Gemäß der Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen (C5-Gleichwertigkeitsverordnung – C5GleichwV) können folgende Zertifizierungen temporär als gleichwertige Sicherheitsnachweise zum C5-Standard anerkannt werden…:
• DIN EN ISO/IEC 27001:20222… (ISO/IEC 27001 in der jeweils gültigen Fassung)
• ISO 27001 auf Basis von IT-Grundschutz (BSI)
• Cloud Control Matrix (CCM) Version 4.02… (Cloud Controls Matrix Version 4.0 in der jeweils gültigen Fassung)
Es ist jedoch wichtig zu beachten, dass die Vorlage einer solchen Zertifizierung allein nicht ausreicht…. Zusätzlich muss gemäß der C5-Gleichwertigkeitsverordnung ein umfassender Maßnahmenplan vorliegen, der bestimmte Anforderungen erfüllt…. Dieser Maßnahmenplan muss mindestens Folgendes beinhalten:
• Eine Dokumentation, welche Basiskriterien des C5-Kriterienkatalogs durch die alternative Zertifizierung materiell nicht abgedeckt werden.
• Eine Dokumentation der individuellen technischen und organisatorischen Vorkehrungen, die ergriffen werden, um diese dokumentierten Lücken zu schließen.
• Eine Meilensteinplanung, die aufzeigt, bis wann die einzelnen Vorkehrungen umgesetzt sein sollen, sodass die genannten Lücken innerhalb von maximal zwölf Monaten ab Erstellung der Planung geschlossen sind.
• Eine Dokumentation von Maßnahmen zur Erlangung eines C5-Typ-1-Testats innerhalb von 18 Monaten und eines C5-Typ-2-Testats innerhalb von 24 Monaten ab Erstellung der Meilensteinplanung…. Dies beinhaltet auch vertragliche Vereinbarungen mit einem Auditor.
Zudem müssen der Maßnahmenplan und das bestehende Zertifikat auf Verlangen den Leistungserbringern nach dem SGB V, den Kranken- und Pflegekassen sowie den zuständigen Aufsichtsbehörden vorgelegt werden. Die C5-Gleichwertigkeitsverordnung tritt mit Wirkung vom 1. Juli 2024 in Kraft… und ermöglicht diese temporären Alternativen für maximal zwei Jahre. Ziel ist es, betroffenen Unternehmen etwas mehr Zeit zu verschaffen, sich auf die ab dem 1. Juli 2025 verpflichtende C5-Typ-2-Testierung vorzubereiten1…. Es ist wichtig zu verstehen, dass alle genannten Fristen gleichzeitig beginnen und innerhalb von zwei Jahren ein C5-Typ-2-Testat erreicht werden muss.
Quelle: C5GleichwV – Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen
