Lexipedia

17.3433 · Postulat · 2017-06-13

Departement des Innern

Erledigt

Wortlaut

Der Bundesrat wird ersucht, eine Strategie, erforderliche institutionelle Vorkehrungen sowie Massnahmen zur Verstärkung der Cybersicherheit im Gesundheitswesen zusammen mit Fachleuten und Kantonen zu prüfen und aufzuzeigen, auf wann und wie sie umgesetzt werden sollen und ob dafür neue rechtliche Grundlagen erforderlich sind. Insbesondere geht es um Massnahmen wie:

1. Bündelung von Know-how und Ressourcen bei Bund und Kantonen für die Cybersicherheit im Gesundheitswesen mit Blick auf verschiedene Szenarien, wie alltägliche Cybersicherheit, koordinierte Hackerattacken nach dem Muster von "Wanna Cry", massive, hochkomplexe und flächendeckende Hackerangriffe von strategischem Ausmass. Dabei ist zu klären, wer welche Dienstleistung erbringt und wer die Kosten trägt;

2. Aufbau von Angriffs- oder Hackerkapazitäten, um Abwehrmassnahmen zu testen;

3. Aufbau zusätzlicher qualitativer und quantitativer Ressourcen zur Sicherstellung der Frühwarnung und Unterstützung bei Cyberangriffen rund um die Uhr;

4. Information der Spitäler über die detaillierten Resultate der vom Babs unter Verschluss gehaltenen Verwundbarkeits- und Risikoanalyse;

5. Einführung einer Meldepflicht bei sicherheitsrelevanten Cyberereignissen insbesondere bei Spitälern und Gesundheitsinstitutionen, auch um damit ein Warnsystem und Best-Practice-Empfehlungen aufzubauen;

6. Überprüfen und Anpassen von Mindeststandards an die Herausforderungen der Cybersicherheit bei Geräten wie z. B. computergesteuerte Diagnose-, Analyse-, Mess- und Behandlungsinstrumente, lebenserhaltende Maschinen usw.;

7. Vereinbarungen mit den Kantonen über harmonisierende Mindestvorgaben für die IT-Sicherheit in Spitälern (Cyber-Intelligence-Programme usw.) sowie für Redundanz und Ausfallsicherheit;

8. Zertifizierungsmöglichkeiten sicherer Hard- und Software-Komponenten.

Begründung

In der Beantwortung der Interpellation Heim 17.3136, "Cyber-Sicherheit im Gesundheitswesen", betont der Bundesrat die Eigenverantwortung der Spitäler. Seine Risiko- und Verwundbarkeitsanalyse der Gesundheitsversorgung erwähnt er nicht. Er bestreitet die Notwendigkeit eines Cybersicherheitskonzepts und erwähnt die (unverbindliche) Zusammenarbeit der Medizintechnik mit Melani. Die EU aber sieht für die Cybersicherheit eine obligatorische Meldepflicht vor. Meldepflicht, Massnahmen für die IT-Sicherheit in Spitälern und die Stärkung von Melani sind dringend zu prüfen und umzusetzen.

Antrag des Bundesrates

Der Bundesrat beantragt die Ablehnung des Postulates.

Stellungnahme des Bundesrates

Der Bundesrat ist sich bewusst, dass eine hohe Daten- und Cybersicherheit im Gesundheitssystem eine wichtige Voraussetzung für das Vertrauen der Bevölkerung, der Patientinnen und Patienten, aber auch der Gesundheitsfachpersonen in E-Health-Anwendungen wie das elektronische Patientendossier darstellt. Ein ausreichender Schutz von digitalen Gesundheitsdaten ist eine wesentliche Voraussetzung für eine flächendeckende digitale Vernetzung im Gesundheitssystem. Nur so können die von der stetig voranschreitenden Digitalisierung erwarteten Nutzen für die Gesundheitsversorgung wie Verbesserung der Behandlungsqualität, Erhöhung der Patientensicherheit und Steigerung der Effizienz auch realisiert werden.

Zurzeit wird im Rahmen der Umsetzung der Strategie Digitale Schweiz, die der Bundesrat im April 2016 verabschiedet hat, gemeinsam von Bund und Kantonen die Strategie E-Health Schweiz 2.0 erarbeitet. Im Rahmen dieser Weiterentwicklung der Strategie E-Health Schweiz aus dem Jahre 2007 soll den Themen Datenschutz, Datensicherheit sowie Cybersicherheit besondere Aufmerksamkeit geschenkt werden. Dazu werden die zuständigen Bundesstellen (BAG, ISB, Babs usw.) unter Beizug von Expertinnen und Experten sowie gemeinsam mit den Kantonen und den weiteren betroffenen Akteuren konkrete Massnahmen zur Verbesserung der Daten- und Cybersicherheit im Gesundheitswesen erarbeiten. Im Rahmen dieser Arbeiten wird auch die Umsetzung der im Postulat erwähnten Massnahmen geprüft werden.

Zudem wurde im Rahmen der Strategie zum Schutz der Schweiz vor Cyberrisiken sowie der nationalen Strategie zum Schutz kritischer Infrastrukturen bereits die Resilienz des kritischen Teilsektors "Ärztliche Betreuung und Spitäler" überprüft, und basierend auf den Ergebnissen wurden Massnahmen zu deren Verbesserung erarbeitet. Im Fokus der Arbeiten stehen dabei insbesondere Verwundbarkeiten der Informations- und Kommunikationstechnologien und Cyberrisiken.

In diesem Sinne erachtet der Bundesrat das Anliegen des Postulates bereits als erfüllt und beantragt deshalb dessen Ablehnung.

Der Bundesrat beantragt die Ablehnung des Postulates.