SVP Kanton Schwyz
Interpellation: Sind unsere Spitäler genügend gegen Cyberrisiken gewappnet und ist die Aufsicht über die Krankenhäuser diesbezüglich adäquat?
In den letzten Jahren häuften sich Vorfälle im Bereich Cybersicherheit in der Schweiz. Die Folgen waren Betriebsunterbrüche, Datenverlust und finanzielle Schäden. Angriffsziele sind IT-Systeme und – im Fall von Spitälern – medizinische Apparate und Systeme. Der jüngste erfolgreiche Cyberangriff auf die Hirslanden-Gruppe zeigt die Verletzlichkeit des Gesundheitswesens in aller Deutlichkeit. Ein erfolgreicher Cyberangriff auf ein Krankenhaus kann im schlimmsten Fall Menschenleben kosten.
Gefahren bergen zudem der Einsatz von langjährig betriebenen – und damit potentiell – verwundbaren Systemen, wie auch die Zunahme von Verbindungen ins Internet, als auch die vermehrte Nutzung von Homeoffice.
Spitäler und das Gesundheitswesen insgesamt zählen zu den kritischen Infrastrukturen. Gerade kleinere Spitäler stehen unter finanziellem Druck; die Cybersicherheit wird deswegen möglicherweise nicht prioritär behandelt.
Aufsichtspflicht gemäss Spitalgesetz
Das kantonale Spitalgesetz (SpitG, 2014 letztmals revidiert und in Kraft seit 1.1.2015) verpflichtet den Regierungsrat die Spitalversorgung sicherzustellen. Er übt hierzu die Oberaufsicht über die Spitalversorgung aus. §4 fordert u.a. die Sicherstellung der Betreuung der Patienten und der betrieblichen Voraussetzungen. Darauf basiert auch die Bewilligung für den Betrieb.
Zur Bewilligungsvergabe gehört u.E. auch die Beurteilung der Effektivität der Cybersicherheit (Massnahmen um Risiken abwehren und Schäden zu verhindern).
Absicht der Interpellation
Da die IT-technische Entwicklung rasant fortschreitet ist eine mögliche Unterdeckung der zielführenden Massnahmen im Sinne einer zeitgemässen und wirkungsvollen Aufsicht ein hohes Risiko. Ziel unserer Interpellation ist die Beschaffung von Auskünften als Grundlagen für Vorschläge für angezeigte Verbesserungsmöglichkeiten.
Fragen an den Regierungsrat
- Erlangt der Regierungsrat periodisch Kenntnis über den Stand der Bemühungen zur
Minimierung von Cyberrisiken und somit der Qualität der Cybersicherheit? - Welches Gewicht hat bei der Beurteilung der Bewilligungsvergabe die Qualität der „Cybersicherheit” der Spitäler?
- Gibt es spezifische (Minimal-)Vorgaben für die Spitäler im Themenkomplex „Cybersicherheit” …
- zur periodischen Prüfung, Beurteilung und allenfalls Rapportierung an die Aufsicht?
- Audits durch interne / externe Prüfinstanzen oder dergleichen?
- für (Minimal-)Erfordernisse als Grundlage für die Bewilligungsvergabe?
- Sind seitens Aufsicht betriebsorganisatorische Prozesse etabliert, die der laufenden Anpassung der Beurteilungskriterien aufgrund der steigenden Risiken und der Komplexität Rechnung tragen, namentlich in den Bereichen…
- Beschaffungsmanagement der Spitäler?
- Asset Life Cycle Management der Spitäler?
- Security Operations & Incident Response der Spitäler?
- Datenschutz & Risiko Management der Spitäler?
