Fortentwicklung der Anforde... / 4.2 Procurement Guidelines for Cybersecurity in Hospitals

Eigenschaften von IT-Komponenten und medizintechnischem Gerät, die zur Umsetzung des B3S notwendig sind, müssen die Leistungserbringer bei IT- und Medizintechnik-Herstellern einfordern. Darum tun Hersteller gut daran, sich auch mit den Aspekten ihrer Produkte auseinander zu setzen, die bei ihren Anwendern einen Einfluss auf die IT-Sicherheit haben. Hinweise dazu finden sich u. a. in den nachfolgend vorgestellten "Procurement Guidelines for Cybersecurity in Hospitals" der Europäischen Agentur für Netz-und Informationssicherheit (ENISA), der EU und dem "Leitfaden zur Nutzung des MDS2" vom Expertenkreis CyberMed der Allianz für Cyber-Sicherheit beim BSI.

Die "Procurement Guidelines for Cybersecurity in Hospitals" wurden im Februar 2020 veröffentlicht[1] und adressieren den Drittbezug von Dienstleistungen, Produkten und Infrastruktur als mögliches Einfallstor für kriminelle Angriffe. Kern der Leitlinien ist ein Lebenszyklus-Modell für den Beschaffungsprozess von Krankenhäusern und einzelne Beschaffungsarten sowie Bedrohungs- und Risikoanalysen mit einer Taxonomie potenzieller Bedrohungen und Beispiele für Angriffsszenarien. Auf Basis dieser Grundlagen werden konkrete Empfehlungen zu Beschaffungspraktiken abgeleitet. Die Leitlinien berücksichtigen die EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie, EU 2016/1148), die stark überarbeitete EU Medizinprodukte Verordnung (MDR, EU 2017/745), sowie die EU Datenschutz-Grundverordnung (GDPR, EU 2016/679) und listen in einem separaten Anhang für Beschaffungen relevante Industriestandards auf.

 
Hinweis

Auch US-amerikanische Rechtsakte relevant

Neben EU-Recht wird explizit auch auf 2 US-amerikanische Rechtsakte verwiesen: Der "Health Insurance Portability and Accountability Act of 1996" (HIPAA, U.S. Department of Health and Human Services) , der den Schutz von elektronisch gespeicherten oder transferierten Gesundheitsdaten adressiert[2] sowie die "FDA Guidance for cybersecurity", welche Hersteller dabei unterstützt, (Cyber-) Sicherheitsaspekte bereits im Design und der Entwicklung ihrer Produkte zu berücksichtigen.[3]

Zusammengefasst kann man sagen, mit den "Procurement Guidelines for Cybersecurity in Hospitals" stellt die Europäischen Agentur für Netz-und Informationssicherheit Krankenhäusern ein gut benutzbares Werkzeug für die Beschaffung von IT und computerisierter Medizintechnik zur Verfügung. Die Guidelines zeichnen sich durch Praxisorientierung aus und vermitteln nachvollziehbar, warum IT-Sicherheitsaspekte bereits bei der Beschaffung berücksichtigt werden müssen. Deswegen sollten sie auch für Hersteller eine Pflichtlektüre sein, um noch nicht umgesetzte Anforderungen der Anwender an IT und Medizintechnik zu erkennen und zu realisieren.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge