Cybervize - Cybersecurity Beratung

Der B3S Medizinische Versorgung als Nachweisweg für Krankenhaus-IT-Sicherheit

GesundheitswesenGeschäftsführung KrankenhausCISOInformationssicherheitsbeauftragterIT-LeitungKRITIS-Verantwortlicher

Kernaussage

Der branchenspezifische Sicherheitsstandard B3S "Medizinische Versorgung" der Deutschen Krankenhausgesellschaft (DKG) ist kein Regelwerk neben dem Gesetz, sondern ein anerkannter Weg, die Pflicht aus § 391 SGB V branchengerecht auszufüllen und nachweisbar zu machen. Er übersetzt die abstrakte Forderung nach IT-Sicherheit "nach dem Stand der Technik" in eine für den Krankenhausbetrieb konkretisierte Methodik.

Für das Management zählt eine Einsicht: Der B3S ist ein Vehikel für Angemessenheit und Nachweisbarkeit, kein Selbstzweck. Wer ihn anwendet, wählt einen sektorweit abgestimmten und vom BSI auf Eignung geprüften Bezugsrahmen statt einer selbst gebauten Auslegung des Stands der Technik.

Problem in der Praxis

Viele Häuser verwechseln zwei Pflichtenebenen. § 391 SGB V gilt seit Inkrafttreten des Digital-Gesetzes (DigiG) am 26.03.2024 für alle Krankenhäuser, also flächendeckend und unabhängig von einer KRITIS-Einstufung. Davon zu trennen ist das KRITIS-Regime für Betreiber kritischer Anlagen, für das der B3S der einschlägige Nachweisstandard ist.

Daraus folgen zwei Fehlinterpretationen. Kleinere Häuser nehmen an, ohne KRITIS-Schwellenwert keine IT-Sicherheitspflicht zu haben, und übersehen § 391. Größere Häuser behandeln den B3S als Checkliste, die einmalig "abgearbeitet" wird, und verkennen, dass der Wert in einem betriebenen, wirksam geprüften Managementsystem liegt. Hinzu kommt eine Detailfalle: Der aus § 75c SGB V geläufige fixe Anpassungsrhythmus "alle zwei Jahre" ist im Wortlaut des § 391 nicht mehr enthalten. Wer seinen Steuerungstakt mechanisch daran festmacht, steuert nach einer Regel, die so nicht mehr im Gesetz steht.

CISO-Einordnung

Der B3S beantwortet aus CISO-Sicht vor allem eine Frage: Was bedeutet "Stand der Technik" konkret für ein Krankenhaus, und wie weise ich seine Erfüllung gegenüber Aufsicht, Geschäftsführung und Prüfern nach? Der gesetzliche Anker ist § 391 SGB V. Er verpflichtet Krankenhäuser, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der maßgeblichen IT-Systeme und Prozesse zu vermeiden. Der Standard ist kein starres Maximum, sondern verlangt Angemessenheit, also ein Abwägen zwischen Aufwand und den Folgen möglicher Versorgungsausfälle. Neu gegenüber dem früheren Recht ist die ausdrückliche Verankerung von Maßnahmen zur Steigerung der Security-Awareness der Mitarbeitenden. § 391 sieht zudem vor, dass branchenspezifische Sicherheitsstandards wie der B3S als Umsetzungsweg herangezogen werden können (die genaue Absatzzuordnung ist am Gesetzestext zu prüfen).

Der B3S "Medizinische Versorgung" ist methodisch ein ISMS-orientierter Standard. Er adressiert primär KRITIS-Krankenhäuser, taugt aber auch für Nicht-KRITIS-Häuser als Orientierung im Rahmen des § 391. Der Mechanismus dahinter ist die BSI-Eignungsfeststellung: Das BSI prüft und bestätigt, dass der von der DKG vorgelegte Standard geeignet ist, die KRITIS-Anforderungen abzudecken. Ein Haus, das den B3S anwendet, stützt sich damit auf einen behördlich anerkannten Bezugsrahmen, statt eine eigene Auslegung des Stands der Technik verteidigen zu müssen.

