Wed. Aug 10th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Hintergrundnotiz: Das Information Technology Laboratory (ITL) des National Institute of Standards and Technology (NIST) fördert die US-Wirtschaft und das Gemeinwohl, indem es die technische Führung für die Mess- und Normeninfrastruktur des Landes übernimmt. ITL entwickelt Tests, Testmethoden, Referenzdaten, Proof-of-Concept-Implementierungen und technische Analysen, um die Entwicklung und den produktiven Einsatz von Informationstechnologie voranzutreiben. Zu den Aufgaben der ITL gehört die Entwicklung von Management-, Verwaltungs-, technischen und physischen Standards und Richtlinien für die kostengünstige Sicherheit und den Datenschutz anderer als nationaler sicherheitsrelevanter Informationen in föderalen Informationssystemen. Dieses Dokument von NIST bietet praktische Anleitungen und Ressourcen, die von regulierten Unternehmen jeder Größe zum Schutz von ePHI und zum besseren Verständnis der in der HIPAA-Sicherheitsregel diskutierten Sicherheitskonzepte verwendet werden können.

    NIST Ankündigung und Sonderpublikation*

    NIST aktualisiert Leitlinien für Cybersicherheit im Gesundheitswesen

    Der überarbeitete Veröffentlichungsentwurf soll Organisationen bei der Einhaltung der HIPAA-Sicherheitsregel unterstützen.

    Ankündigung (21. Juli 2022)

    Um Gesundheitsorganisationen beim Schutz der persönlichen Gesundheitsinformationen von Patienten zu unterstützen, hat das National Institute of Standards and Technology (NIST) seine Leitlinien zur Cybersicherheit für die Gesundheitsbranche aktualisiert.

    Der neue Veröffentlichungsentwurf von NIST mit dem formellen Titel Implementation the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2) soll der Branche helfen, die Vertraulichkeit, Integrität und Verfügbarkeit von elektronische geschützte Gesundheitsinformationen oder ePHI. Der Begriff umfasst ein breites Spektrum von Patientendaten, einschließlich Verschreibungen, Laborergebnissen und Aufzeichnungen über Krankenhausbesuche und Impfungen.

    „Eines unserer Hauptziele ist es, die aktualisierte Veröffentlichung eher zu einem Ressourcenleitfaden zu machen“, sagte Jeff Marron, ein NIST-Cybersicherheitsspezialist. „Die Überarbeitung ist umsetzbarer, sodass Gesundheitsorganisationen ihre Cybersicherheitslage verbessern und die Sicherheitsregel einhalten können.“

    Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein Bundesgesetz, das die Schaffung nationaler Standards vorschreibt, um sensible Patientengesundheitsinformationen vor der Offenlegung ohne Zustimmung oder Wissen des Patienten zu schützen. Teil von HIPAA ist die Sicherheitsregel, die sich speziell auf den Schutz von ePHI konzentriert, das eine Gesundheitsorganisation erstellt, empfängt, verwaltet oder überträgt. NIST erstellt keine Vorschriften zur Durchsetzung von HIPAA, aber der überarbeitete Entwurf steht im Einklang mit der Mission von NIST, Leitlinien zur Cybersicherheit bereitzustellen. Die aktualisierten Leitlinien von NIST sind besonders aktuell, da das US-Gesundheitsministerium einen Anstieg von Cyberangriffen auf das Gesundheitswesen festgestellt hat.

    Das NIST bittet bis zum 21. September 2022 um Kommentare zum Entwurf der Veröffentlichung.

    Einer der Hauptgründe, warum NIST die Überarbeitung entwickelt hat, ist die Integration in andere NIST-Leitlinien zur Cybersicherheit, die es bei der Veröffentlichung von Revision 1 im Jahr 2008 noch nicht gab. Seitdem hat NIST sein bekanntes Cybersecurity Framework entwickelt und seine Sammlung von Sicherheits- und Datenschutzkontrollen (NIST SP 800-53) wiederholt aktualisiert, mit denen Unternehmen ihre eigenen Risikomanagementansätze anpassen können. Der neue Leitlinienentwurf für HIPAA-Sicherheitsregeln stellt explizite Verbindungen zu diesen und anderen NIST-Cybersicherheitsressourcen her.

    „Wir haben alle Elemente der HIPAA-Sicherheitsregel den Unterkategorien des Cybersecurity Framework und den Kontrollen in der neuesten Version von NIST SP 800-53 zugeordnet“, sagte Marron. „Wir haben unseren Schwerpunkt verstärkt auf die Risikomanagementkomponente der Leitlinien gelegt, einschließlich der Integration von Unternehmensrisikomanagementkonzepten.“

    Der Entwurf berücksichtigt mehr als 400 einzigartige Antworten, die NIST im vergangenen Jahr auf seine Aufforderung zur Einreichung von Kommentaren vor dem Entwurf erhalten hat. Marron beschreibt den Entwurf eher als Aktualisierung als Überarbeitung, da sich die Struktur des Dokuments nur geringfügig geändert hat, der Inhalt jedoch aktualisiert wurde, wobei der Schwerpunkt verstärkt auf der Bewertung und dem Management von Risiken für ePHI lag. Viele der wesentlichen Änderungen sind in der „Notiz an Rezensenten“ der Publikation enthalten, in der die Leser um Gedanken zu bestimmten Abschnitten gebeten werden.

