Die Bedeutung der BSI C5-Gleichwertigkeitsverordnung f\u00fcr Gesundheitsunternehmen<\/p>\n\n\n\n
Ab dem 1. Juli 2025 treten im Gesundheitsbereich strengere Anforderungen an die Informationssicherheit von Cloud-Anbietern in Kraft. Die C5-Testierung (Cloud Computing Compliance Criteria Catalogue) des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) definiert hierf\u00fcr einen einheitlichen und transparenten Sicherheitsstandard. Gem\u00e4\u00df \u00a7 393 Abs. 4 SGB V ist eine verbindliche C5-Testierung f\u00fcr Cloud-Dienste vorgeschrieben, die Patientendaten oder Sozialdaten verarbeiten. Ziel ist es, die Sicherheit dieser sensiblen Daten in der Cloud zu gew\u00e4hrleisten.<\/p>\n\n\n\n
Aktuelle und kommende Testierungspflichten<\/p>\n\n\n\n
Bis zum 30. Juni 2025 ist ein C5-Typ-1-Testat (Angemessenheitspr\u00fcfung) ausreichend. Ab dem 1. Juli 2025 wird jedoch ein C5-Typ-2-Testat verpflichtend, welches zus\u00e4tzlich die Wirksamkeit der umgesetzten Sicherheitsma\u00dfnahmen \u00fcberpr\u00fcft. Diese versch\u00e4rften Vorgaben stellen besonders kleinere Cloud-Anbieter vor Herausforderungen.<\/p>\n\n\n\n
Die C5-Gleichwertigkeitsverordnung als tempor\u00e4re L\u00f6sung<\/p>\n\n\n\n
Um diesen Herausforderungen zu begegnen, wurde die Verordnung \u00fcber gleichwertige Sicherheitsnachweise zum C5-Standard f\u00fcr Cloud-Computing-Dienste im Gesundheitswesen (C5-Gleichwertigkeitsverordnung \u2013 C5GleichwV) erlassen…. Diese Verordnung, die mit Wirkung vom 1. Juli 2024 in Kraft getreten ist, er\u00f6ffnet tempor\u00e4r \u2013 maximal f\u00fcr zwei Jahre \u2013 Alternativen zur C5-Zertifizierung6. Dadurch k\u00f6nnen betroffene Unternehmen die Pflicht, bereits ab dem 1. Juli 2025 ein aktuelles C5-Typ-2 Testat vorweisen zu m\u00fcssen, zun\u00e4chst umgehen.<\/p>\n\n\n\n
Welche Zertifizierungen als C5-\u00c4quivalent gelten<\/p>\n\n\n\n
Folgende Zertifizierungen k\u00f6nnen ein C5-Testat vor\u00fcbergehend ersetzen…:<\/p>\n\n\n\n
\u2022 DIN EN ISO\/IEC 27001:2022<\/p>\n\n\n\n
\u2022 ISO 27001 auf Basis von IT-Grundschutz (BSI)<\/p>\n\n\n\n
\u2022 Cloud Control Matrix (CCM) Version 4.0<\/p>\n\n\n\n
Wichtige Voraussetzungen f\u00fcr die Gleichwertigkeit<\/p>\n\n\n\n
Die Vorlage einer solchen Zertifizierung allein gen\u00fcgt jedoch nicht. Zus\u00e4tzlich ist ein\u00a0umfassender Ma\u00dfnahmenplan\u00a0erforderlich, der mindestens folgende Punkte enth\u00e4lt:<\/p>\n\n\n\n
\u2022 Eine Dokumentation, welche\u00a0C5-Basiskriterien\u00a0durch die alternative Zertifizierung materiell nicht abgedeckt werden.<\/p>\n\n\n\n
\u2022 Eine Dokumentation der individuellen\u00a0technischen und organisatorischen Vorkehrungen, die ergriffen werden, um diese L\u00fccken zu schlie\u00dfen.<\/p>\n\n\n\n
\u2022 Eine\u00a0Meilensteinplanung, aus der hervorgeht, bis wann die einzelnen Vorkehrungen umgesetzt sein sollen, sodass die dokumentierten L\u00fccken innerhalb von\u00a0maximal zw\u00f6lf Monaten\u00a0ab Erstellung der Planung geschlossen sind.<\/p>\n\n\n\n
\u2022 Eine Dokumentation von Ma\u00dfnahmen zur Erlangung eines\u00a0C5-Typ-1-Testats\u00a0innerhalb von\u00a018 Monaten\u00a0und eines\u00a0C5-Typ-2-Testats\u00a0innerhalb von\u00a024 Monaten\u00a0ab Erstellung der Meilensteinplanung. Dies beinhaltet auch vertragliche Vereinbarungen mit einem Auditor.<\/p>\n\n\n\n
Achtung: Alle genannten Fristen beginnen gleichzeitig und reihen sich nicht aneinander. Innerhalb von zwei Jahren muss ein Typ-2 Testat erreicht werden. Der Ma\u00dfnahmenplan und das bestehende Zertifikat m\u00fcssen den Leistungserbringern nach dem SGB V, den Kranken- und Pflegekassen sowie den zust\u00e4ndigen Aufsichtsbeh\u00f6rden auf Verlangen vorgelegt werden.<\/p>\n\n\n\n
Fazit: Handeln ist jetzt gefragt<\/p>\n\n\n\n
Die C5-Gleichwertigkeitsverordnung bietet betroffenen Unternehmen zwar einen Aufschub, aber wer weiterhin Cloud-Dienste im Gesundheitsbereich anbieten m\u00f6chte, kommt um ein C5-Typ-2-Testat nicht herum und sollte sich z\u00fcgig auf den Weg dorthin machen. Der Aufwand hierf\u00fcr ist hoch, ebenso wie die Kosten f\u00fcr die Auditierung durch Wirtschaftspr\u00fcfer, die selbst f\u00fcr kleinere Unternehmen einen deutlich f\u00fcnfstelligen Betrag ausmachen k\u00f6nnen.<\/p>\n\n\n\n
Es ist ratsam, sich fr\u00fchzeitig mit den Anforderungen auseinanderzusetzen und gegebenenfalls Unterst\u00fctzung zu suchen, um die Zertifizierung erfolgreich zu meistern.
<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Bedeutung der BSI C5-Gleichwertigkeitsverordnung f\u00fcr Gesundheitsunternehmen Ab dem 1. Juli 2025 treten im Gesundheitsbereich…<\/p>\n","protected":false},"author":1,"featured_media":716,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-715","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/715","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=715"}],"version-history":[{"count":0,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/715\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/716"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=715"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=715"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=715"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}