E-Book, Deutsch, 216 Seiten
Dannecker / Dittrich / Müller Das krisenresiliente Krankenhaus und MVZ
1. Auflage 2024
ISBN: 978-3-17-042445-6
Verlag: Kohlhammer
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Kontinuität von Betriebsabläufen in Zeiten von Krisen und Cyberangriffen sichern
E-Book, Deutsch, 216 Seiten
ISBN: 978-3-17-042445-6
Verlag: Kohlhammer
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Gesundheitseinrichtungen stehen vermehrt vor dem Risiko betriebsbeeinträchtigender Ereignisse, die sich gerade im Gesundheitswesen verheerend auswirken können. Das Buch stellt einen praktischen Leitfaden in der immer breiteren Regulierung zur Risikovorsorge vor Cyberattacken, pandemischen Ereignissen, Lieferkettenunterbrechungen und gewaltigen Naturkatastrophen dar. Es berücksichtigt das im April 2024 in Kraft getretene Digitalgesetz, die bevorstehenden Gesetze zur Umsetzung der NIS-2- und Resilienz-Richtlinie und bietet als praktisches Element der Krisenprävention stets Bezüge zum Business-Continuity-Management.
Autoren/Hrsg.
Weitere Infos & Material
2 Rechtsgrundlagen des BCM und Compliance
Gerhard Dannecker, Nadja Müller, Johannes Dilling 2.1 Unionsrechtliche Vorgaben und ihre Umsetzung in nationales Recht
2.1.1 Entwicklungen auf der Ebene der Europäischen Union
Vor dem Hintergrund der Corona-Pandemie sowie der Energiekrise entstand ein verstärktes Bewusstsein für die Bedeutung der Krisenvorsorge und Notfallplanung auch auf Ebene der Europäischen Union. Insbesondere die Corona-Pandemie machte deutlich, dass Maßnahmen der Notfall- und Krisenvorsorge gerade im Gesundheitsbereich von höchster Bedeutung sind. Vorsorgemaßnahmen im Gesundheitsbereich Vor diesem Hintergrund hat die Union im Rahmen des Pakets zur Europäischen Gesundheitsunion vier Verordnungen erlassen, um die Fähigkeit der Union selbst zur Prävention, Erkennung und raschen Reaktion auf grenzüberschreitende Gesundheitsgefahren zu verbessern. Bei diesen Verordnungen handelt es sich um: eine Verordnung zu schwerwiegenden grenzüberschreitenden Gesundheitsgefahren: Verordnung des Europäischen Parlaments und des Rates zu schwerwiegenden grenzüberschreitenden Gesundheitsgefahren und zur Aufhebung des Beschlusses Nr. 1082/2013/EU39; überarbeitete Mandate für das Europäische Zentrum für die Prävention und die Kontrolle von Krankheiten (European Centre for Disease Prevention and Control, ECDC) und für die Europäische Arzneimittel-Agentur (European Medicines Agency, EMA)40; einen Notfallrahmen für medizinische Gegenmaßnahmen41; die Einrichtung einer Europäischen Behörde für die Krisenvorsorge und -reaktion bei gesundheitlichen Notlagen (HERA) durch die Europäische Kommission im September 2021 zur Entwicklung, Herstellung, Beschaffung und gerechte Verteilung der wichtigsten medizinischen Gegenmaßnahmen innerhalb der EU.42 Resilienz gegenüber physischen und digitalen Risiken Die Kommission nahm die Sabotage an kritischen Infrastrukturen – insbesondere den Nord-Stream-Pipelines –zum Anlass, die Mitgliedstaaten dazu aufzurufen, dringend Maßnahmen zur Erhöhung der Widerstandsfähigkeit kritischer Infrastruktur zu ergreifen und umzusetzen. Gegenwärtig wird an weiteren Vorgaben auf EU-Ebene gearbeitet, um physische und digitale Kritische Einrichtungen resilienter zu machen.43 Schutz von Netz- und Informationssystemen Bereits im Jahr 2016 führte die EU mit der Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie)44 die ersten EU-weiten Vorgaben zur Verstärkung der europäischen Zusammenarbeit in Bezug auf die Cybersicherheit sowie zur Stärkung der Cyber-Resilienz der Union ein. Die NIS-Richtlinie statuiert dabei Sicherheitspflichten für Betreiber Kritischer Infrastrukturen wie Krankenhäuser, Energienetze, Forschungslabore und Produzenten wichtiger Medizinprodukte und Arzneimittel.45 Am 16.?01.?2023 trat die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)46 in Kraft (? Kap. 3.2.2) und soll – wie die an demselben Tag in Kraft getretene Resilienz-Richtlinie47 (? Kap. 3.4.1) – den Schutz kritischer Infrastrukturen verbessern; sie weitet hierfür die Cybersicherheitsvorgaben auf weitere Sektoren und mehr Unternehmen aus.48 Schutz Kritischer Infrastrukturen Die Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) vom 14.?12.?2022 enthält ein überarbeitetes Konzept für die Widerstandsfähigkeit Kritischer Infrastruktur, bei dem die aktuelle und zu erwartende Risikolage, die zunehmenden wechselseitigen Abhängigkeiten zwischen den verschiedenen Sektoren und auch die immer stärkeren