Nach dem neuesten Referentenentwurf des BMI (Bundesministerium des Innern) ist nun endlich festgelegt, was der Gesetzgeber mit „kritischen Infrastrukturen“ meint. Diese Festlegung ist wichtig, da über sie definiert wird, für welche Unternehmen das BSI-Gesetz überhaupt gültig ist. Nach diesem Referentenentwurf wird vorgeschlagen, dass Krankenhäuser mit mindestens 30.000 vollstationären Fällen pro Jahr als kritische Infrastrukturen zu betrachten sind. Doch was hat dies für Häuser dieser Größenordnung zur Folge?
Kritische Infrastrukturen müssen spätestens zwei Jahre nach Inkrafttreten der Festlegung
- angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer Systeme, Komponenten und Prozesse treffen
- Einhaltung vom „Stand der Technik“
- und danach regelmäßig alle zwei Jahre gegenüber dem BSI die Erfüllung der Anforderungen nachweisen, z. B. durch Audits, Prüfungen, Zertifizierungen bei gleichzeitiger Auflistung der bestehenden Sicherheitsmängel
Weiterhin haben die Betreiber kritischer Infrastrukturen dem BSI binnen 6 Monaten nach Inkrafttreten eine Kontaktstelle für die eingerichteten Kommunikationsstrukturen zu benennen, die zuständig sind für
- Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie
- Koordinierung der Zusammenarbeit zum Schutz der Sicherheit
Erhebliche Störungen von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen führen können oder geführt haben, sind dem BSI unverzüglich nach Bekanntwerden zu melden.