Allgemein Anerkennungen Banken Compliance BSZ Gesundheitswesen ISMS Karriere KritisVO News PCI

Neuer BMI-Referentenentwurf zur C5-Äquivalenz-Verordnung: Was Sie wissen müssen

Das Bundesministerium für Gesundheit (BMG) hat einen Referentenentwurf zur sogenannten „C5-Äquivalenz-Verordnung“ veröffentlicht. Diese neue Regelung zielt darauf ab, die Cybersicherheit im Gesundheitswesen weiter zu stärken und gleichzeitig die Anforderungen an cloudbasierte IT-Systeme zu konkretisieren.

Warum ein neuer Standard?

Die zunehmende Digitalisierung des Gesundheitswesens bietet immense Chancen für effizientere und zentrierte Patientenversorgung. Doch mit der wachsenden Abhängigkeit von IT-Systemen steigen auch die Risiken durch Cyberangriffe. Insbesondere der russische Angriffskrieg gegen die Ukraine hat die Gefahr durch gezielte Angriffe auf kritische Infrastrukturen verdeutlicht. Vor diesem Hintergrund wurde mit dem Digital-Gesetz der Kriterienkatalog C5 („Cloud Computing Compliance Criteria Catalogue“), entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), als verbindlicher Sicherheitsstandard für die Verarbeitung sensibler Gesundheits- und Sozialdaten eingeführt.

Übergangsregelungen durch die C5-Äquivalenz-Verordnung

Während der C5-Katalog ein hohes Maß an Sicherheit garantiert, ermöglicht die neue Verordnung für eine Übergangszeit die Nutzung alternativer Zertifikate, solange diese ein vergleichbares oder höheres Sicherheitsniveau nachweisen können. Konkret werden folgende Standards anerkannt:

  1. DIN EN ISO/IEC 27001:2022
  2. ISO 27001 auf Basis von IT-Grundschutz (BSI)
  3. Cloud Controls Matrix Version 4.0

 

Für Anbieter cloudbasierter IT-Systeme bedeutet dies, dass sie auch ohne unmittelbare C5-Zertifizierung ihre Lösungen weiter im Gesundheitswesen anbieten können. Voraussetzung ist jedoch ein detaillierter Maßnahmenplan, der sicherstellt, dass bestehende Lücken zwischen den alternativen Standards und dem C5-Katalog innerhalb eines festgelegten Zeitraums geschlossen werden.

Anforderungen an Anbieter und Dienstleister

Der Maßnahmenplan muss Folgendes beinhalten:

  • Dokumentation der Abweichungen: Welche Basiskriterien des C5-Katalogs sind nicht durch den gewählten Standard abgedeckt?
  • Individuelle Maßnahmen: Technische und organisatorische Vorkehrungen, um identifizierte Lücken zu schließen.
  • Zeitplan: Ein Mitigation-Plan, der sicherstellt, dass die Lücken innerhalb von 12 Monaten geschlossen werden.
  • Plan zur Erlangung einer C5-Zertifizierung: Innerhalb von 18 Monaten soll ein C5-Typ1-Testat beantragt werden.

 

Diese Vorgehensweise bietet Unternehmen die Möglichkeit, sich schrittweise auf die strengen Anforderungen des C5-Katalogs vorzubereiten, ohne ihre Geschäftsaktivitäten unterbrechen zu müssen.

Vorteile für unsere Kunden

Die neue Verordnung schafft vor allem eins: Rechtssicherheit. Unternehmen können weiterhin alternative Zertifikate nutzen, solange sie einen validen Plan für die C5-Testierung vorlegen. Für unsere Kunden bedeutet dies:

  1. Flexibilität bei der Wahl von Sicherheitsstandards: Die vorübergehende Anerkennung alternativer Zertifikate reduziert kurzfristig den Aufwand, sich vollständig auf den C5-Standard umzustellen.
  2. Schrittweise Anpassung: Anbieter können ihre Sicherheitsmaßnahmen in einem definierten Zeitraum auf ein höheres Niveau bringen.
  3. Vertrauensbildung: Die Nutzung zertifizierter Standards signalisiert sowohl den Aufsichtsbehörden als auch den Endnutzern, dass Cybersicherheit ernst genommen wird.

 

Warum die SRC GmbH der richtige Partner ist

Als SRC GmbH unterstützen wir Unternehmen dabei, den Weg zur C5-Konformität erfolgreich zu meistern. Unsere Dienstleistungen umfassen:

  • Beratung bei der Erstellung und Umsetzung von Maßnahmenplänen.
  • Durchführung von Gap-Analysen, um bestehende Sicherheitslücken zu identifizieren.
  • Begleitung bei der Vorbereitung und Durchführung von C5-Audits.

Unsere langjährige Erfahrung im Bereich der IT-Sicherheit und unser tiefgehendes Verständnis der regulatorischen Anforderungen im Gesundheitswesen machen uns zu einem zuverlässigen Partner.

Fazit

Die C5-Äquivalenz-Verordnung bietet Unternehmen im Gesundheitswesen die Möglichkeit, ihre Sicherheitsstandards schrittweise an die strengen Anforderungen des C5-Katalogs anzupassen. Dies schafft nicht nur Rechtssicherheit, sondern stärkt auch das Vertrauen in digitale Lösungen. Die SRC GmbH steht Ihnen dabei zur Seite, um die Herausforderungen der digitalen Transformation sicher und effizient zu bewältigen. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Sie unterstützen können.

Dieser Artikel wurde ebenfalls publiziert auf:
Pressekontakt:
Patrick Schulze
WORDFINDER GmbH & CO. KG Lornsenstraße 128–130 22869 Schenefeld