Postulat Heim (17.3433): Cybersicherheit im Gesundheitswesen
Eingereichter Text
Der Bundesrat wird ersucht, eine Strategie, erforderliche institutionelle Vorkehrungen sowie Massnahmen zur Verstärkung der Cybersicherheit im Gesundheitswesen zusammen mit Fachleuten und Kantonen zu prüfen und aufzuzeigen, auf wann und wie sie umgesetzt werden sollen und ob dafür neue rechtliche Grundlagen erforderlich sind. Insbesondere geht es um Massnahmen wie:
- Bündelung von Know-how und Ressourcen bei Bund und Kantonen für die Cybersicherheit im Gesundheitswesen mit Blick auf verschiedene Szenarien, wie alltägliche Cybersicherheit, koordinierte Hackerattacken nach dem Muster von “Wanna Cry”; massive, hochkomplexe und flächendeckende Hackerangriffe von strategischem Ausmass. Dabei ist zu klären, wer welche Dienstleistung erbringt und wer die Kosten trägt.
- Aufbau von Angriffs- oder Hackerkapazitäten um Abwehrmassnahmen zu testen;
- Aufbau zusätzlicher qualitativer und quantitativer Ressourcen zur Sicherstellung der Frühwarnung und Unterstützung bei Cyberangriffen rund um die Uhr;
- Information der Spitäler über die detaillierten Resultate der vom BABS unter Verschluss gehaltenen Verwundbarkeits- und Risikoanalyse;
- Einführung einer Meldepflicht bei sicherheitsrelevanten Cyberereignissen insbesondere bei Spitälern und Gesundheitsinstitutionen. Auch damit ein Warnsystem und Best-Practice-Empfehlungen aufzubauen;
- Überprüfen und anpassen von Mindest-Standards an die Herausforderungen der Cyber-Sicherheit bei Geräten wie z.B. computergesteuerte Diagnose‑, Analyse‑, Mess- und Behandlungsinstrumente, lebenserhaltenden Maschinen usw.;
- Vereinbarungen mit den Kantonen über harmonisierende Mindest-Vorgaben für die IT-Sicherheit in Spitälern (Cyber-Intelligence-Programme, usw.). sowie für Redundanz und Ausfallsicherheit;
- Zertifizierungsmöglichkeiten sicherer Hard- und Software-Komponenten.
Begründung
In der Beantwortung der Ip. 17.3136 “Cyber-Sicherheit …” betont der Bundesrat die Eigenverantwortung der Spitäler. Seine Risiko-und Verwundbarkeitsanalyse der Gesundheitsversorgung erwähnt er nicht. Er bestreitet die Notwendigkeit eines Cybersicherheitskonzepts und erwähnt die (unverbindliche) Zusammenarbeit der Medizintechnik mit Melani. Die EU aber sieht für die Cybersicherheit eine obligatorische Meldepflicht vor. Meldepflicht, Massnahmen für die IT-Sicherheit in Spitälern und die Stärkung von Melani sind dringend zu prüfen und umzusetzen.
Stellungnahme des Bundesrats vom 30. August 2017
Der Bundesrat ist sich bewusst, dass eine hohe Daten- und Cybersicherheit im Gesundheitssystem eine wichtige Voraussetzung für das Vertrauen der Bevölkerung, der Patientinnen und Patienten aber auch der Gesundheitsfachpersonen in eHealth-Anwendungen wie das elektronische Patientendossier darstellt. Ein ausreichender Schutz von digitalen Gesundheitsdaten ist eine wesentliche Voraussetzung für eine flächendeckende digitale Vernetzung im Gesundheitssystem. Nur so können die von der stetig voranschreitenden Digitalisierung erwarteten Nutzen für die Gesundheitsversorgung wie Verbesserung der Behandlungsqualität, Erhöhung der Patientensicherheit und Steigerung der Effizienz auch realisiert werden.
Zurzeit wird im Rahmen der Umsetzung der Strategie “Digitale Schweiz”, die der Bundesrat im April 2016 verabschiedet hat, gemeinsam von Bund und Kantonen die “Strategie eHealth Schweiz 2.0” erarbeitet. Im Rahmen dieser Weiterentwicklung der “Strategie eHealth Schweiz” aus dem Jahre 2007 soll den Themen Datenschutz, Datensicherheit sowie Cybersicherheit besondere Aufmerksamkeit geschenkt werden. Dazu werden die zuständigen Bundesstellen (BAG, ISB, BABS, etc.) unter Beizug von Expertinnen und Experten sowie gemeinsam mit den Kantonen und den weiteren betroffenen Akteuren konkrete Massnahmen zur Verbesserung der Daten- und Cybersicherheit im Gesundheitswesen erarbeiten. Im Rahmen dieser Arbeiten wird auch die Umsetzung der im Postulat erwähnten Massnahmen geprüft werden.
Zudem wurden im Rahmen der Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) sowie der nationalen Strategie zum Schutz kritischer Infrastrukturen (SKI) bereits die Resilienz des kritischen Teilsektors “Ärztliche Betreuung und Spitäler” überprüft und basierend auf den Ergebnissen Massnahmen zu deren Verbesserung erarbeitet. Im Fokus der Arbeiten stehen dabei insbesondere Verwundbarkeiten der Informations- und Kommunikationstechnologien und Cyberrisiken.
In diesem Sinne erachtet der Bundesrat das Anliegen des Postulates bereits als erfüllt und beantragt deshalb dessen Ablehnung.