der nach § 8a Abs. 1 BSIG vorgeschriebenen Maßnahmen zur Absicherung der so genannten „Kritischen Dienstleistung“ (kDL) zu unterstützen, können sinnvolle und notwendige Maßnahmen in einem branchenspezifischen Sicherheitsstandard (B3S) zusammengefasst und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Eignungsfeststellung vorgelegt werden. Für die aktuelle Version 1.2 (Stand 8.12.2022) des B3S „Medizinische Versorgung“ wurde am 10.1.2023 die Eignung nach § 8a Abs. 1 und Abs. 1a BSIG festgestellt.

Im B3S „Medizinische Versorgung“ ist die DIN EN 80001-1 wieder verstärkt in den Fokus gerückt:
Hier wird sie neben der DIN ISO/IEC 27001 als einen der beiden Ansätze zum Risikomanagement genannt: „Bei der Integration von Medizinprodukten in IT-Netzwerke müssen die hierbei entstehenden Risiken durch ein entsprechendes Risikomanagement adressiert werden, hierfür eignet sich insbesondere die Umsetzung der Norm DIN EN 80001-1 Risikomanagement in medizinischen IT-Netzwerken“.

Die Kombination von Medizinprodukten mit anderen Produkten wird durch die Medizinprodukte-Betreiberverordnung (MPBetreibV) in §4 Abs. 4 geregelt.
Nur der Betreiber selbst kann diese Komponenten zu einem System nach §4 MPBetreibV im Rahmen der Zweckbestimmung kombinieren.

Der Nachweis ist in Form einer Technischen Dokumentation mit integriertem Risikomanagement zu führen.
Die Eignung (d.h. auch Wirksamkeit) und Sicherheit der Systemkombination wird durch Prüfung der Dokumentation aller Komponenten (Zweckbestimmung, Schnittstellen und Risiken) festgestellt und dient als Basis für ein Risikomanagement gemäß DIN EN IEC 80001-1.

Bei der Einführung eines Risikomanagement nach DIN EN 80001-1 muss berücksichtigt werden, ob dies für eine bereits im Betrieb befindliche Systemkombination erfolgt, oder ob dies im Rahmen der Planung und Errichtung  durchgeführt werden soll.

Für die durchzuführende Risikoanalyse ist die Erstellung eines Risikomanagement-Plans notwendig, welcher die Systemkomponenten, das relevante Netzwerk sowie die Kommunikationsbeziehungen benennt. Außerdem legt der Risikomanagement-Plan fest, wie die drei Schutzziele der DIN EN 80001-1 (Sicherheit von Patienten, Anwendern und Dritten, Wirksamkeit und Daten- und Systemsicherheit) zu bewerten und gegeneinander abzuwägen sind.

Unser Team begleitet Sie gerne bei:

• Aufbau und Integration von Risikomanagement gemäß den Anforderungen der IEC 80001-1 und damit Erfüllung der gesetzlichen Anforderungen aus SGB V §75c.
• Integration des Risikomanagements in die bestehenden Organisationsstrukturen und -prozesse
• Implementierung der grundlegenden Risikomanagement Prozesse
• Unterstützung bei der Umsetzung einer Risikobetrachtung angelehnt an DIN EN 80001-1 in konkreten Med-IT Projekten
  • Anbindung Stand-Alone Medizingeräte
    EKG, EEG, Sonografie, Röntgen, Endoskopie, …
  • Komplexe Anbindungen:
    Monitoring, OP-Navigationssysteme, Linksherzkathetermessplätze, Rufanlagenanbindung, Modalitäten mit Befundarbeitsplätzen, PACS,
    Verteilte Alarmierung, Patientendatenmanagementsystem (PDMS), …