Wichtig für die Zuständigkeiten: Aufsicht und Nachweisentgegennahme für Gesundheits-KRITIS liegen beim BSI; die Telematikinfrastruktur regelt die gematik im Benehmen mit dem BSI; die Sicherheit von DiGA und DiPA verantworten BfArM und BSI gemeinsam. Die Bundesnetzagentur ist für den Gesundheitssektor nicht zuständig.

Umsetzungsperspektive

Der B3S lässt sich aus Managementsicht in wenige Bausteine zerlegen, ohne seine Anforderungen im Detail zu reproduzieren. Er verlangt ein betriebenes ISMS mit definiertem Scope der kritischen Versorgungsprozesse, einer Risikoanalyse, Maßnahmen nach dem Stand der Technik, Notfall- und Kontinuitätsmanagement, Absicherung der Lieferanten- und Dienstleisterkette, Angriffserkennung sowie regelmäßiger Wirksamkeitsprüfung. Als neuerer Bestandteil wird der B3S durch eine Reifegrad- beziehungsweise Umsetzungsgradbewertung (RUN) ergänzt; deren genaue Ausgestaltung sollte gegen die aktuelle DKG-Originalfassung geprüft werden.

Der Nachweis gegenüber der Aufsicht erfolgt nicht durch Dokumente allein, sondern über ein periodisches Nachweisverfahren. Für Betreiber kritischer Anlagen ergibt sich die Nachweispflicht aus dem BSIG. Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, in Kraft seit 06.12.2025) wurde das BSIG neu strukturiert; die frühere Verortung in §§ 8a/8b BSIG alter Fassung ist abgelöst. Die neue Paragraphennummerierung (im Bereich der §§ 28, 30 ff. BSIG für betroffene Einrichtungen, Risikomanagement, Eignung branchenspezifischer Standards und Nachweispflicht), die genaue Absatzzuordnung sowie die Umstellung des Nachweiszyklus von vormals zwei auf drei Jahre sind am geltenden Gesetzestext zu verifizieren.

In Summe gilt: Der B3S liefert die fachliche Methodik, das BSIG den Nachweisrahmen und § 391 die flächendeckende Grundpflicht. Diese drei Ebenen müssen im Klinik-ISMS getrennt und zugleich verbunden gesteuert werden.

Typische Fehler

  1. § 391 (gilt für alle Häuser) und das KRITIS-Nachweisregime (gilt für kritische Anlagen) werden gleichgesetzt oder vermischt.
  2. Der B3S wird als einmalig abzuarbeitende Anforderungsliste statt als betriebenes Managementsystem verstanden.
  3. Der gestrichene Zwei-Jahres-Rhythmus aus § 75c wird unreflektiert in die § 391-Welt übertragen.
  4. Ein vorhandenes ISO-27001-Zertifikat wird als automatischer KRITIS-Nachweis behandelt, obwohl der Scope die kritische Anlage und die BSIG-Pflichten nicht zwingend abdeckt.
  5. Veraltete Paragraphenverweise (§ 8a/§ 8b BSIG a. F., § 75c SGB V) werden in Policies und Nachweisen weitergeführt.

Risiken und Trade-offs

Die Wahl des B3S reduziert Auslegungsrisiko, weil das BSI seine Eignung festgestellt hat. Der Preis ist eine Bindung an die sektorweite Methodik und an die Versionspflege durch die DKG: Versionsstände und deren Geltungsdauer müssen mitgeführt werden. Zudem kann ein Haus den B3S formal anwenden und dennoch ein wenig wirksames ISMS betreiben, wenn Risiken nicht ehrlich bewertet und Maßnahmen nicht gelebt werden. Die Eignungsfeststellung des Standards ersetzt nicht die Wirksamkeit der Umsetzung im konkreten Haus.

Hinzu kommt ein Rechtssicherheitsrisiko durch die laufende Neunummerierung des BSIG. Wer Nachweise an konkrete Paragraphen knüpft, sollte diese als prüfbedürftig kennzeichnen, bis sie gegen den konsolidierten Gesetzestext abgeglichen sind.