    Marron sagte, dass der überarbeitete Entwurf, wie bei vielen verwandten NIST-Publikationen zur Cybersicherheit, keine Checkliste für Gesundheitsorganisationen sein sollte, sondern sie bei der Verbesserung ihres Risikomanagements für ePhI unterstützen sollte.

    „Wir stellen eine Ressource zur Verfügung, die Sie bei der Implementierung der Sicherheitsregel in Ihrer eigenen Organisation unterstützen kann, die möglicherweise besondere Anforderungen hat“, sagte er. „Unser Ziel ist es, Anleitungen und Ressourcen anzubieten, die Sie in einer lesbaren Publikation verwenden können.“

    NIST akzeptiert Kommentare zu dem Entwurf bis zum 21. September 2022 per E-Mail an sp800-66-comments@nist.gov.

    Lesen Sie die ursprüngliche Ankündigung.

    NIST-Sonderpublikation - Erster öffentlicher Entwurf: Implementierung der HIPAA-Sicherheitsregel - Ein Leitfaden für Cybersicherheitsressourcen (PDF) - Mouseover zum Scrollen

    NIST — Implementierung der HIPAA-Sicherheitsregel — Ein Leitfaden für Ressourcen zur Cybersicherheit

    Lesen Sie die Originalveröffentlichung.

    *Mit Genehmigung geteilt.

    Zusätzliche Lektüre

    Ein sicherer Ort? EDPB und EDSB verabschieden gemeinsame Stellungnahme zum Vorschlag für einen europäischen Gesundheitsdatenraum

    Ein solides Fundament? NIST veröffentlicht Überprüfung der Methoden der digitalen Forensik

    Quelle: ComplexDiscovery

    Die Spitze des Eisbergs? Neuer ENISA-Bericht zur Bedrohungslandschaft für Ransomware-Angriffe

    According to ENISA, this threat landscape report analyzed a total of...

    Verbraucher zahlen den Preis? Laut neuem IBM-Bericht erreichen die Kosten einer Datenschutzverletzung ein Rekordhoch

    According to IBM Security, the annual Cost of a Data Breach Report...

    ePHI schützen? NIST aktualisiert Leitlinien für Cybersicherheit im Gesundheitswesen

    This new NIST Special Publication aims to help educate readers about...

    Bedrohungsakteuren entgegenwirken? Nutzung der Analyse sozialer Netzwerke für Cyber Threat Intelligence (CCDCOE)

    According to the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)...

    Lebe bei Leeds? Exterro schließt Rekapitalisierung von über 1 Milliarde US-Dollar ab

    According to the press release, with the support of a group...

    TCDI schließt Übernahme der eDiscovery-Praxis von Aon ab

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    eDiscovery-Fusionen, Übernahmen und Investitionen im zweiten Quartal 2022

    From Magnet Forensics and TCDI to ArcherHall, the following findings, data...

    TCDI erwirbt Aons eDiscovery-Praxis

    According to TCDI Founder and CEO Bill Johnson, “For 30 years,...

    Unterwegs? 2022 eDiscovery-Marktkinetik: Fünf Interessenbereiche

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Dem Prozess vertrauen? 2021 eDiscovery-Verarbeitungsaufgaben-, Ausgaben- und Kostendaten

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Das Jahr im Rückblick? 2021 eDiscovery Review Aufgaben-, Ausgaben- und Kostendatenpunkte

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Ein Blick auf die eDiscovery-Erfassung für 2021: Aufgaben-, Ausgaben- und Kostendatenpunkte

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Fünf großartige Lesungen zu Cyber, Daten und Legal Discovery für Juli 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Fünf großartige Lesungen zu Cyber, Daten und Legal Discovery für Juni 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Fünf großartige Lesungen zu Cyber, Daten und rechtlichen Ermittlungen für Mai 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Fünf großartige Lesungen zu Cyber, Daten und rechtlichen Erkenntnissen für April 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Flexion oder Ablenkung? Ein Gesamtüberblick über acht halbjährliche eDiscovery-Preiserhebungen

    Initiated in the winter of 2019 and conducted eight times with...

    Wechselnde Ströme? Achtzehn Beobachtungen zum eDiscovery-Geschäftsvertrauen im Sommer 2022

    In the summer of 2022, 54.8% of survey respondents felt that...

    Herausfordernde Varianten? Probleme, die sich auf die Geschäftsleistung von eDiscovery auswirken: Ein Überblick über

    In the summer of 2022, 28.8% of respondents viewed increasing types...

    Downshift-Zeit? Betriebsmetriken von eDiscovery im Sommer 2022

    In the summer of 2022, 65 eDiscovery Business Confidence Survey participants...

    Dröhnt weiter? Konfliktbewertungen in der Ukraine in Karten (3.—7. August 2022)

    According to a recent update from the Institute for the Study...

    Not lindern? Konfliktbewertungen in der Ukraine in Karten (29. Juli — 2. August 2022)

    According to a recent update from the Institute for the Study...

    Momentum-Herausforderungen? Konfliktbewertungen in der Ukraine in Karten (24.-28. Juli 2022)

    According to a recent update from the Institute for the Study...

    Port-Unterstützung? Konfliktbewertungen in der Ukraine in Karten (19. — 23. Juli 2022)

    According to a recent update from the Institute for the Study...