B3S Pharma: Branchenspezifische KRITIS-Sicherheit

HiSolutions hat in Zusammenarbeit mit den Pharmaverbänden Deutschlands einen Branchen­spezifischen Sicherheitsstandard (B3S) entwickelt, der eine angemessene Umsetzung der Anforderungen des IT-Sicherheitsgesetzes erlaubt und neben der Compliance eine signi­fikante Erhöhung des IT-Sicherheitsniveaus in der Pharmabranche ermöglicht.

Success Story als PDF herunterladen

Ziele

Das im Jahr 2015 verabschiedete IT-Sicherheitsgesetz zielt darauf ab, die IT-Sicherheit von Unternehmen der KRITIS-Sektoren zu verbessern, um mittelbar eine höhere Versorgungssicherheit der Bevölkerung sicherzustellen.

Neben der Verpflichtung für Betreiber Kritischer Infrastrukturen, „erhebliche IT-Störfälle“ dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden, sind Anforderungen im Hinblick auf die Einhaltung­ von IT-Sicherheitsstandards nach dem „Stand der Technik“ zu erfüllen. 

Das IT-Sicherheitsgesetz sieht dabei die Möglichkeit vor, dass Betreiber und Branchen­verbände Branchenspezifische Sicherheitsstandards (B3S) zur Gewähr­leistung der gesetzlichen Anforderungen vorschlagen und vom BSI anerkennen lassen können (§ 8a (2) BSI-Gesetz). 

Damit sollen die Unternehmen, welche als Betreiber Kritischer Infrastrukturen identifiziert werden, in die Lage versetzt werden, die Nachweise gemäß § 8a (3) BSI-Gesetz erbringen zu können. Gleichzeitig erlaubt dies, Branchenspezifika und -erfahrungen in die Regulierung und den Sicherheitsprozess mit einzubringen, was Aufwände spart und das Sicherheitsniveau erhöht.

Die Verbände der pharmazeutischen Industrie (BAH, BPI, Pro Generika, vfa) und des Großhandels (PHAGRO) haben mit HiSolutions einen gemeinsamen B3S erstellt und erfolgreich durch das BSI anerkennen lassen. 
 

Herausforderungen

Die einreichende Stelle ist der Betreiber oder der Verband, der gemäß § 8a (2) BSIG berechtigt ist, eine Eignungsprüfung beim BSI zu beantragen.

Bei der Erstellung eines B3S, welcher große Akzeptanz finden soll, ist jedoch von Anfang an eine Vielzahl von Stakeholdern einzubinden, um unterschiedliche Blickwinkel und Schwerpunkte einzubringen, etwa Konzerne vs. Mittelständler, internationale vs. heimische Unternehmen, Selbst-Betreiber vs. IT-Outsourcer etc. pp.

Anwender des Standards sind die Betreiber Kritischer Infrastrukturen in der Pharma-Branche. Hier musste der B3S auf eine Vielzahl von Unternehmen, Strukturen und Voraus­setzungen passen, um allen Beteiligten einen Sicherheitsmehrwert zu bringen. 

Dies ist laut einhelliger Meinung der verschiedenen Verbände außerordentlich gut gelungen.
 

Umsetzung

Viel Wert wurde auf die klare Definition des Geltungsbereichs gelegt. Nur so können die kritischen Dienstleistungen genau abgegrenzt und nicht zu betrachtende Aspekte ausgeschlossen werden, was Aufwände bei Umsetzung und Prüfung spart.

Frühzeitige Gespräche und Workshops mit den Behörden, Vorabeignungsprüfungen und eine verbindliche Einreichung haben den Anerkennungsprozess effizient und die Zusammenarbeit mit BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) fruchtbar gemacht.
 

Ergebnis

Die im B3S definierten KRITIS-Schutzziele stellen sinnvolle, konkrete und praxisnahe­ Anforderungen an die qualitative und quantitative Versorgung mit den kritischen Dienstleistungen („Mindestqualität“) im Pharma-Bereich dar, im Einklang mit Best Practices der Branche wie GxP und GAMP. 

Der B3S regelt für alle maßgeblichen IT-Systeme, Komponenten und Prozesse die Behandlung aller relevanten Bedrohungen und Schwachstellen (All-Gefahrenansatz) und fügt sich dabei optimal in bereits bestehende Managementsysteme wie Risiko­management, ISO 9001 oder ISO 27001 ein. 

