Im Februar berichteten wir schon über die Pläne des Bundesgesundheitsministeriums, die Gleichwertigkeit von Sicherheitsniveaus von Cloud-Leistungen beim Einsatz durch Leistungserbringer in einer Verordnung zu regeln (siehe Beitrag C5-Äquivalenz-Verordnung). Hintergrund dieses Vorhabens ist die gesetzliche Regelung zur Zulässigkeit der Verarbeitung von Sozial- und Gesundheitsdaten durch Leistungserbringer im Sinne des Vierten Kapitels des SGB V sowie Kranken- und Pflegekassen und ihrer jeweiligen Auftragsdatenverarbeiter.
Der seinerzeit noch unter dem Titel „C5-Äquivalenz-Verordnung“ viel diskutierte Ansatz ist nun unter anderem Namen und feinen inhaltlichen Änderungen erlassen worden.
Rückwirkend zum 1. Juli 2024 trat die nunmehrige C5-Gleichwertigkeitsverordnung („C5GleichwV“) in Kraft. Ungeachtet der Abkehr vom lateinischen Wortstamm im Namen der Verordnung blieb der Regelungsansatz im Kern unverändert:
Zunächst muss eine Zertifizierung bzw. Testierung für einen von den drei in der Verordnung genannten alternativen Standards vorhanden sein: ISO 27001 auf der Basis von BSI-IT-Grundschutz, Cloud Controls Matrix Version 4.0 in der jeweils gültigen Fassung oder ISO/IEC 27001 in der jeweils gültigen Fassung. Während der ursprüngliche Entwurf beim alternativen Standard DIN EN ISO/IEC 27001 nur das Publikationsjahr 2022 benannte, ist diese zeitliche Einengung somit nun entfallen und einer dynamischen Verweisung gewichen.
Zusätzlich zur Erfüllung eines alternativen Standards bedarf es weiterhin der Erstellung eines Maßnahmenplans, damit eine Gleichwertigkeit zu dem Typ1- oder einem Typ2-Testat entsprechend dem Kriterienkatalog C5 des BSI angenommen werden kann. Das letztliche Ziel einer Testierung nach C5-Typ1/2 besteht allerdings fort. So soll der zu erstellende Maßnahmenplan unter anderem regeln, wie innerhalb von 18 Monaten zunächst ein C5-Typ1-Testat für den Cloud-Computing-Dienst erreicht werden kann. Zur finalen Erlangung des C5-Typ2-Testats werden durch die Verordnung insgesamt 24 Monate eingeräumt.
Der Maßnahmenplan ist den Leistungserbringern, – und jetzt auch ausdrücklich genannt: – den Kranken- und Pflegekassen sowie den zuständigen Aufsichtsbehörden auf deren Verlangen hin unverzüglich vorzulegen.
Die CURACON Recht GmbH berät Sie ganzheitlich bei Digitalisierungsvorhaben im Gesundheits- und Sozialwesen. Bei Bedarf erbringen wir unsere Leistungen gemeinsam mit unseren Kollegen aus den Bereichen Wirtschaftsprüfung, IT-Audit sowie der Steuer- und Unternehmensberatung im CURACON-Verbund. Jetzt Kontakt aufnehmen!