Cybersicherheit im Gesundheitswesen

201731362023-07-28T04:39:22Z2841;1236;34Ip.8Interpellation2601f1156Heim BeaHeimFraktion SS2Sozialdemokratische FraktionauthorNR1NationalratN2017-03-15T00:00:00Z5050073NormalNR1NationalratN2017-06-16T00:00:00ZErledigt302017-05-10T00:00:00Z0EFD7Finanzdepartementtrue2017-03-15T00:00:0024Im Rat noch nicht behandelt2017-06-16T00:00:00229ErledigtdeNR1NationalratN12657f1337Glanzmann-Hunkeler IdaGlanzmanncosign2728m3931Weibel ThomasWeibelcosign2666f3830Carobbio Guscetti MarinaCarobbio Guscetticosign2678f3875Eichenberger-Walther CorinaEichenbergercosign2744f4031Ingold MajaIngoldcosign2745m4032Jans BeatJanscosign2652f1295Graf-Litscher EdithGraf-Litschercosign2608f1147Kiener Nellen MargretKiener Nellencosign2752m4046Quadri LorenzoQuadricosign2630f1129Schenker SilviaSchenker Silviacosign2751m4045Pardini CorradoPardinicosign2763m4061Hardegger ThomasHardeggercosign2777f4069Feri YvonneFeri Yvonnecosign2772m4067Brand HeinzBrandcosign2792m4076Hadorn PhilippHadorncosign2778m4074Fridez Pierre-AlainFridezcosign2799m4094Hess LorenzHess Lorenzcosign3003m4093Glättli BalthasarGlättlicosign3036f4134Munz MartinaMunzcosign3035f4131Friedl ClaudiaFriedl Claudiacosign2747f4036Streiff-Feller MarianneStreiffcosign2583f1131Allemann EviAllemanncosign3076m4162Grüter FranzGrütercosign3071f4195Fehlmann Rielle LaurenceFehlmann Riellecosign3077m4196Guldimann TimGuldimanncosign3084f4197Marti Min LiMarti Min Licosign3094f4199Seiler Graf PriskaSeiler Grafcosign3104m4203Barrile AngeloBarrilecosign3020m4115Schwaab Jean ChristopheSchwaabcosign3028f4123Schneider Schüttel UrsulaSchneider Schüttelcosign2601f1156Heim BeaHeimFraktion SS2Sozialdemokratische Fraktionauthor17.3136229Erledigt0014Antwort BR / Büro1. Ein wichtiger Grundsatz der Nationalen Cyberstrategie (NCS) ist die Eigenverantwortung der Unternehmen. Jedes Unternehmen ist für den sicheren Betrieb seiner IT-Infrastruktur selber verantwortlich. Neben allgemeinen Richtlinien gibt der Bund bezogen auf die aktuelle Bedrohungslage Empfehlungen ab, welche in die Risikobeurteilung von kritischen Informationsinfrastrukturen, darunter auch Firmen im Gesundheitssektor, einfliessen. Auch haben das Bundesamt für Bevölkerungsschutz und das Bundesamt für wirtschaftliche Landesversorgung im Rahmen der Umsetzung der NCS Risiko- und Verwundbarkeitsanalysen im Gesundheitssektor durchgeführt. Daraus resultieren ebenfalls Empfehlungen. Ob und in welcher Form die Unternehmen diese Empfehlungen umsetzen, bleibt ihnen überlassen. Dieser Grundsatz macht Sinn, weil weder Bund noch Kantone die IT-Infrastrukturen von Spitälern, Arztpraxen usw. im Detail kennen können.2. Bereits heute besteht eine enge Zusammenarbeit zwischen Melani und der Medizintechnik. Seit Anfang 2016 konnte diese Zusammenarbeit stark intensiviert und ausgebaut werden.3. Die Verantwortung und damit auch die Haftung für die Sicherheit eines Medizinproduktes liegen beim Hersteller. Die Sicherheit der IT-Infrastruktur in einem Spital liegt in der Verantwortung der Spitalleitung. Der Bundesrat hat im Rahmen der Verabschiedung der Strategie Digitale Schweiz (vgl. www.bakom.admin.ch > Digitale Schweiz und Internet > Strategie Digitale Schweiz) das EDI (Bundesamt für Gesundheit) beauftragt, gemeinsam mit den Kantonen die Strategie E-Health Schweiz aus dem Jahre 2007 zu aktualisieren. Der Auftrag erging im Rahmen des Aktionsplans "Strategie Digitale Schweiz", welcher integraler Bestandteil der Strategie Digitale Schweiz ist. In diesem Rahmen wird auch geklärt werden, ob zur Förderung der Datensicherheit im Gesundheitswesen zusätzliche Massnahmen nötig sind. Die Strategie soll im Laufe des Jahres 2018 verabschiedet werden.4. Die für die Markteinführung von Medizinprodukten in der EU (und im Rahmen des Abkommens über die technischen Handelshemmnisse zwischen der Schweiz und