Interview mit Manfred Hörter, Senior Manager und Experte für Business-Continuity-Management, msg industry advisors
Herr Hörter, was sind die Rahmenbedingungen für die Umsetzung der KRITIS-Regulatorik in der Pharmaindustrie?
Im Rahmen der gesetzlichen KRITIS-Anforderungen steht das Informationssicherheitsmanagementsystem (ISMS) im Fokus. Das Thema gewinnt mit der fortschreitenden Digitalisierung der Prozesse in der Pharmaindustrie sehr stark an Bedeutung. Gleichzeitig ist das ISMS ein wichtiger Bestandteil des ebenfalls gesetzlich geforderten Business-Continuity-Management-Systems (BCMS). Hier greifen die Standards und Regelwerke des BSI, das beide Themen im Blick hat, ineinander. In der Pharmaindustrie geht es also darum, das ISMS mit dem BCMS und einem effektiven Krisenmanagement zu koordinieren, um die kritischen Geschäftsprozesse des Unternehmens resilienter zu machen.
Was bedeutet das konkret?
Dort, wo ein computergestütztes System mit seinen Funktionen einen manuellen Prozess ersetzt, darf es nicht zu einem Nachlassen der Prozessqualität kommen. Das heißt, es wird gesetzlich gefordert, dass Pharmadigitalisierung nicht zu einer Erhöhung im Gesamtprozessrisiko bezüglich Patientensicherheit, Produktqualität und Datenintegrität führen darf. Angestrebtes Ziel des IT-Designs ist ein vollständig automatisierter und validierter Prozess, der so konfiguriert wird, dass menschliches Eingreifen auf ein Minimum reduziert wird. Gegenüber einer manuellen Vorgehensweise besteht ein deutlich geringeres Datenintegritätsrisiko. Die Datenintegrität ist ein wesentliches ISMS-Schutzziel. Darüber hinaus wird gesetzlich gefordert, dass, wenn ein Computersystem zur Unterstützung kritischer Pharma-Prozesse eingesetzt wird, auch die Verfügbarkeit des Systems sichergestellt sein muss. Deshalb ist der Dreh- und Angelpunkt in der Pharmaindustrie neben KRITIS-Anforderungen und dem ISMS, vor Allem die gesetzliche Forderung nach einem Business-Continuity-Management. Und das wiederum hat eine starke Säule im ISMS. Für die Kombination ISMS-BCMS bietet jetzt das BSI mit seinen aktualisierten Richtlinien der Reihe 200-x einen verbindlichen und gut anwendbaren Implementierungsrahmen.
Die gesetzlichen KRITIS-Anforderungen lassen sich also mit bestehenden Vorgaben in der Branche kombinieren?
Ja, exakt. Im Rahmen der KRITIS-Regulatorik wurde ein branchenspezifischer Standard (B3S) definiert. Diesen hat die Pharmaindustrie über ihre Branchenverbände erarbeitet. KRITIS-pflichtige Pharmaunternehmen, die den Schwellenwert von 4,65 Millionen in Verkehr gebrachte Packungen pro Jahr überschreiten, orientieren sich bei der Implementierung der BSI-Richtlinien an diesem branchenspezifischen Sicherheitsstandard, der sich vieler bereits bestehender Elemente aus den gesetzlichen Pharmaanforderungen bedient.
Wie verhält es sich mit Unternehmen, die unterhalb des Schwellenwertes liegen, aber eine hohe Kritikalität für die gesamte Wertschöpfungskette haben?
De jure sind sie nicht verpflichtet, die KRITIS- und Business Continuity-Anforderungen einzuhalten. Doch de facto ist davon auszugehen, dass ihre Kunden sie als Dienstleister mit in die Pflicht nehmen werden. Denn diese müssen auch als festen Bestandteil der BSI-Methodik Risikomanagement betreiben, das auch die Drittleistungen im Fokus hat. Großhändler und Hersteller in der Pharmaindustrie müssen sicherstellen, dass diese über 4,65 Millionen in Verkehr gebrachten Packungen auch produziert und ausgeliefert werden können. Dazu müssen sie die gesamte Wertschöpfungskette absichern und Partnern Auflagen machen, die sehr nah an den eigenen Standards liegen. Denn es geht ja darum, dass die Kette bei einem unterbrechenden Ereignis innerhalb einer gewissen Zeit wiederhergestellt werden kann.