Betreiber, die noch über kein Risikomanagement verfügen, finden zudem eine schlanke Blaupause für ein solches, die auf die eigenen Bedürfnisse angepasst werden kann. Ob mit bereits bestehendem ISMS oder ohne – die beschriebenen Maßnahmen buchstabieren die relevanten Anforderungen soweit aus, dass sie praktisch handhabbar werden, ohne zu sehr ins Detail zu gehen. 

Ein Mapping zur ISO 27002 erlaubt die Inte­gration mit weiteren Normen. Insbesondere die spezifischen Maßnahmen zur Behandlung der branchenrelevanten Bedrohungen und Schwachstellen bieten einen Mehrwert über generische IT-Sicherheits-Standards und Guidelines hinaus.
 

Über die Pharma-Verbände

Die Verbände BAH, BPI, Pro Generika, vfa sowie der PHAGRO vertreten Industrie und Großhandel der Pharmazie in Deutschland.

Der Bundesverband der Arzneimittel-­Her­steller e. V. (BAH) ist der mitgliederstärkste Branchenverband der Arzneimittel­industrie in Deutschland und vertritt die Interessen von rund 400 Mitglieds­unternehmen. 

Auch der Bundesverband der Pharmazeutischen Industrie e. V. (BPI) vertritt das breite Spektrum der pharmazeutischen Industrie auf nationaler und internationaler Ebene. Rund 270 Unternehmen haben sich im BPI zusammengeschlossen. 

Der Verband Pro Generika e. V. (Pro Generika) vereint die Generika- und Biosimilarunternehmen in Deutschland, welche 78 Prozent des gesamten Arzneimittelbedarfs der 
gesetzlichen Krankenversicherung abdecken.

Die Mitglieder des Verbands Forschender Arzneimittelhersteller e. V. (vfa) repräsentieren mehr als zwei Drittel des gesamten deutschen Arzneimittelmarktes. Außerdem vertritt der vfa als Wirtschaftsverband die Interessen von 45 weltweit führenden forschenden Pharma-Unternehmen. 

Der PHAGRO | Bundesverband des pharma­zeutischen Großhandels e. V. vertritt alle elf vollversorgenden pharmazeutischen Großhandlungen in Deutschland, die ein nachfrageorientiertes, herstellerneutrales Vollsortiment führen und sämtliche öffentlichen Apotheken in Deutschland mit allen von Patienten nachgefragten Arzneimitteln schnell, sicher und flächendeckend versorgen.
 

Das sagt unser Kunde

„Der B3S Pharma ermöglicht allen Mitgliedern unserer Verbände, die Anforderungen des IT-Sicherheitsgesetzes nachweislich und effizient zu erfüllen. Mit ihm wird die Security in der Branche durch die Standardisierung individueller Sicherheitsniveaus weiterhin aufrecht erhalten und nachhaltig verbessert.“ 

H. Düwert; Verband Forschender Arzneimittelhersteller e. V.
 

Über die HiSolutions AG

Die HiSolutions AG ist einer der führenden deutschen Beratungsspezialisten für Informationssicherheit. 

Seit 1992 prägen wir den Wandel und die Entwicklung der Security vieler Organisationen im deutschsprachigen Raum mit. Mit über 200 fest angestellten Mitarbeitern bringen wir unser spezifisches Wissen und unsere Umsetzungserfahrung in über 600 Projekten jährlich ein.

HiSolutions war durch Vertreter in diversen Verbänden (u. a. BDI, Bitkom, ASW Bundesverband) in die Konsultationen und Verbände­anhörungen zur Gestaltung des IT-Sicherheitsgesetzes und der zugehörigen Verordnungen direkt involviert. 

HiSolutions gehört zu den vom BSI akkredi­tierten Schulungsanbietern für Fortbildungen zur „Zusätzlichen Prüfverfahrens-Kompetenz für § 8a BSIG“ für Kritische Infrastrukturen.

HiSolutions ist durch die BSI-Akkreditierung als Sicherheitsdienstleister qualifiziert, als prüfende Stelle für KRITIS die erforderlichen Prüfungen gemäß § 8a BSIG vorzunehmen.

Jetzt teilen: