[[{}law:sgb_5:390|←]][[{}law:sgb_5|↑]][[{}law:sgb_5:392|→]]


==== § 391 IT-Sicherheit in Krankenhäusern ====

<wrap #abs_1 />
(1)<sub><wrap #abs_1_1 />[[law:sgb_5:391#abs_1_1|1]]</sub> Krankenhäuser sind verpflichtet, nach dem Stand der Technik
angemessene organisatorische und technische Vorkehrungen zur
Vermeidung von Störungen der Verfügbarkeit, Integrität und
Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten
oder Prozesse zu treffen, die für die Funktionsfähigkeit des
jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten
Patienteninformationen maßgeblich sind.

<wrap #abs_2 />
(2)<sub><wrap #abs_2_1 />[[law:sgb_5:391#abs_2_1|1]]</sub> Vorkehrungen nach Absatz 1 sind auch verpflichtende Maßnahmen zur
Steigerung der Security-Awareness von Mitarbeiterinnen und
Mitarbeitern.

<wrap #abs_3 />
(3)<sub><wrap #abs_3_1 />[[law:sgb_5:391#abs_3_1|1]]</sub> Organisatorische und technische Vorkehrungen nach Absatz 1 sind
angemessen, wenn der dafür erforderliche Aufwand nicht außer
Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung
des Krankenhauses oder dem Schutzbedarf der verarbeiteten
Patienteninformationen steht.

<wrap #abs_4 />
(4)<sub><wrap #abs_4_1 />[[law:sgb_5:391#abs_4_1|1]]</sub> Die Krankenhäuser können die Verpflichtungen nach den Absätzen 1
und 2 insbesondere erfüllen, indem sie einen branchenspezifischen
Sicherheitsstandard für die informationstechnische Sicherheit der
Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung
anwenden, dessen Eignung vom Bundesamt für Sicherheit in der
Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt
wurde.

<wrap #abs_5 />
(5)<sub><wrap #abs_5_1 />[[law:sgb_5:391#abs_5_1|1]]</sub> Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser,
soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen
gemäß § 8a des BSI-Gesetzes angemessene organisatorische und
technische Vorkehrungen zu treffen haben.