Das IT-Sicherheitsgesetz verpflichtet die Betreiber kritischer Infrastrukturen spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen. Dabei soll der Stand der Technik eingehalten werden. Nun ist die Rechtsverordnung zum 30.06.2017 in Kraft getreten - die Zeit läuft.

Der einzuhaltende Stand der Technik ist jedoch bislang nirgendwo verbindlich definiert. Der "Branchenarbeitskreis (BAK) Gesundheitsversorgung" in der Initiative UP KRITIS erarbeitet dazu derzeit einen Branchenspezifischen Sicherheitsstandard (B3S).

Um den betroffenen Krankenhäusern, die unter das IT-Sicherheitsgesetz fallen, schon jetzt eine Orientierungshilfe mit auf den Weg zu geben, hat der BAK vorab eine "Handlungsempfehlung für die Verbesserung zur Informationssicherheit an Kliniken" herausgegeben.

Die Version 1.1 (Stand 17.07.2017) der Handlungsempfehlung wurde im Vergleich zur Ursprungsversion 1.0 (Stand 31.05.2017) um Hinweise zum verwendeten Traffic Light Protocol (TLP) ergänzt. Die aktuelle Version 1.2 (Stand 27.07.2017) enthält zusätzlich am Ende des Kapitels 7 eine ergänzende Empfehlung zu Anforderungen an Lieferanten. 

Die ersten beiden Versionen waren nur über die Website des KH-IT abrufbar, seit Version 1.2 lassen sich die Handlungsempfehlungen auch über die Seite des UP KRITIS abrufen.