Beide Themen kommen deshalb verstärkt auf einen Großteil der Unternehmen in der Pharma- und Medizintechnik mit großer Dringlichkeit zu. Auch wenn die meisten aufgrund der eher mittelständischen Branchenstruktur nicht unmittelbar gesetzlich verpflichtet sind, den Anforderungen zu genügen.
Sind in den Bereichen Pharmaindustrie und Medizintechnik eher die KRITIS- oder die Business-Continuity-Anforderungen Treiber dieser Entwicklung?
Sowohl als auch. Für Unternehmen, die aufgrund ihrer Geschäftstätigkeit unter Berücksichtigung der Schwellwerte der BSI-KRITIS-Verordnung unterliegen, ist ein ISMS Pflicht, das aufgrund der zugrundeliegenden Risiko-Betrachtungen ein BCMS als logische Weiterführung fordert und damit zur Stärkung der Gesamtresilienz auch der nicht-digitalisierten Prozessbereiche führt. Eine ISMS-/BCMS-Kombination dient aber auch zur Abdeckung der Anforderung des europäischen Arzneimittelrechts zur Kontinuität des Geschäftsbetriebes für alle nicht KRITIS-pflichtigen Unternehmen:
,Wenn computergestützte Systeme kritische Prozesse unterstützen, sollten Vorkehrungen getroffen sein, um die fortlaufende Unterstützung dieser Prozesse im Falle eines Systemausfalls sicherzustellen (z.B. durch ein manuelles oder ein alternatives System). Der erforderliche Zeitaufwand zur Inbetriebnahme dieser alternativen Verfahren sollte jeweils für ein bestimmtes System und die unterstützten Prozesse risikoabhängig festgelegt werden. Diese Verfahren sollten angemessen dokumentiert und getestet werden.‘
Bei der Absicherung diese kritischen Prozesse gilt es, eine Vielzahl an Ressourcen neben der IT zu betrachten, deren Verfügbarkeit sichergestellt sein muss: Gebäude, Ausrüstungsgegenstände, Betriebspersonal, Drittdienstleistungen, aber natürlich auch die IT und damit das ISMS. Das ist auch der Grund, warum die gemeinsame Betrachtungsweise der beiden Themen durch das BSI für die Bereiche Pharmaindustrie und Medizintechnik auch aus Branchensicht sinnvoll ist.
Wie unterstützen die msg industry advisors dabei?
Wir versetzen Industrieunternehmen in der Pharmaindustrie und im Medizinproduktebereich gemäß den neuen BSI-Standards in die Lage, ihre Geschäftsprozesse resilienter zu machen, was sie entweder auf gesetzlichen Anforderungen basierend tun müssen oder aus Gründen ihrer Kundenbeziehungen. Der neue BSI-Standard gibt uns dafür die notwendige Umsetzungsmethodik. Wir können somit eine Umsetzung für diese Unternehmen nach einer abgestuften und passgenauen Methodik anbieten, die im BSI-Standard 200-4 beschrieben ist. Diese bietet die Möglichkeit, erst einmal klein mit den wichtigsten Prozessen anzufangen („Reaktiv-BCMS“) und dann das BCMS bedarfsgerecht bis hin zu einer möglichen ISO 22301-Zertifizierung weiterzuentwickeln. Das Ziel ist in jedem Fall eine Verbesserung der Gesamt-Resilienz des Unternehmens auf Basis der Fähigkeit, auf disruptive Ereignisse vorbereitet zu sein. Unser auf den Branchen- und BSI-Standards beruhendes Umsetzungsmodell ermöglicht es Pharma- und Medizintechnikunternehmen schnell und zielgerichtet ihre Krisenfestigkeit zu erhöhen.
