Neuerungen im Fast-Track-Verfahren für digitale Gesund­heits­an­wen­dungen (DiGA)

Am 4. September wurde eine aktua­li­sierte Version des Fast-Track-Verfahrens für digitale Gesund­heits­an­wen­dungen (DiGA) gemäß § 139e SGB V veröf­fent­licht. Diese Aktua­li­sierung bringt einige bedeu­tende Neuerungen mit sich, die sowohl für Hersteller, Leistungs­er­bringer als auch Anwender von DiGAs von Interesse sind.

Wir haben die wichtigsten Änderungen für Sie zusammengefasst:

Daten­ver­ar­beitung außerhalb Deutsch­lands (3.3.3)

Ein wichtiger Punkt betrifft die Daten­ver­ar­beitung außerhalb Deutsch­lands. Die aktua­li­sierte Version des Leitfadens enthält klare Richt­linien und Anfor­de­rungen für den Umgang mit Gesund­heits­daten, die außerhalb Deutsch­lands verar­beitet werden. Dies ist entscheidend, um die Integrität und Sicherheit sensibler Patien­ten­daten zu gewährleisten.

Sicherheit als Prozess (3.4.2)

Ein weiterer bemer­kens­werter Aspekt der Aktua­li­sierung ist die Betonung der Sicherheit als konti­nu­ier­licher Prozess. Die neuen Leitlinien legen großen Wert darauf, dass Sicher­heits­maß­nahmen nicht statisch sein dürfen, sondern sich im Laufe der Zeit weiter­ent­wi­ckeln müssen, um den ständig wachsenden Bedro­hungen in der digitalen Gesund­heits­land­schaft gerecht zu werden.

Inter­ope­rable E‑Health-Infra­struktur (3.5.1.1) 

Eine weitere spannende Neuerung bezieht sich auf „vesta“ und „MIOs“ als Basis einer inter­ope­rablen E‑Health-Infra­struktur. Dies weist auf die verstärkten Bemühungen hin, Gesund­heits­an­wen­dungen und ‑systeme mitein­ander zu verknüpfen, um einen reibungs­losen Daten­aus­tausch und eine bessere Patien­ten­ver­sorgung zu ermög­lichen.  Verschärfte Anfor­de­rungen an Penetrationstests

Schließlich, und vielleicht am bemer­kens­wer­testen, sind die verschärften Anfor­de­rungen an Penetra­ti­ons­tests. Laut der aktua­li­sierten Version des Fast-Track-Verfahrens müssen diese Tests vorrangig von BSI-zerti­fi­zierten Teststellen durch­ge­führt werden. Darüber hinaus sind Code Reviews und Whitebox-Tests verpflichtend. Diese Maßnahmen zielen darauf ab, die Sicherheit von DiGAs weiter zu stärken und poten­zielle Sicher­heits­lücken aufzudecken.

Insgesamt verdeut­licht die Aktua­li­sierung des Fast-Track-Verfahrens das Engagement für die Sicherheit und Qualität von digitalen Gesund­heits­an­wen­dungen. Die neuen Richt­linien und Anfor­de­rungen sollen dazu beitragen, die Gesund­heits­ver­sorgung in der digitalen Ära zu verbessern und gleich­zeitig die Sicherheit der Patien­ten­daten zu gewährleisten.

Die neue ISO27001:2022 – was nun?

Im Herbst 2022 wurde die neue Version der ISO27001 veröf­fent­licht. Gemäß den Festle­gungen des Inter­na­tio­nalen Akkre­di­tie­rungs­forums (Inter­na­tional Accre­di­tation Forum, IAF) dürfen ab 30. April 2024 initiale sowie Re-Zerti­fi­zie­rungen nur noch nach der ISO27001:2022 erfolgen.

Übergangs­frist und Umstellung auf die ISO27001:2022

Die Übergangs­frist zur Umstellung von bereits zerti­fi­zierten Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­temen (ISMS) auf die neue Norm endet am 31. Oktober 2025. Es ist davon auszu­gehen, dass ab Sommer 2023 akkre­di­tierte Zerti­fi­zie­rungs­stellen ihre Programme soweit erweitert haben, dass spätestens ab Herbst 2023 Audits nach der neuen ISO27001:2022 möglich sein werden.

