Mit Inkrafttreten der NIS2-Richtlinie entstand für die Klinik die Notwendigkeit, Informationssicherheit systematisch, nachvollziehbar und organisationsweit umzusetzen. Zu Projektbeginn waren einzelne Sicherheitsmassnahmen zwar vorhanden, jedoch nicht einheitlich dokumentiert, bewertet oder in ein übergreifendes Managementsystem integriert.
Die Organisation ist durch mehrere Standorte und Fachbereiche geprägt. Sicherheitsrelevante Prozesse – etwa im Identitäts- und Berechtigungsmanagement, im Umgang mit sensiblen Informationen oder bei organisatorischen Zuständigkeiten – waren historisch gewachsen und nicht durchgängig harmonisiert. Eine konsolidierte Sicht auf Risiken, Schutzbedarfe und Abhängigkeiten fehlte.
Zudem bestand Unsicherheit darüber, welche Massnahmen zwingend erforderlich sind, wie technische und organisatorische Anforderungen sinnvoll zusammenspielen und wie Informationssicherheit dauerhaft im laufenden Betrieb verankert werden kann. Ziel des Projekts war es daher, Risiken gezielt zu reduzieren, Transparenz zu schaffen und eine belastbare Grundlage für NIS2-Konformität sowie eine ISO/IEC-27001-Zertifizierung aufzubauen.
Zu Projektbeginn wurde ein strukturiertes Vorgehensmodell definiert, das regulatorische Anforderungen, organisatorische Abläufe und technische Sicherheitsmassnahmen ganzheitlich miteinander verbindet. Ziel war es, Informationssicherheit praxisnah aufzubauen, Risiken gezielt zu reduzieren und nachhaltige Strukturen im laufenden Betrieb zu etablieren.
Es wurde eine umfassende Gap-Analyse durchgeführt, die technische, organisatorische und regulatorische Anforderungen aus ISO/IEC 27001 und NIS2 zusammenführt. Bestehende Massnahmen, Zuständigkeiten und Dokumentationen wurden bewertet und Abweichungen zum Soll-Zustand strukturiert erfasst.
Auf Basis der initialen Analyse wurden sicherheitsrelevante Prozesse in allen beteiligten Fachabteilungen aufgenommen. In Interviews und strukturierten Befragungen wurden reale Abläufe, Verantwortlichkeiten und Datenflüsse erfasst, um Schutzbedarfe praxisnah und abteilungsbezogen abzuleiten.
Ergänzend zur normativen Betrachtung wurde der BSI IT-Grundschutz herangezogen. Dadurch konnten zusätzliche Risiken identifiziert werden, die über Mindestanforderungen hinausgehen, etwa organisatorische, physische oder umgebungsbezogene Risiken. Dies ermöglichte eine fundierte Priorisierung der weiteren Massnahmen.
Auf Grundlage der identifizierten Gaps, Prozesse und Risiken wurden notwendige technische und organisatorische Massnahmen gezielt umgesetzt. Dazu zählten unter anderem die Optimierung von Identitäts- und Zugriffskonzepten, die Durchsetzung sicherer Authentifizierungsmechanismen sowie der Schutz sensibler Daten und Endgeräte in der Microsoft-365-Umgebung.
Abschliessend wurde in allen beteiligten Fachabteilungen geprüft, ob die definierten Massnahmen vollständig umgesetzt und wirksam etabliert wurden. Identifizierte Abweichungen wurden nachgeschärft, sodass organisatorische und technische Sicherheitsanforderungen konsistent erfüllt sind.
Ihre Entscheidung wäre dieselbe, wie die renommierter Unternehmen:
