C5-Testatpflicht und Übergangsfristen im Gesundheitsbereich
Ab dem 1. Juli 2025 gelten im Gesundheitsbereich strengere Anforderungen an die Informationssicherheit von Cloud-Anbietern.
Reguläre C5-Testierungspflicht ab 1. Juli 2025:
• Ab dem 1. Juli 2025 ist ein C5-Typ-2-Testat verpflichtend. Dieses Testat überprüft zusätzlich zur Angemessenheit auch die Wirksamkeit der umgesetzten Sicherheitsmaßnahmen.
Fristen im Rahmen der C5-Gleichwertigkeitsverordnung (temporäre Alternative):
Die C5-Gleichwertigkeitsverordnung, die am 1. Juli 2024 in Kraft getreten ist…, bietet temporär für maximal zwei Jahre alternative Nachweise zum C5-Testat an…. Wenn ein Unternehmen diese Verordnung nutzt, um die Pflicht zum Vorhalten eines C5-Typ-2 Testats ab dem 1. Juli 2025 zunächst zu umgehen, gelten folgende Fristen ab Erstellung eines umfassenden Maßnahmenplans…:
• Die dokumentierten materiellen Lücken zwischen der alternativen Zertifizierung und den C5-Basiskriterien müssen innerhalb von maximal zwölf Monaten geschlossen sein….
• Ein C5-Typ-1-Testat muss innerhalb von 18 Monaten erreicht werden….
• Ein C5-Typ-2-Testat muss innerhalb von 24 Monaten erreicht werden….
Wichtig ist hierbei, dass alle diese Fristen gleichzeitig beginnen und sich nicht nacheinander erstrecken. Das bedeutet, dass auch bei Nutzung der Gleichwertigkeitsverordnung innerhalb von maximal zwei Jahren ein C5-Typ-2 Testat vorliegen muss.
Zusammenfassend lässt sich sagen, dass ab dem 1. Juli 2025 grundsätzlich die Pflicht zum Vorliegen eines C5-Typ-2 Testats besteht. Die C5-Gleichwertigkeitsverordnung ermöglicht eine temporäre Umgehung dieser Pflicht unter Einhaltung bestimmter Bedingungen und Fristen, die letztendlich ebenfalls auf das Erreichen eines C5-Typ-2 Testats innerhalb von zwei Jahren abzielen….