Änderungen und Anpas­sungen am ISMS und seiner Dokumentation

Wie aber bei neuen Versionen nicht unüblich, sind mit den enthal­tenen Änderungen auch in diesem Fall Anpas­sungen am ISMS und seiner Dokumen­tation verbunden. Dies gilt insbe­sondere für den vollständig überar­bei­teten und umstruk­tu­rierten Anhang A (resul­tierend aus der neuen ISO27002:2022). Doch es gilt auch Ergän­zungen und Anpas­sungen in den Normka­piteln 4 bis 10 zu beachten.

Beratung und Unter­stützung bei der Anpassung des ISMS

Sehr gerne beraten wir Sie bei der Anpassung Ihres bestehenden ISMS. Neben dem Identi­fi­zieren der aus den Änderungen resul­tie­renden Aufgaben helfen wir Ihnen bei Bedarf auch tatkräftig bei der Umsetzung, um die Aufrecht­erhaltung der Normkon­for­mität zu erreichen.

ISO27001-Zerti­fi­zierung: Beratung und Unter­stützung auf dem Weg zur Normkonformität

Sollten Sie über eine ISO27001-Zerti­fi­zierung nachdenken, dann bieten wir Ihnen gerne unsere Beratung sowie bei Bedarf auch unsere tatkräftige Unter­stützung auf dem Weg zu einem normkon­formen ISMS an. Hierzu kann insbe­sondere die Wissens­ver­mittlung in Workshops, aber auch die Durch­führung eines internen Audits sowie die Unter­stützung bei der Erstellung von Dokumenten und der Einführung von Prozessen zählen.

Weiter­füh­rende Infor­ma­tionen finden Sie hier.

 

SRC durch das PCI SSC als SPoC/CPoC Lab anerkannt

SRC durch das PCI SSC als SPoC und CPoC Security Lab anerkannt

Das weltweit agierende PCI Security Standards Council hat SRC heute als viertes Labor für die Durch­führung von Sicher­heits­un­ter­su­chungen von SPoC und CPoC Lösungen anerkannt.

Mit SPoC Lösungen (Secure PIN Entry on Commercial-off-the-Shelf devices) kann ein Händler Zahlungen mit handels­üb­lichen mobilen Endge­räten entgegen nehmen.

Während das SPoC Programm Lösungen mit PIN-Eingabe beschreibt, zielt das CPoC Programm auf ausschließlich kontaktlose Lösungen, die keine PIN-Eingabe erfordern.

Eine SPoC Lösung besteht aus vier Kern-Komponenten:

  • einem Secure Card Reader for PIN (SCRP), einem externen und PCI PTS zugelas­senen Kartenleser,
  • einer geprüften PIN CVM App für die sichere PIN-Eingabe auf dem handels­üb­lichen mobilen Endgerät des Händlers,
  • dem mobilen Endgerät des Händlers (COTS device) wie z.B. einem Smart­phone oder einem Tablet, sowie
  • einem Hinter­grund­system, das maßgeblich mittels Attes­tierung, Monitoring und Processing zur Sicherheit des Gesamt­systems beiträgt.

Mit CPoC hat das PCI SSC Anfor­de­rungen an Lösungen für die Verar­beitung von kontakt­losen Zahlungen ohne PIN-Eingabe („Tap and Go“) auf handels­üb­lichen mobilen Endge­räten (commercial off-the-shelf, COTS), wie z.B. Smart­phones oder anderen mobilen commercial off-the-shelf (COTS) Geräten mit NFC-Schnitt­stelle entwickelt.

Mit den Programmen SPoC und CPoC bedient das PCI SSC die zuneh­mende Nachfrage nach neuen und sicheren Akzep­tanz­lö­sungen und sorgt für die Sicherheit bei der Akzeptanz von Zahlungen mittels Mobil­te­le­fonen und Tablets. Die dazuge­hö­rigen Prüfungen werden nun auch von SRC durchgeführt.

Die Anerkennung von SRC als Lab für die Programme SPoC und CPoC ist ein wichtiges Signal an den Markt. Auch Kunden aus diesem innova­tiven Umfeld können jetzt die Expertise von SRC für die Entwicklung von sicheren Bezahl­lö­sungen in Anspruch nehmen.