Belegt werden kann dies durch einen konkreten Umsetzungsplan, aus dem für das BSI alle erforderlichen Maßnahmen ersichtlich sind, um den Nachweis zur IT-Sicherheit zeitnah zu erbringen. Wichtig dabei: Die Zusammenarbeit mit einer prüfenden Stelle wie TÜV SÜD und ein konkreter Prüfungstermin sind Teil dieser Maßnahmen, die auf eine mögliche Fristverlängerung abzielen.

"KRITIS-Betreiber im Gesundheitswesen sollten kein Risiko eingehen und sich auf die Expertise einer prüfenden Stelle wie TÜV SÜD mit Kompetenzen in den Bereichen Audit, IT- und Informationssicherheit und Branchenwissen verlassen", betont Linstädt. Die Deutsche Krankenhausgesellschaft (DKG) hat dazu einen branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus vorgelegt, der als Leitfaden für IT-Sicherheit in Kliniken dient.

Zertifizierung nach ISO/IEC 27001 unterstützt ebenfalls

Neben der gesetzlichen Nachweispflicht bietet eine Zertifizierung nach ISO/IEC 27001 als bekannteste Norm zum Nachweis der IT-Sicherheit ebenfalls eine gute Basis, um Informationssicherheit zu gewährleisten, relevante Sicherheitsvorschriften zu erfüllen und eine Sicherheitskultur im eigenen Unternehmen zu fördern. Auch kleine und mittelständische Unternehmen (KMUs), die durch das Raster des IT-Sicherheitsgesetzes fallen, aber als Zulieferer großen Kunden ihre IT-Sicherheit nachweisen müssen, bietet die Zertifizierung nach ISO/IEC 27001 Vorteile.

Wenn diese KRITIS-Unternehmen beliefern, lohnt es sich, über eine Zertifizierung eigener IT-Sicherheit nachzudenken. Denn große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern - und müssen dies eigentlich auch, um ihrerseits entsprechende Nachweise erbringen zu können.