der EU auch für die Schweiz) zu beachtenden europäischen Medizinprodukte-Richtlinien stellen grundlegende Anforderungen an die Sicherheit der Produkte auf, die von den Herstellern zu beachten sind. Medizinprodukte dürfen erst in Verkehr gebracht werden, wenn das jeweilige Konformitätsbewertungsverfahren erfolgreich abgeschlossen ist. Die zu beachtenden Normen bilden den aktuellen Stand der Wissenschaft und Technik ab. Es liegt immer in der Verantwortung des Herstellers, diese zu beachten und die für seine Produkte angemessenen Massnahmen umzusetzen.5. Diese Aussage trifft nur bedingt zu. Medizinprodukte dürfen wie erwähnt nur in Verkehr gebracht werden, wenn diese konform sind. Dies beinhaltet u. a. auch entsprechende Verifikations- und Validierungstests. Werden technische Anpassungen an konformen Medizinprodukten vorgenommen, müssen diese Anpassungen neu beurteilt werden. Die Haftung für den Einsatz eines nichtkonformen Produktes liegt bei der Anwenderin oder dem Anwender bzw. im Spitalbereich beim Spital.6. Nach Auffassung des Bundesrates ist ein solches Cybersicherheitskonzept nicht notwendig (vgl. Antwort auf Frage 1). Ob einzelne zusätzliche Massnahmen notwendig sind, wird im Rahmen der Aktualisierung der Strategie E-Health Schweiz (vgl. Antwort auf Frage 3) geklärt werden. Antwort des Bundesrates.5Eingereichter TextDie Vernetzung und der IoT-Trend bringen für die Gesundheitsversorgung und Patienten Fortschritte, bergen aber auch Risiken. Die Nationale Cyberrisiko-Strategie (NCS) bezeichnet das Gesundheitswesen als kritische Infrastruktur. Die Verwundbarkeits- und Risikoanalyse sowie Melani zeigen die Risiken durch Cyber-Angriffe und die "Verletzlichkeit" von Spitälern, medizinischen Geräten, Diagnose- und Analysegeräten oder Implantaten durch Ransomware und Internet-Angriffe. Der jüngste Melani-Halbjahresbericht titelt "Es geht um Leben und Tod". Er zeigt den Handlungsbedarf betreffend Cybersicherheit in Spitälern, bei IT-gesteuerten Medizinprodukten und Implantaten. Er betont, das IT-Sicherheitsbewusstsein sei sehr unterschiedlich bei Spitälern, Labors, Arztpraxen und risikobehafteten Medizinprodukten. Projekte der Auslagerung der spitalinternen IT an externe Provider erhöhten die Verwundbarkeit zusätzlich. Der Bundesrat wird ersucht, folgende Fragen zu beantworten:1. Welche Vorkehrungen sind von Bund und Kantonen zu treffen, um die Cyber- und Hackersicherheit in der Gesundheitsversorgung zu stärken und die Risiken für die technische Infrastruktur, Datenverarbeitung und die Medizintechnologie und Medizinprodukte zu minimieren?2. Was kann in Zusammenarbeit mit der Wirtschaft, insbesondere mit der Medizinalbranche, getan werden, um die Cyber- und Hackersicherheit zu stärken?3. Sind die existierenden Regelungen, Mechanismen und Anreizsysteme ausreichend, um Risiken zu minimieren und die Sicherheit zu gewährleisten? Oder muss z. B. im Bereich der Haftung und des Sicherheitsnachweises nachjustiert werden?4. Wie beurteilen Fachleute die EU-Richtlinie, gültig für die Zulassung von Medizinprodukten in der Schweiz, sowie deren Software-Norm von 2006 angesichts der technologischen Entwicklung und Risiken?5. Laut Melani können IT-gesteuerte Diagnose- und Analysegeräte zum Teil nur unter Verlust der Zertifizierung geschützt werden - wer haftet in solchen Fällen für die Risiken?6. Deutschland hat ein IT-Sicherheitsgesetz, die EU die NIS-Richtlinie für Cybersicherheit. Welche Leitlinien für die IT-Sicherheit in der Gesundheitsversorgung, bei risikobehafteten Medizinprodukten und Implantaten gelten bei uns? Braucht auch die Schweiz Richtlinien bzw. Massnahmen für ein Bund, Kantone, Leistungserbringer und Wirtschaft einbeziehendes Cybersicherheitskonzept im Gesundheitswesen?1Titel des GeschäftesCybersicherheit im GesundheitswesenCybersicherheit im Gesundheitswesen