Entscheidungspunkte

  • Ist das Haus Betreiber einer kritischen Anlage, oder greift "nur" § 391? Davon hängt ab, ob der B3S-Nachweis verpflichtend oder orientierend ist.
  • Soll der B3S als formaler Nachweisstandard genutzt werden, oder genügt eine an ihm orientierte, hauseigene ISMS-Auslegung?
  • Wie wird ein bestehendes ISMS (etwa nach ISO/IEC 27001) im Scope so erweitert, dass es die kritische Anlage und die BSIG-Pflichten abdeckt?
  • Welcher interne Steuerungstakt gilt, nachdem der fixe Zwei-Jahres-Rhythmus des früheren § 75c in § 391 nicht mehr enthalten ist und der KRITIS-Nachweis in einem mehrjährigen Zyklus liegt?

Praktische Empfehlungen

  1. Klären Sie zuerst den Status: alle Häuser unter § 391, kritische Anlagen zusätzlich unter dem BSIG-Nachweisregime. Diese Einordnung steuert alles Weitere.
  2. Nutzen Sie den B3S als Methodik-Anker für den Stand der Technik, betreiben Sie ihn aber als lebendes ISMS, nicht als Einmalprojekt.
  3. Trennen Sie im Klinik-ISMS sauber zwischen Grundpflicht (§ 391), Nachweisrahmen (BSIG) und Branchenmethodik (B3S).
  4. Führen Sie die aktuelle B3S-Version (derzeit 1.3.1) und die Geltung der BSI-Eignungsfeststellung (bis November 2028) als Stammdaten nach.
  5. Markieren Sie BSIG-Paragraphenverweise als prüfbedürftig und gleichen Sie sie gegen den nach dem NIS2UmsuCG geltenden Gesetzestext ab, bevor sie in verbindliche Nachweise wandern.

Relevante Normreferenzen

  • § 391 SGB V "IT-Sicherheit in Krankenhäusern": gesetzlicher Anker, eingeführt durch das DigiG, in Kraft seit 26.03.2024, löst § 75c SGB V ab. Frei zugänglich.
  • BSIG i. d. F. des NIS2UmsuCG (in Kraft seit 06.12.2025): Nachweisrahmen für Betreiber kritischer Anlagen; konkrete Paragraphen und Absätze zu prüfen. Frei zugänglich.
  • B3S "Medizinische Versorgung" (DKG), Version 1.3.1, BSI-Eignungsfeststellung gültig bis November 2028: branchenspezifischer Sicherheitsstandard, reference-only.
  • ISO/IEC 27001: methodischer ISMS-Unterbau, reference-only.
  • BSI TR-03161 "Anforderungen an Anwendungen im Gesundheitswesen": angrenzender Bezug für digitale Gesundheitsanwendungen, frei zugänglich.

Häufige Fragen

Gilt § 391 SGB V nur für KRITIS-Krankenhäuser?+

Nein. § 391 gilt flächendeckend für alle Krankenhäuser. Der B3S-Nachweis betrifft zusätzlich Betreiber kritischer Anlagen.

Muss ein Krankenhaus den B3S anwenden?+

Der B3S ist ein anerkannter Umsetzungsweg, kein Zwang. Für KRITIS-Häuser ist er der einschlägige Nachweisstandard; andere Häuser können ihn als Orientierung nutzen.

Gilt noch der Zwei-Jahres-Rhythmus aus § 75c?+

Diese Formulierung ist im Wortlaut des § 391 nicht mehr enthalten. Für KRITIS-Anlagen besteht jedoch ein mehrjähriger Nachweiszyklus nach dem BSIG.

Welche Behörde ist zuständig?+

Für Gesundheits-KRITIS das BSI, für die Telematikinfrastruktur die gematik im Benehmen mit dem BSI, für DiGA und DiPA das BfArM gemeinsam mit dem BSI. Die Bundesnetzagentur ist nicht zuständig.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Gesundheitswesen prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: health-002.