Die Schweizer Spitäler haben gemeinsame IT-Grundschutzanforderungen für Systeme verabschiedet, welche die Gesundheitseinrichtungen an die Produkte von Systemlieferanten stellen und zukünftig bei Beschaffungen anwenden werden. Die Grundlagen dafür bilden die geltenden Gesetze und Vorgaben von Regulierungsbehörden sowie anerkannte Standards.
Mit diesen technischen und organisatorischen Anforderungen definieren die Gesundheitseinrichtungen eine einheitliche Messgrösse zum Vergleich von IT-Sicherheitsaspekten von Produkten unterschiedlicher Hersteller. Sie unterstreichen damit die Forderung nach sicheren Produkten und Herstellern, die Informationssicherheit ernstnehmen.
Zielpublikum
Das Dokument «IT-Grundschutzanforderungen an Systeme» richtet sich in erster Linie an Lieferanten der Gesundheitseinrichtungen. Für Gesundheitseinrichtungen stehen weitergehende Unterlagen innerhalb der H-CSC Plattform zur Verfügung.
Nutzen für alle Beteiligten
Mit den IT-Grundschutzanforderungen an Systeme werden einheitliche und branchenübergreifende Anforderungen definiert. Dieser Grundschutz führt sowohl bei Lieferanten als auch bei Gesundheitseinrichtungen zu einem deutlichen Nutzen:
- In den Beschaffungsprozessen der Gesundheitseinrichtungen wird der Grundschutz der Produkte stärker wahrgenommen und bewertet. Sicherere Produkte heben sich gegenüber weniger sicheren Konkurrenzprodukten ab.
- Investitionen von Lieferanten in den Grundschutz ihrer Produkte zahlen sich aus. Sie können als Verkaufsargumente am Markt eingesetzt werden.
- Die IT-Grundschutzanforderungen zeigen den Lieferanten lohnende Schritte in ihrer Produktentwicklung auf.
- Durch die Vereinheitlichung der IT-Grundschutzanforderungen entfallen organisationsspezifische Anforderungskataloge der Gesundheitseinrichtungen, die von den Lieferanten beantwortet werden müssen. Die Lieferanten können ihre Produkte einmalig beurteilen und diese Unterlagen für mehrere Gesundheitseinrichtungen wiederverwenden.
- Gesundheitseinrichtungen verfügen über eine standardisierte Vorgabe zum Einfordern des IT-Grundschutzes für Systeme. Sie müssen keine individuellen Vorgaben erstellen.
- Insgesamt werden die IT-Grundschutzanforderungen zu einer Erhöhung der Informationssicherheit in den Gesundheitseinrichtungen führen und damit zu einer Erhöhung der Patientensicherheit und Behandlungseffektivität. Davon profitieren die Patientinnen und Patienten, die Gesundheitseinrichtung und die Lieferanten.
Grundlegende Funktion der IT-Grundschutzanforderungen
Anbieter von Systemen, die in die IT-Sicherheit ihrer Produkte investieren, müssen gegenüber Anbietern mit schwachstellenbehafteten Systemen fair bewertet werden, indem die Zusatzkosten visibel gemacht und aufaddiert werden. Die Grundschutzanforderungen definieren die einheitliche Messlatte.
Vorgehen
Der Standard unterstützt sowohl, proaktive Beschaffungsprozesse (Akquisitorische Beschaffung), als auch reaktive Beschaffungsprozesse (Anfragebeschaffung).
Für proaktive Beschaffungsprozesse steht den Lieferanten die «Selbstdeklaration» zur Verfügung: Ein standardisiertes elektronisches Formular, das den Standard abbildet.
- Die Lieferanten bzw. Hersteller von Produkten erstellen, basierend auf den öffentlich verfügbaren Anforderungen, einmalig eine Selbstdeklaration für ihre jeweiligen Produkte. Sie können fehlende Schutzfunktionen selbst durch ergänzende Massnahmen kompensieren und dadurch ihr Produkt aufwerten.
- Die Selbstdeklaration senden die Lieferanten zusammen mit den restlichen Angebotsunterlagen an die anfragende Gesundheitseinrichtung.
- Nachträglich auszufüllende individuelle Anforderungskataloge entfallen.
- Die Gesundheitseinrichtung bewertet das Produkt und die Selbstdeklaration im Rahmen ihrer Beurteilungsprozesse und fällt ihren Entscheid.
Bei reaktiven Beschaffungsprozessen definieren die Gesundheitseinrichtungen r ihre Anforderungen in Form einer «Spezifikation»: Ein standardisiertes elektronisches Formular, das den Standard abbildet und den Gesundheitseinrichtungen je nach Beschaffungsgegenstand ermöglicht einzelne Anforderungen z.B. für nicht relevant oder zwingend zu deklarieren.
- Die Gesundheitseinrichtungen erstellen, basierend auf den öffentlich verfügbaren Anforderungen, die standardisierte Spezifikation für ihre jeweilige Anfragebeschaffung.
- Die Lieferanten können diese Spezifikation beantworten, indem sie die «Selbstdeklaration» ihrer Produkte zu Rate ziehen. Die beiden Formulare «Spezifikation» der Gesundheitseinrichtungen und die «Selbstdeklaration» der Lieferanten sind kompatibel. Sie basieren auf dem gleichen Standard und führen identische Referenzen.
- Für Lieferanten, die bereits über Selbstdeklarationen ihrer Produkte verfügen, bedeutet die Beantwortung der Spezifikationen einen minimalen Aufwand.
- Die Lieferanten können die für ihre jeweiligen Produkte vorgesehenen zusätzlichen Schutzfunktionen aus der Selbstdeklaration, auch in der Spezifikation einsetzen und ihr Produkt dadurch aufwerten.
- Individuelle Anforderungskataloge pro Gesundheitseinrichtung entfallen. Der Standard vereinfacht den Prozess sowohl für die Lieferanten als auch für die Gesundheitseinrichtungen.
- Die ausgefüllte Spezifikation senden die Lieferanten zusammen mit den restlichen Angebotsunterlagen an die anfragende Gesundheitseinrichtung.
- Die Gesundheitseinrichtung bewertet das Produkt in dem es die ausgefüllten Spezifikationen vergleicht. Je nach Definition des Beschaffungsverfahrens wird die Gesundheitseinrichtung fehlende Schutzfunktionen durch zusätzliche Schutzmassnahmen seitens Gesundheitseinrichtung kompensieren. Diese Aufwände fliessen in die Bewertung ein, indem sie zu den angebotenen Preisen der Lieferanten addiert werden. Auf diese Weise können die Angebote nach einheitlichen IT-Grundschutzanforderungen verglichen werden.
Links zu den Dokumenten
Hinweis: Um das elektronische Formular korrekt nutzen zu können, wählen Sie nach dem Öffnen der Datei „Eine Kopie herunterladen → Excel“ aus.
Mitglieder finden weitere spezifische Unterlagen für die Gesundheitseinrichtungen auf der H-CSC-Plattform.
Ansprechpartner/-innen
Wenden Sie sich bei Fragen an Ihre Ansprechpersonen in der jeweiligen Gesundheitseinrichtung.
Breite Unterstützung
Die im Folgenden aufgeführten Gesundheitseinrichtungen setzen die IT-Grundschutzanforderungen in ihren Beschaffungsprozessen ein.
Diese Logo-Liste ist aktuell im Entstehen. Bereits zugesagt haben:
