Das Digital-Gesetz: Zeitkritische Anforderungen an Cloud-Dienstleister

Wer Cloud-Dienstleistungen im Gesundheitswesen anbieten möchte, benötigt dafür gemäß DigiG zukünftig eine positive Bescheinigung nach BSI C5.

Die Digitalisierung in Deutschland ist ein Dauerthema in den Medien. Der Digitalisierungsbedarf des Gesundheitswesens ist davon nicht ausgenommen. Mit der Veröffentlichung des Digital-Gesetzes (DigiG) zum 26. März 2024 wurde mit dem §393 des SGB V nun eine Verordnungsermächtigung für den Cloud-Einsatz im Gesundheitswesen geschaffen, die alle dort tätigen IT-Dienstleister betrifft.

Das DigiG soll den Umgang zwischen Patientinnen und Patienten sowie Ärztinnen und Ärzten mittels digitaler Lösungen vereinfachen und sicherer gestalten. Im Zentrum des Gesetzes steht die elektronische Patientenakte (ePA). Aber auch beispielsweise die digitale Medikationsübersicht sowie die Weiterentwicklung und Verbindlichkeit des E-Rezepts sind Gegenstand des Gesetzes.

Neben den inhaltlichen Spezifikationen für die Digitalisierung des Gesundheitswesens stellt das Gesetz auch konkrete Anforderungen an Cloud-Dienstleister, die ihre Lösungen beispielsweise für Krankenhäuser, andere Gesundheitsdienstleister oder für die Datenübertragung zwischen den Beteiligten bereitstellen. Damit soll den IT-Sicherheits- und Cyberrisiken begegnet werden, die mit der Digitalisierung einhergehen.

Mit dem Cloud-Anforderungskatalog (BSI C5) stellt das Bundesamt einheitliche Kriterien auf, anhand derer Cloud-Dienstleister ihr internes Kontrollsystem ausrichten können. Die 13 Teilbereiche des Anforderungskatalogs umfassen neben „klassischen“ IT-Sicherheitsthemen wie Organisation der Informationssicherheit, Kryptografie und physische Sicherheit auch Themen wie Portabilität, Umgang mit Ermittlungsanfragen und Produktsicherheit. Die Konformität der Cloud-Modelle mit den Kriterien des BSI C5 können sich Cloud-Dienstleister nach einer erfolgreich durchgeführten Prüfung durch ein Wirtschaftsprüfungsunternehmen bestätigen lassen. Die entsprechende Prüfung hat einen festgelegten Betrachtungszeitraum und ist demzufolge regelmäßig zu wiederholen (sog. Typ 2-Prüfung).

Gemäß dem Digitalgesetz müssen die datenverarbeitenden Stellen (IT-Dienstleister) ab dem 30. Juni 2024 ein aktuelles Testat nach BSI – C5 – Typ 1 und seit dem 1. Juli 2025 ein aktuelles Testat nach BSI – C5 – Typ 2 nachweisen. Der Nachweis einer erfolgreichen Testierung ist seither Voraussetzung für die fortwährende Leistungserbringung im Gesundheitssektor.

Eine frühzeitige Vorbereitung hilft, Verzögerungen zu vermeiden und die Leistungsfähigkeit gegenüber Auftraggebern aufrechtzuerhalten. Aus Erfahrung wissen wir aber auch, dass eine Erstprüfung viel Zeit in Anspruch nehmen kann: Zunächst ist das Cloud-Angebot in einer prüfbaren Systembeschreibung darzustellen. Außerdem setzt die Prüfung voraus, dass bereits IT-Kontrollen auf Basis des Anforderungskataloges abgeleitet, umgesetzt und dokumentiert wurden (sog. Betrachtungszeitraum oder Performance Period). Gegebenenfalls ist eine vorgeschaltete Analyse erforderlich, um den aktuellen Reifegrad der Kontrollen erfassen und möglichen Nachbesserungsbedarf feststellen zu können. So kann die Vorbereitung mit anschließender Prüfung schnell mehrere Monate dauern.

Verschaffen Sie sich daher einen umfassenden Überblick über die Aktualität und den Umfang Ihrer bestehenden Prüfungen und Zertifikate. Der BSI-C5-Kriterienkatalog hat diverse Schnittmengen mit weit verbreiteten Prüfungen, wie etwa nach ISO 27001 oder SOC 2. Dadurch kann er gut mit vergleichbaren Standards zur IT-Sicherheit kombiniert werden. 

KPMG kann Sie sowohl bei der Ermittlung von Handlungsfeldern durch die gezielte Auswertung Ihres Kontrollabdeckungsgrades unterstützen als auch die Prüfung Ihres internen Kontrollsystems nach den Kriterien des BSI C5 durchführen.

Nehmen Sie gerne Kontakt zu unseren Expertinnen und Experten auf.