Kontakt

Was haben das Krankenhauszukunftsgesetz und §75c des SGB V miteinander zu tun?

Jörg Fecke

Veröffentlicht am 03.12.2020 von Jörg Fecke

Das Krankenhauszukunftsgesetz (KHZG) ist inzwischen einer breiten Öffentlichkeit bekannt. Die 4,3 Milliarden Euro des Krankenhausstrukturfonds sind eine der größten staatlichen Investitionsmaßnahmen der vergangenen Jahrzehnte. Das ist zweifelsohne ein wichtiger Meilenstein für die Zukunftsfähigkeit der deutschen Kliniklandschaft.  

In Bezug auf das Thema Informationssicherheit hat aber, und das ist weit weniger bekannt, das Sozialgesetzbuch 5 mit dem Paragraphen 75c für zahlreiche Kliniken eine ebenso weitreichende Bedeutung. Hier heißt es: „Krankenhäuser sind verpflichtet, […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen […] Krankenhäuser können die Verpflichtungen […] erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden“. Diese Regelung tritt ab dem 1. Januar 2022 in Kraft. Das heißt im Umkehrschluss, dass im Laufe des Jahres 2021 zahlreiche Einrichtungen mit der Einführung eines Informationssicherheitsmanagementsystems (ISMS) beginnen müssen. Denn, was bisher nur für Betreiber Kritischer Infrastrukturen galt, wird ab 2022 auch für alle übrigen Krankenhäuser verpflichtend.  

Informationssicherheit spielt zentrale Rolle im Krankenhauszukunftsgesetz

Das KHZG kommt daher mit den Fördermöglichkeiten des Krankenhausstrukturfonds genau zum richtigen Zeitpunkt. Investitionen in die Informationssicherheit stehen in den nächsten Monaten oftmals an, eine staatliche Förderung ist daher hochwillkommen. Ein weiterer Aspekt unterstreicht die große Schnittmenge zwischen dem §75c SGB V und dem KHZG: Investitionen in die Sicherheit nehmen eine herausragende Stellung ein. „Ein Krankenhaus kann nur dann Fördermittel aus dem Fonds beziehen, wenn mindestens 15 % des Geldes investiert werden, um die IT-Sicherheit zu erhöhen“, sagt Jens Spahn, Bundesgesundheitsminister. Ohne den Ausbau der Informationssicherheit wird es keine Förderfähigkeit für zahlreiche weitere Investitionen in die Krankenhausinfrastruktur geben.  

Förderfähige Maßnahmen:

  1. Risiko-Assessment -> Ist / Soll-Abgleich mit branchenüblichen Standards wie B3S, ISO/IEC 27001, IT-Grundschutz
  2. Awarenessmaßnahmen und Aufbau eines ISMS und DSMS
  3. Umsetzung der Anforderungen nach § 8a BSIG bzw. nach des §75 c SGB V

Anhand der immer stärkeren Vernetzung der KIS, der rasant steigenden Menge sensibelster Daten und der immer häufiger auftretenden ernstzunehmende Angriffe, wie im September auf das Universitätsklinikum Düsseldorf, sieht der Gesetzgeber einen Handlungsbedarf.    

Dabei spielt der Fördertatbestand 10, zur Stärkung der IT-Sicherheit, eine zentrale Rolle in der Förderrichtlinie. “Hierbei ist sowohl die Sicherheit der IT-Systeme als auch der dabei verarbeiteten Informationen von höchster Bedeutung.  […] Cybersicherheit ist die notwendige Bedingung für die fortschreitende Digitalisierung in den Kliniken. Dies kann durch ein geeignetes Informationssicherheitsmanagementsystem  […] vollständig gewährleistet werden.”  

Damit wird die Pflicht zur Umsetzung durch den Gesetzgeber erheblich erleichtert. Der Förderzeitraum ist allerdings begrenzt. Anträge müssen bis spätestens zum 31. Dezember 2021 gestellt werden. Auch hier hatte der Gesetzgeber §75c SGB V offensichtlich im Hinterkopf, tritt dieser doch genau einen Tag später in Kraft. 

Quellen:  

https://www.sozialgesetzbuch-sgb.de/sgbv/75c.html

https://www.bundesamtsozialesicherung.de/fileadmin/redaktion/Krankenhauszukunftsfonds/20201201_Foerdermittelrichtlinie.pdf

https://www.bundesgesundheitsministerium.de/krankenhauszukunftsgesetz/faq-khzg.html