Dieses Projekt ist eine private, nicht-offizielle Zusammenstellung. Die Inhalte wurden mit Hilfe von KI auf Basis öffentlich zugänglicher Quellen (fachportal.gematik.de, gematik.de) erstellt. Keine Verbindung zur gematik GmbH. Fehler möglich. Beiträge willkommen.
Ein ISMS (Informationssicherheitsmanagementsystem) ist ein systematisches Regelwerk aus Richtlinien, Prozessen und Kontrollen, mit dem eine Organisation ihre Informationssicherheit strukturiert verwaltet und kontinuierlich verbessert.
Erklärt für Einsteiger
Stell dir vor, ein Krankenhaus hat Tausende von Patientendaten auf seinen Computern. Ein ISMS ist wie ein Sicherheitshandbuch, das festlegt: Wer darf auf welche Daten zugreifen? Was passiert, wenn ein Computer gehackt wird? Wie werden Mitarbeiter geschult? Wie wird überprüft, ob alle Regeln eingehalten werden? Ein ISMS beantwortet all diese Fragen schriftlich und sorgt dafür, dass die Sicherheitsmaßnahmen nicht vom Zufall abhängen.
Überblick
Ein ISMS basiert auf einem kontinuierlichen Verbesserungsprozess, dem PDCA-Zyklus (Plan, Do, Check, Act). Zentrale Bestandteile sind:
Risikoanalyse: Identifikation und Bewertung von Bedrohungen und Schwachstellen
Sicherheitsrichtlinien: Verbindliche Vorgaben für Mitarbeiter, Systeme und Prozesse
Technische und organisatorische Maßnahmen (TOMs): Konkrete Schutzmaßnahmen
Incident Management: Prozesse für den Umgang mit Sicherheitsvorfällen
Internes Audit und Managementbewertung: Regelmäßige Überprüfung der Wirksamkeit
ISMS im deutschen Gesundheitswesen
Im deutschen Gesundheitswesen ist ein ISMS in mehreren Kontexten vorgeschrieben:
KRITIS-Krankenhäuser: Krankenhäuser mit über 30.000 vollstationären Fällen pro Jahr sind als kritische Infrastruktur eingestuft. Sie müssen nach § 8a BSIG ein ISMS betreiben und alle zwei Jahre Sicherheitsnachweise gegenüber dem BSI erbringen.
KHZG-geförderte Krankenhäuser: Das Krankenhauszukunftsgesetz macht ein ISMS ab 1. Januar 2025 zur Pflicht für alle Krankenhäuser, die KHZG-Fördergelder (Fördertatbestand 10: IT-Sicherheit) erhalten haben. Grundlage ist ISO 27001 oder BSI IT-Grundschutz, alternativ der branchenspezifische Sicherheitsstandard B3S Krankenhaus.
TI-Betreiber: Zugelassene Betreiber von Diensten in der Telematikinfrastruktur müssen ein ISMS nachweisen. Die gematik selbst ist ISO-27001-zertifiziert.
Interesse compliance
KRITIS-Krankenhäuser (ab 30.000 stationäre Fälle/Jahr): ISMS-Pflicht nach § 8a BSIG, Nachweispflicht alle zwei Jahre gegenüber dem BSI. Alle KHZG-geförderten Krankenhäuser: ISMS-Pflicht ab 1. Januar 2025 (Fördertatbestand 10). TI-Diensteanbieter: ISMS-Nachweis Voraussetzung für gematik-Zulassung. KRITIS-Dachgesetz ab Juli 2026: Neue Registrierungspflicht und Resilienzplan-Anforderungen für alle KRITIS-Betreiber im Gesundheitssektor.
Relevante Standards
Zwei Standards dominieren im deutschen Markt:
IEC 27001: Internationaler Standard, rahmenbasiert, zertifizierbar durch akkreditierte Stellen.
Der B3S Krankenhaus wurde von der DKG (Deutsche Krankenhausgesellschaft) gemeinsam mit dem BSI entwickelt und als sektorspezifische Alternative zu ISO 27001 für Krankenhäuser anerkannt. Er konkretisiert die KRITIS-Anforderungen für den Krankenhausbetrieb und berücksichtigt Besonderheiten wie:
Medizingeräte-Netzwerke (IoMT)
Verfügbarkeitsanforderungen in Notaufnahmen und Intensivstationen
Schnittstellen zu KIS, PACS (Picture Archiving and Communication System) und TI-Gateway
Klinik-Integration: ISMS-Scope für KIS und TI-Infrastruktur
Der ISMS-Scope eines Krankenhauses muss die gesamte IT-Infrastruktur abdecken, die klinische Prozesse unterstützt. Für die TI-Anbindung sind besondere Überlegungen erforderlich.
KRITIS-Dachgesetz: Registrierungspflicht ab 17. Juli 2026: Krankenhäuser, die kritische Dienstleistungen für mehr als 500.000 Personen erbringen, müssen sich bis zum 17. Juli 2026 beim BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) registrieren. Das KIS und seine IT-Infrastruktur sind als kritische Komponenten zu melden. ISO 27001 allein reicht nicht aus: Das KRITIS-DachG verlangt zusätzlich Resilienz- und BCM-Maßnahmen.
