Die Bedeutung der BSI C5-Gleichwertigkeitsverordnung für Gesundheitsunternehmen
Ab dem 1. Juli 2025 treten im Gesundheitsbereich strengere Anforderungen an die Informationssicherheit von Cloud-Anbietern in Kraft. Die C5-Testierung (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert hierfür einen einheitlichen und transparenten Sicherheitsstandard. Gemäß § 393 Abs. 4 SGB V ist eine verbindliche C5-Testierung für Cloud-Dienste vorgeschrieben, die Patientendaten oder Sozialdaten verarbeiten. Ziel ist es, die Sicherheit dieser sensiblen Daten in der Cloud zu gewährleisten.
Aktuelle und kommende Testierungspflichten
Bis zum 30. Juni 2025 ist ein C5-Typ-1-Testat (Angemessenheitsprüfung) ausreichend. Ab dem 1. Juli 2025 wird jedoch ein C5-Typ-2-Testat verpflichtend, welches zusätzlich die Wirksamkeit der umgesetzten Sicherheitsmaßnahmen überprüft. Diese verschärften Vorgaben stellen besonders kleinere Cloud-Anbieter vor Herausforderungen.
Die C5-Gleichwertigkeitsverordnung als temporäre Lösung
Um diesen Herausforderungen zu begegnen, wurde die Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen (C5-Gleichwertigkeitsverordnung – C5GleichwV) erlassen…. Diese Verordnung, die mit Wirkung vom 1. Juli 2024 in Kraft getreten ist, eröffnet temporär – maximal für zwei Jahre – Alternativen zur C5-Zertifizierung6. Dadurch können betroffene Unternehmen die Pflicht, bereits ab dem 1. Juli 2025 ein aktuelles C5-Typ-2 Testat vorweisen zu müssen, zunächst umgehen.
Welche Zertifizierungen als C5-Äquivalent gelten
Folgende Zertifizierungen können ein C5-Testat vorübergehend ersetzen…:
• DIN EN ISO/IEC 27001:2022
• ISO 27001 auf Basis von IT-Grundschutz (BSI)
• Cloud Control Matrix (CCM) Version 4.0
Wichtige Voraussetzungen für die Gleichwertigkeit
Die Vorlage einer solchen Zertifizierung allein genügt jedoch nicht. Zusätzlich ist ein umfassender Maßnahmenplan erforderlich, der mindestens folgende Punkte enthält:
• Eine Dokumentation, welche C5-Basiskriterien durch die alternative Zertifizierung materiell nicht abgedeckt werden.
• Eine Dokumentation der individuellen technischen und organisatorischen Vorkehrungen, die ergriffen werden, um diese Lücken zu schließen.
• Eine Meilensteinplanung, aus der hervorgeht, bis wann die einzelnen Vorkehrungen umgesetzt sein sollen, sodass die dokumentierten Lücken innerhalb von maximal zwölf Monaten ab Erstellung der Planung geschlossen sind.
• Eine Dokumentation von Maßnahmen zur Erlangung eines C5-Typ-1-Testats innerhalb von 18 Monaten und eines C5-Typ-2-Testats innerhalb von 24 Monaten ab Erstellung der Meilensteinplanung. Dies beinhaltet auch vertragliche Vereinbarungen mit einem Auditor.
Achtung: Alle genannten Fristen beginnen gleichzeitig und reihen sich nicht aneinander. Innerhalb von zwei Jahren muss ein Typ-2 Testat erreicht werden. Der Maßnahmenplan und das bestehende Zertifikat müssen den Leistungserbringern nach dem SGB V, den Kranken- und Pflegekassen sowie den zuständigen Aufsichtsbehörden auf Verlangen vorgelegt werden.
Fazit: Handeln ist jetzt gefragt
Die C5-Gleichwertigkeitsverordnung bietet betroffenen Unternehmen zwar einen Aufschub, aber wer weiterhin Cloud-Dienste im Gesundheitsbereich anbieten möchte, kommt um ein C5-Typ-2-Testat nicht herum und sollte sich zügig auf den Weg dorthin machen. Der Aufwand hierfür ist hoch, ebenso wie die Kosten für die Auditierung durch Wirtschaftsprüfer, die selbst für kleinere Unternehmen einen deutlich fünfstelligen Betrag ausmachen können.
Es ist ratsam, sich frühzeitig mit den Anforderungen auseinanderzusetzen und gegebenenfalls Unterstützung zu suchen, um die Zertifizierung erfolgreich zu meistern.
