Branchenspezifischer Sicherheitsstandard (B3S)
Zweck des B3S
Der Branchenspezifische Sicherheitsstandard (B3S) stellt einen einheitlichen Rahmen zur Sicherstellung der Sicherheit von informationstechnischen Systemen in kritischen Infrastrukturen bereit. Der Standard wurde gemäß § 8a des BSI-Gesetzes entwickelt und enthält umfassende Maßnahmen zur Gewährleistung der IT-Sicherheit, um den fortlaufenden Betrieb in verschiedenen Branchen zu schützen und widerstandsfähig gegen Cyberrisiken zu machen.
Zielgruppe
Der B3S richtet sich an alle Betreiber kritischer Infrastrukturen, die nach § 8a des BSI-Gesetzes verpflichtet sind, hohe Sicherheitsstandards für ihre IT-Systeme zu erfüllen.
Ein konkretes Beispiel ist der Gesundheitssektor, insbesondere Krankenhäuser. Für Krankenhäuser beinhaltet der B3S 168 spezifische Maßnahmen, um den Schutz der IT-Infrastruktur, die Patientensicherheit und eine sichere medizinische Versorgung zu gewährleisten.
Bedeutung von B3S
Die zunehmende Digitalisierung, etwa durch elektronische Patientenakten, E-Rezepte und verschiedene Apps im Gesundheitssektor, erfordert eine zuverlässige Sicherheit informationstechnischer Systeme, um die Integrität und Verfügbarkeit von Daten zu gewährleisten. Der Branchenspezifische Sicherheitsstandard (B3S) adressiert diese Notwendigkeit und orientiert sich an den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Kritische Infrastrukturen (KRITIS). KRITIS umfasst Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Versorgung haben könnte.
Kritische Infrastrukturen (KRITIS)
Zu den kritischen Infrastrukturen (KRITIS) zählen unter anderem Einrichtungen und Organisationen aus den Bereichen Gesundheit, Energie- und Wasserversorgung, Finanzwesen sowie Telekommunikation. Betreiber dieser kritischen Infrastrukturen sind verpflichtet, ein Mindestmaß an IT-Sicherheit zu gewährleisten und erhebliche Störungen dem BSI zu melden.
KRITIS-Prüfung
Der Umsetzungsnachweis gegenüber dem BSI kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbracht werden. Als Prüfgrundlage dienen anerkannte Normen wie ISO/IEC 27001 sowie der branchenspezifische Sicherheitsstandard B3S (KRITIS-Prüfung), der von KRITIS-Betreibern und deren Verbänden entwickelt wurde. Der Nachweis ist alle zwei Jahre zu erbringen.
KRITIS-Schutzziele: Beispiel B3S Medizinische Versorgung
Im Rahmen des Branchenspezifischen Sicherheitsstandards „medizinische Versorgung“ für den Gesundheitssektor sind die folgenden KRITIS-Schutzziele der Informationssicherheit definiert, die speziell auf die Anforderungen von Krankenhäusern und ähnlichen Einrichtungen zugeschnitten sind. Diese Schutzziele bieten ein Beispiel für die Anwendung der KRITIS-Anforderungen im Gesundheitssektor:
Patientensicherheit
Bezieht sich auf den Schutz der Patienten vor physischen oder psychischen Schäden, die durch Informationssysteme oder IT-Prozesse verursacht werden könnten. Ziel ist es, Risiken zu vermeiden, die die Gesundheit oder das Wohlbefinden der Patienten beeinträchtigen könnten.
Behandlungseffektivität
Stellt sicher, dass alle medizinischen Prozesse und Informationen effektiv zusammenarbeiten, um eine optimale Patientenversorgung zu gewährleisten. Dies umfasst auch den reibungslosen Austausch von Informationen zwischen verschiedenen medizinischen Fachbereichen und Organisationseinheiten.
Vertraulichkeit
Garantiert den Schutz vertraulicher Patientendaten vor unbefugtem Zugriff oder Offenlegung. Nur autorisierte Personen oder Systeme dürfen auf sensible medizinische Informationen zugreifen.
Integrität
Stellt sicher, dass die medizinischen Daten und Informationen korrekt und unverändert bleiben und dass die IT-Systeme ordnungsgemäß funktionieren. Die Genauigkeit und Verlässlichkeit der Patientenakten und medizinischen Prozesse müssen gewährleistet sein.
Verfügbarkeit
Gewährleistet, dass alle IT-Dienste und -Systeme im Gesundheitssektor zuverlässig und ohne Unterbrechungen verfügbar sind. Dies schließt den kontinuierlichen Zugang zu medizinischen Informationen und den Betrieb der relevanten IT-Infrastrukturen ein.
Überblick der Normen der Informationssicherheit
Als bestellter Informationssicherheitsbeauftragter unterstützen wir Sie bis hin zur umfänglichen Umsetzung des gewählten Standards und begleiten Sie bei der Implementierung Ihres persönlichen und durch uns bereitgestellten Informationssicherheits-Managementsystems (ISMS). Je nach Aufwand können so verschiedene Sicherheitsniveaus erreicht werden.
Unser Versprechen
Wir analysieren und dokumentieren
Wir liefern alle erforderlichen Prozessdokumente
Wir kennen Ihr benötigtes Schutzniveau
Ihr ISMS: verständlich - effizient - effektiv
Ihr kompletter Geltungsbereich
Ihre Maßnahmen: pragmatisch und umsetzbar
Unser Versprechen
Wir analysieren und dokumentieren
Wir liefern alle erforderlichen Prozessdokumente
Wir kennen Ihr benötigtes Schutzniveau
Ihr ISMS: verständlich - effizient - effektiv
Ihr kompletter Geltungsbereich
Ihre Maßnahmen: pragmatisch und umsetzbar
Über 500 Kunden vertrauen actago zur Einhaltung ihrer Compliance
Ihre Vorteile mit der actago GmbH
Schlüsselfertig
Kundenorientiert
Unterschriftsreif
Innovative Beratung
Persönliche Beratung
Ihr Ansprechpartner
Maximilian Nuss | Geschäftsführer
Telefon: +49 9951/99990-20
E-Mail: info@actago.de
actago GmbH
Weidenstr. 66 | 94405 Landau a. d. Isar, Deutschland