BEEP-Gesetz klärt Anforderungen für neue IT-Dienste im Gesundheitssektor

Mit der Einführung des Digitalgesetzes zum 25. März 2024 hat der Gesetzgeber die Anforderungen an die Sicherheit der von Dienstleistungsunternehmen im Gesundheitssektor angebotenen IT-Lösungen und Services formalisiert: Spätestens zum 1. Juli 2024 war ein Testat nach dem Cloud Computing Compliance Controls Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) in der Typ-I-Ausprägung erforderlich, während spätestens zum 1. Juli 2025 das Typ-II-Testat vorhanden sein musste. Aber was passiert mit Dienstleistungen, die erstmalig nach dem 30. Juni 2025 in Verkehr gebracht wurden? Diese Frage blieb, zumindest von offizieller Seite, lange nur teilweise beantwortet. Mit Inkrafttreten des Gesetzes zur Befugnis, Erweiterung und Entbürokratisierung in der Pflege (BEEP) wird diese Frage nun final beantwortet.

Mit der Veröffentlichung im Bundesgesetzblatt ist zum 1. Januar 2026 das Gesetz zur Befugniserweiterung und Entbürokratisierung in der Pflege (BEEP) in Kraft getreten. Dieses Gesetz sieht in Randziffer 44 eine Erweiterung beziehungsweise Konkretisierung des aktuellen § 393 Absatz 4 des Fünften Buches Sozialgesetzbuch (SGB V) vor, der erstmalig durch das Digitalgesetz eingeführt wurde. Diese simple, aber wichtige Erweiterung regelt nun eindeutig, wie mit IT-Lösungen zu verfahren ist, die im Gesundheitssektor Anwendung finden, aber erst nach Überschreiten der BSI-C5-Typ-II-Erfordernis zum 30. Juni 2025 in Verkehr gebracht werden.

Bisher war durch das Digitalgesetz lediglich der zeitliche Ablauf der BSI-C5-Testierung für bereits im Markt befindliche Cloud-Dienstleistungen berücksichtigt, nicht jedoch der Umgang mit Dienstleistungen, die zukünftig in auf den Markt kommen.

Dieser Umstand wurde nun durch das BEEP in der Form ergänzt, als dass für informationstechnische Systeme, die nach dem 30. Juni 2025 erstmalig auf den Markt kommen, für einen Zeitraum von bis zu 18 Monaten weiterhin das BSI-C5-Typ-I-Testat ausreichend ist. 

Diese Entscheidung löst die primäre Herausforderung für Cloud-Dienstleister, bereits zum Markteintritt mit der Lösung eine Beurteilung zur Umsetzung der BSI-C5-Kriterien über eine Prüfungsperiode (die sogenannte Performance Period) vorweisen zu müssen. Denn dieser Nachweis hätte ohnehin bereits die Verarbeitung produktiver Kundendaten beziehungsweise den operativen Betrieb der Dienstleistung am Markt vorausgesetzt.

Die C5-Gleichwertigkeitsverordnung (Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen - C5GleichwV) regelt die Möglichkeit einer Übergangslösung, bis durch den Cloud-Anbieter ein BSI-C5-Testat (Typ I) beziehungsweise das Niveau dieses Testats erreicht wird. Der wesentliche Unterschied besteht darin, dass der Cloud-Dienstleister mit seiner Lösung ohne BSI-C5-Testat für bis zu 18 beziehungsweise 24 Monate nach Markteinführung der Dienstleistung am Markt agieren kann, sofern er die Anforderungen der Gleichwertigkeitsverordnung erfüllt. Diese setzen voraus, dass:

• eine bereits vorhandene Zertifizierung oder Testierung nach einem der nachfolgenden Standards vorliegt:
  • ISO/IEC 27001
  • ISO 27001 nach IT-Grundschutz
  • Cloud Controls Matrix Version 4.0,
• zusätzlich innerhalb von zwölf Monaten nach der Erstellung einer Meilensteinplanung diese so umgesetzt wird, dass die Lücken der oben benannten Zertifizierungen / Testierungen zu einem BSI-C5-Testat geschlossen werden und
• zusätzlich eine Dokumentation der Maßnahmen erfolgt, wie durch den Cloud-Dienstleister innerhalb von 18 Monaten (für Typ I) beziehungsweise 24 Monaten (für Typ II) ab Erstellung der Meilensteinplanung eine erfolgreiche BSI C5 Testierung umgesetzt wird.

Sollten Sie als Cloud-Dienstleister im Gesundheitssektor aktuell für Ihre Lösungen noch ohne BSI-C5-Testat agieren, ist es an der Zeit zu handeln. Durch weiteres Warten reduzieren Sie Ihre Markpräsenz aufgrund des Risikos eines Ausschlusses bei Ausschreibungen und der drohenden Abkündigung von bestehenden Verträgen wegen Nichterfüllung der Compliance-Anforderung.

Unsere Experten Andreas Steffens und Patrick Stadler unterstützen Sie bei der Vorbereitung auf ein BSI-C5-Testat.