Wechselbeziehungen zwischen physischen und digitalen Infrastrukturen besser berücksichtigt werden.49 Die Umsetzung dieser Richtline wird in Deutschland im sog. KRITIS-Dachgesetz erfolgen (? Kap. 3.4.1). Diese Richtlinie, welche die Richtlinie zur Ermittlung und Ausweisung europäischer kritischer Infrastrukturen (EKI) aus dem Jahr 200850 ersetzt, ist zum 16.?01.?2023 in Kraft getreten und weist im Gegensatz zur EKI-Richtlinie einen deutlich erweiterten Anwendungsbereich auf: Während die EKI-Richtlinie nur für den Energie- und den Verkehrssektor gilt, umfasst die Resilienz-Richtlinie wesentlich mehr Wirtschaftszweige: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt.51 Die Sektoren decken sich weitgehend mit denen der NIS-2-Richtlinie, was darauf zurückzuführen ist, dass die Resilienz-Richtlinie gemeinsam mit der NIS-2-Richtlinie nach den Vorstellungen der Kommission eine Synergie bildet und kritische Einrichtungen umfassend krisensicher machen soll.52 Die Resilienz-Richtlinie betont, dass kritische Einrichtungen – also auch Krankenhäuser als Mitglieder des Gesundheitssektors – in der Lage sein müssen, »ihre Fähigkeit zu stärken, Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste stören könnten, zu verhindern, sich davor zu schützen, darauf zu reagieren, sie abzuwehren, zu begrenzen, aufzufangen, zu bewältigen und sich von solchen Vorfällen zu erholen.«53 Die Resilienz-Richtlinie gibt deshalb den Mitgliedstaaten auf, nationale Strategien zur Stärkung der Resilienz kritischer Einrichtungen zu etablieren, mindestens alle vier Jahre eine Risikobewertung durchzuführen und eine Liste der kritischen Einrichtungen zu erstellen, die grundlegende Dienste erbringen. Diese kritischen Einrichtungen müssen relevante Risiken ermitteln, welche die Erbringung grundlegender Dienste erheblich beeinträchtigen können; sie müssen geeignete Maßnahmen ergreifen, um ihre Resilienz zu gewährleisten, und den zuständigen Behörden Störfälle melden.54 2.1.2 IT-Sicherheit nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, dem IT-Sicherheitsgesetz und nach § 391 SGB V
Wie die europäischen Entwicklungen zeigen, ist die IT-Sicherheit gerade auch im Gesundheitswesen von großer Bedeutung: zum einen, weil beim Einsatz von Technologien zur Behandlung von Patienten – z.?B. im Falle eines netzwerkfähigen Medizinprodukts – Schwachstellen in der IT unmittelbar zu einer Bedrohung für Leib und Leben der Patienten führen können; zum anderen sind Gesundheitsdaten in datenschutzrechtlicher Hinsicht besonders sensibel, weil ein Abfluss solcher Daten – z.?B. im Rahmen eines Cyberangriffs – zu einer erheblichen Verletzung des allgemeinen Persönlichkeitsrechts der Betroffenen führen kann. Für Rechtsverstöße droht das Datenschutzrecht hohe Geldbußen an.55 Darüber hinaus sind Akteure im Gesundheitswesen oft auch gesetzlichen und vertraglichen Daten- und Geheimhaltungspflichten unterworfen – Ärzte und Personen, die an der beruflichen Tätigkeit der Ärzte mitwirken, sogar strafbewehrten Pflichten.56 Wie wichtig gerade die Cybersicherheit für Krankenhäuser ist, zeigt die Cyberattacke gegen das Universitätsklinikum Düsseldorf im Jahr 2020, die dazu führte, dass sich das Klinikum mit etwa 50.000 stationären Patienten pro Jahr für knapp zwei Wochen von der Notfallversorgung abmelden musste und in deren Zusammenhang es zum Tod einer Patientin kam, der letztlich jedoch nicht sicher auf eine verlängerte Anfahrt aufgrund der Abmeldung der Notaufnahmen zurückgeführt werden konnte (? Kap. 3.1.4).57 Vorgaben des IT-Sicherheitsgesetzes (IT-SiG) und des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) Mit dem Schutz Kritischer Infrastrukturen in Deutschland als wesentlichem Ziel wurde im Jahr 2015 das IT-Sicherheitsgesetz58 erlassen, mit dem ein neues Sicherheitsregime unter der Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eingeführt wurde. Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das neben dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)59 auch das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze änderte und ergänzte. Dieses Gesetz basiert auf der Cyber-Sicherheitsstrategie des Bundesministeriums des Innern aus dem Jahr 2011, die auf eine zunehmende IT-Gefährdungslage und insbesondere ein Bedrohungspotential für Kritische Infrastrukturen (KRITIS) reagiert hat.60 Das IT-Sicherheitsrecht ist eine Querschnittsmaterie mit einer bislang nicht in einer einheitlichen Kodifikation zusammengefassten Vielzahl an Vorschriften, die im Kern öffentliches...