B3S als praktischer Einstieg: Der B3S Krankenhaus ist auf die besonderen Bedürfnisse des Krankenhausbetriebs zugeschnitten: Medizingeräte-Netzwerke (IoMT), 24/7-Verfügbarkeit in Notaufnahme und Intensivstation, Schnittstellen zu KIS, PACS und TI-Gateway. Für KRITIS-Krankenhäuser ist B3S der empfohlene Nachweisweg gegenüber dem BSI.
TI-Komponenten im ISMS-Scope: Konnektor, TI-Gateway, KIM-Clientmodul, SMC-B-Verwaltung und ePA-Zugangsdienst müssen im ISMS-Risikoregister erfasst sein. Konfigurationsmanagement und Patch-Prozesse für TI-Komponenten müssen dokumentiert werden. Planen Sie Ausfallszenarien der TI-Verbindung als eigene Risikobehandlung ein.
Interesse technik
ISO 27001:2022 Annex A enthält 93 Controls in vier Kategorien (Organisatorisch, Personell, Physisch, Technologisch). BSI IT-Grundschutz-Kompendium: Bausteinweise Kataloge für Systemkomponenten (z.B. SYS.1 Server, APP.5 Webanwendungen). B3S Krankenhaus: Sektorspezifischer Standard für KRITIS-Krankenhäuser, entwickelt von DKG und BSI. ISMS-Scope für TI-Betreiber muss die TI-spezifischen Komponenten (Konnektor, Fachdienste, VAU) umfassen. Werkzeuge für automatisierte ISMS-Compliance-Prüfungen nutzen ab 2026 das JSON-Format von Grundschutz++.
Frist-Warnung: KRITIS-DachG Registrierungspflicht ab 17. Juli 2026
Rechtsgrundlage: § 9 KRITIS-DachG (Gesetz zur Umsetzung der CER-Richtlinie EU 2022/2557, in Kraft seit März 2026); § 8a Abs. 1 BSIG (IT-Sicherheitsanforderungen für KRITIS-Betreiber).
Frist: Ab dem 17. Juli 2026 sind Betreiber kritischer Anlagen verpflichtet, sich auf der gemeinsamen Plattform von BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) und BSI zu registrieren. Die Registrierungsfrist beträgt drei Monate ab Identifikation als kritische Anlage, frühestens jedoch ab dem 17. Juli 2026.
Gilt für Krankenhäuser: Einrichtungen im Gesundheitssektor, die mehr als 500.000 Personen mit medizinischen Versorgungsleistungen versorgen (Maximalversorger, große Klinikketten), gelten als Betreiber kritischer Anlagen. Das ISMS ist dabei Voraussetzung für die Erfüllung der KRITIS-DachG-Anforderungen neben den bestehenden BSIG-Pflichten.
Handlungsbedarf: Betroffene Krankenhäuser müssen ihre ISMS-Dokumentation um die physischen Resilienzanforderungen des KRITIS-DachG ergänzen (Risikoanalyse kritischer Anlagen, Resilienzplan, 24/7-Kontaktstelle). Die Registrierung erfordert Angaben zu kritischen Komponenten und Standorten.
Frist-Warnung: ISMS-Pflicht für KHZG-geförderte Krankenhäuser seit 1. Januar 2025
Rechtsgrundlage: § 19 Abs. 1 Satz 3 KHSFV i.V.m. Fördertatbestand 10 KHZG; ISO/IEC 27001:2022 oder BSI IT-Grundschutz oder B3S Krankenhaus.
Frist: Seit dem 1. Januar 2025 müssen alle Krankenhäuser, die KHZG-Fördermittel für Fördertatbestand 10 (IT-Sicherheit) erhalten haben, ein nachweisliches ISMS betreiben. Der Nachweis muss gegenüber dem Bundesamt für Soziale Sicherung (BAS) erbracht werden.
Handlungsbedarf: Krankenhäuser mit KHZG-FTB-10-Förderung, die den Nachweis noch nicht erbracht haben, müssen sofort handeln. Fehlende Nachweise können zur Rückforderung der Fördermittel führen. Zertifizierungsverfahren nach ISO 27001 dauern in der Regel 6 bis 18 Monate. Ersatzweise kann der B3S Krankenhaus als sektorspezifischer Nachweis eingereicht werden.
Meldepflichten und ISMS
Ein ISMS allein genügt nicht: KRITIS-Betreiber müssen erhebliche Sicherheitsvorfälle unverzüglich dem BSI melden (§ 8b BSIG). Im Gesundheitssektor sind zudem Meldungen an das Bundesamt für Arzneimittel und Medizinprodukte (BfArM) bei Vorfällen mit Medizinprodukten und an die zuständigen Datenschutzbehörden bei Datenpannen nach Art. 33 DSGVO erforderlich.