Postu­lat Heim (17.3433): Cyber­si­cher­heit im Gesund­heits­we­sen

Eingereichter Text

Der Bun­des­rat wird ersucht, eine Stra­te­gie, erfor­der­li­che insti­tu­tio­nel­le Vor­keh­run­gen sowie Mass­nah­men zur Ver­stär­kung der Cyber­si­cher­heit im Gesund­heits­we­sen zusam­men mit Fach­leu­ten und Kan­to­nen zu prü­fen und auf­zu­zei­gen, auf wann und wie sie umge­setzt wer­den sol­len und ob dafür neue recht­li­che Grund­la­gen erfor­der­lich sind. Ins­be­son­de­re geht es um Mass­nah­men wie:

  • Bün­de­lung von Know-how und Res­sour­cen bei Bund und Kan­to­nen für die Cyber­si­cher­heit im Gesund­heits­we­sen mit Blick auf ver­schie­de­ne Sze­na­ri­en, wie all­täg­li­che Cyber­si­cher­heit, koor­di­nier­te Hacker­at­tacken nach dem Muster von “Wan­na Cry”; mas­si­ve, hoch­kom­ple­xe und flä­chen­decken­de Hacker­an­grif­fe von stra­te­gi­schem Aus­mass. Dabei ist zu klä­ren, wer wel­che Dienst­lei­stung erbringt und wer die Kosten trägt.
  • Auf­bau von Angriffs- oder Hacker­ka­pa­zi­tä­ten um Abwehr­mass­nah­men zu testen;
  • Auf­bau zusätz­li­cher qua­li­ta­ti­ver und quan­ti­ta­ti­ver Res­sour­cen zur Sicher­stel­lung der Früh­war­nung und Unter­stüt­zung bei Cyber­an­grif­fen rund um die Uhr;
  • Infor­ma­ti­on der Spi­tä­ler über die detail­lier­ten Resul­ta­te der vom BABS unter Ver­schluss gehal­te­nen Ver­wund­bar­keits- und Risi­ko­ana­ly­se;
  • Ein­füh­rung einer Mel­de­pflicht bei sicher­heits­re­le­van­ten Cyber­er­eig­nis­sen ins­be­son­de­re bei Spi­tä­lern und Gesund­heits­in­sti­tu­tio­nen. Auch damit ein Warn­sy­stem und Best-Prac­tice-Emp­feh­lun­gen auf­zu­bau­en;
  • Über­prü­fen und anpas­sen von Min­dest-Stan­dards an die Her­aus­for­de­run­gen der Cyber-Sicher­heit bei Gerä­ten wie z.B. com­pu­ter­ge­steu­er­te Dia­gno­se-, Ana­ly­se-, Mess- und Behand­lungs­in­stru­men­te, lebens­er­hal­ten­den Maschi­nen usw.;
  • Ver­ein­ba­run­gen mit den Kan­to­nen über har­mo­ni­sie­ren­de Min­dest-Vor­ga­ben für die IT-Sicher­heit in Spi­tä­lern (Cyber-Intel­li­gence-Pro­gram­me, usw.). sowie für Red­un­danz und Aus­fall­si­cher­heit;
  • Zer­ti­fi­zie­rungs­mög­lich­kei­ten siche­rer Hard- und Soft­ware-Kom­po­nen­ten.

Begründung

In der Beant­wor­tung der Ip. 17.3136 “Cyber-Sicher­heit …” betont der Bun­des­rat die Eigen­ver­ant­wor­tung der Spi­tä­ler. Sei­ne Risi­ko-und Ver­wund­bar­keits­ana­ly­se der Gesund­heits­ver­sor­gung erwähnt er nicht. Er bestrei­tet die Not­wen­dig­keit eines Cyber­si­cher­heits­kon­zepts und erwähnt die (unver­bind­li­che) Zusam­men­ar­beit der Medi­zin­tech­nik mit Mela­ni. Die EU aber sieht für die Cyber­si­cher­heit eine obli­ga­to­ri­sche Mel­de­pflicht vor. Mel­de­pflicht, Mass­nah­men für die IT-Sicher­heit in Spi­tä­lern und die Stär­kung von Mela­ni sind drin­gend zu prü­fen und umzu­set­zen.

Stellungnahme des Bundesrats vom 30. August 2017

Der Bun­des­rat ist sich bewusst, dass eine hohe Daten- und Cyber­si­cher­heit im Gesund­heits­sy­stem eine wich­ti­ge Vor­aus­set­zung für das Ver­trau­en der Bevöl­ke­rung, der Pati­en­tin­nen und Pati­en­ten aber auch der Gesund­heits­fach­per­so­nen in eHe­alth-Anwen­dun­gen wie das elek­tro­ni­sche Pati­en­ten­dos­sier dar­stellt. Ein aus­rei­chen­der Schutz von digi­ta­len Gesund­heits­da­ten ist eine wesent­li­che Vor­aus­set­zung für eine flä­chen­decken­de digi­ta­le Ver­net­zung im Gesund­heits­sy­stem. Nur so kön­nen die von der ste­tig vor­an­schrei­ten­den Digi­ta­li­sie­rung erwar­te­ten Nut­zen für die Gesund­heits­ver­sor­gung wie Ver­bes­se­rung der Behand­lungs­qua­li­tät, Erhö­hung der Pati­en­ten­si­cher­heit und Stei­ge­rung der Effi­zi­enz auch rea­li­siert wer­den.
Zur­zeit wird im Rah­men der Umset­zung der Stra­te­gie “Digi­ta­le Schweiz”, die der Bun­des­rat im April 2016 ver­ab­schie­det hat, gemein­sam von Bund und Kan­to­nen die “Stra­te­gie eHe­alth Schweiz 2.0” erar­bei­tet. Im Rah­men die­ser Wei­ter­ent­wick­lung der “Stra­te­gie eHe­alth Schweiz” aus dem Jah­re 2007 soll den The­men Daten­schutz, Daten­si­cher­heit sowie Cyber­si­cher­heit beson­de­re Auf­merk­sam­keit geschenkt wer­den. Dazu wer­den die zustän­di­gen Bun­des­stel­len (BAG, ISB, BABS, etc.) unter Bei­zug von Exper­tin­nen und Exper­ten sowie gemein­sam mit den Kan­to­nen und den wei­te­ren betrof­fe­nen Akteu­ren kon­kre­te Mass­nah­men zur Ver­bes­se­rung der Daten- und Cyber­si­cher­heit im Gesund­heits­we­sen erar­bei­ten. Im Rah­men die­ser Arbei­ten wird auch die Umset­zung der im Postu­lat erwähn­ten Mass­nah­men geprüft wer­den.
Zudem wur­den im Rah­men der Stra­te­gie zum Schutz der Schweiz vor Cyber-Risi­ken (NCS) sowie der natio­na­len Stra­te­gie zum Schutz kri­ti­scher Infra­struk­tu­ren (SKI) bereits die Resi­li­enz des kri­ti­schen Teil­sek­tors “Ärzt­li­che Betreu­ung und Spi­tä­ler” über­prüft und basie­rend auf den Ergeb­nis­sen Mass­nah­men zu deren Ver­bes­se­rung erar­bei­tet. Im Fokus der Arbei­ten ste­hen dabei ins­be­son­de­re Ver­wund­bar­kei­ten der Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gi­en und Cyber­ri­si­ken.
In die­sem Sin­ne erach­tet der Bun­des­rat das Anlie­gen des Postu­la­tes bereits als erfüllt und bean­tragt des­halb des­sen Ableh­nung.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.