Ab 1. Juli 2025 gelten für Cloud-Anbieter im Gesundheitsbereich strengere Anforderungen für die Informationssicherheit. Mit der C5-Gleichwertigkeitsverordnung kann temporär auf alternative Nachweise zurückgegriffen werden. Wir erklären, welcher Weg für Gesundheitsunternehmen gangbar ist.
Aktuelle und kommende C5-Testierungspflicht
Die C5-Testierung (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert Sicherheitsanforderungen für Cloud-Dienstleister. Damit soll ein einheitlicher und transparenter Sicherheitsstandard gewährleistet werden – der BSI C5.
Für den Gesundheitsbereich sieht § 393 Abs. 4 SGB V eine verbindliche C5-Testierungspflicht für Anbieter von Cloud-Computing-Diensten vor, die Patientendaten oder Sozialdaten verarbeiten. Ziel dieser Maßnahme ist es, die Sicherheit sensibler Gesundheits- und Sozialdaten in der Cloud zu gewährleisten.
- Bis zum 30. Juni 2025 ist ein C5-Typ-1-Testat (Angemessenheitsprüfung) ausreichend.
- Ab dem 1. Juli 2025 wird ein C5-Typ-2-Testat verpflichtend, wobei zusätzlich die Wirksamkeit der umgesetzten Sicherheitsmaßnahmen zu prüfen ist.
Vor allem kleinere Cloud-Anbieter tun sich schwer mit der Umsetzung dieser Vorgaben.
Die C5-Gleichwertigkeitsverordnung
Nun liegt die Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen (C5-Gleichwertigkeitsverordnung – C5GleichwV) vor, die Alternativen zur C5-Zertifizierung eröffnet.
Durch die Verordnung werden temporär – maximal aber für zwei Jahre – alternative Nachweise als gleichwertig anerkannt. Die in § 393 Abs. 4 Satz 2 SGB V vorgesehene Pflicht, bereits ab dem 1. Juli 2025 ein aktuelles C5-Typ-2 Testat vorhalten zu müssen, kann also umschifft werden, wenn die folgend genannten Voraussetzungen erfüllt werden. Betroffene Unternehmen können sich so etwas mehr Zeit verschaffen.
Welche Zertifizierungen gelten als C5-Äquivalent?
Diese Zertifizierungen können ein C5-Testat vorübergehend ersetzen:
- DIN EN ISO/IEC 27001:2022
- ISO 27001 auf Basis von IT-Grundschutz (BSI)
- Cloud Control Matrix (CCM) Version 4.0
Doch die Vorlage einer solchen Zertifizierung allein reicht nicht aus. Es ist zusätzlich ein umfassender Maßnahmenplan notwendig, aus dem hervorgeht:
- welche C5-Kriterien durch die alternative Zertifizierung nicht abgedeckt sind,
- mit welchen Maßnahmen diese Lücken geschlossen werden und wie die Umsetzung dieser Maßnahmen innerhalb von maximal 12 Monaten erfolgen soll,
- wie innerhalb von 18 Monaten das C5-Typ-1-Testat und innerhalb von 24 Monaten das C5-Typ-2 Testat erreicht werden soll.
Achtung: Alle genannten Fristen beginnen gleichzeitig! Sie reihen sich nicht aneinander. Innerhalb von zwei Jahren muss ein Typ-2 Testat erreicht werden.
Fazit: Jetzt handeln, statt abwarten
Die C5-Gleichwertigkeitsverordnung bietet betroffenen Unternehmen einen Aufschub. Wer aber weiterhin Cloud-Dienste im Gesundheitsbereich anbieten will, kommt nicht um ein C5-Typ-2 Testat herum und sollte sich sehr zügig auf den Weg dorthin machen. Der Aufwand ist hoch!
Leider sind auch die Kosten für die Auditierung, die – wenig nachvollziehbar – ausschließlich durch Wirtschaftsprüfer erfolgen darf, enorm hoch. Selbst kleinere Unternehmen müssen mit einem deutlich fünfstelligen Betrag rechnen. Das Audit nicht zu bestehen, wäre daher sehr ärgerlich.
Gerne begleiten wir Sie auf diesem Weg. Unsere Experten haben jahrelange Erfahrung auf dem Gebiet der Informationssicherheit, verfügen über spezialisierte ISMS-Software und brachten schon viele Gesundheitseinrichtungen auf Anhieb erfolgreich zur Zertifizierung.