Das Digital-Gesetz: Zeitkritische Anforderungen an Cloud-Dienstleister

Die Digitalisierung in Deutschland ist ein Dauerthema in den Medien. Der Digitalisierungsbedarf des Gesundheitswesens ist davon nicht ausgenommen. Seit geraumer Zeit schon arbeitet die Regierung am sogenannten Digital-Gesetz (DigiG). Nachdem der Bundesrat dem Gesetzentwurf am 2. Februar 2024 zugestimmt hat, scheint ein Inkrafttreten in greifbarer Nähe. 

Das Digital-Gesetz soll den Umgang zwischen Patientinnen und Patienten sowie Ärztinnen und Ärzten mittels digitaler Lösungen vereinfachen und sicherer gestalten. Im Kern des Digital-Gesetzes steht die elektronische Patientenakte (ePA). Aber auch die digitale Medikationsübersicht sowie die Weiterentwicklung und Verbindlichkeit des E-Rezepts, um nur drei  Beispiele zu nennen, sind Gegenstand des Gesetzes.

Neben den inhaltlichen Spezifikationen für die Digitalisierung des Gesundheitswesens stellt das Gesetz auch konkrete Anforderungen an Cloud-Dienstleister, die ihre Lösungen beispielsweise für Krankenhäuser, andere Gesundheitsdienstleister oder für die Datenübertragung zwischen den Beteiligten bereitstellen. Damit soll den IT-Sicherheits- und Cyberrisiken begegnet werden, die mit der Digitalisierung einhergehen. 

Für Anbieter, die über Cloud-Modelle Dienstleistungen für den Gesundheitssektor bereitstellen, soll zukünftig eine regelmäßige Prüfung nach den Anforderungen des Prüfungsstandards Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) verpflichtend werden. 

Mit dem Cloud-Anforderungskatalog (BSI C5) stellt das Bundesamt einheitliche Kriterien auf, anhand derer Cloud-Dienstleister ihr internes Kontrollsystem ausrichten können. Die 13 Teilbereiche des Anforderungskatalogs umfassen neben „klassischen“ IT-Sicherheitsthemen wie Organisation der Informationssicherheit, Kryptografie und physische Sicherheit auch Themen wie Portabilität, Umgang mit Ermittlungsanfragen und Produktsicherheit. Die Konformität der Cloud-Modelle mit den Kriterien des BSI C5 können sich Cloud-Dienstleister nach einer erfolgreich durchgeführten Prüfung durch ein Wirtschaftsprüfungsunternehmen bestätigen lassen. Die entsprechende Prüfung hat einen festgelegten Betrachtungszeitraum und ist demzufolge regelmäßig zu wiederholen (sog. Typ 2 Prüfung).

In dem aktuellen Gesetzentwurf wird ein C5 Typ 2 Testat ab dem 1. Juli 2025 als Voraussetzung für die Leistungserbringung genannt. Bis dahin ist ein C5 Typ 1 Testat (sog. Angemessenheitsprüfung  - ohne Wirksamkeitsbetrachtung) ausreichend. 2025 wirkt noch in weiter Ferne,aus Erfahrung wissen wir aber, dass eine Erstprüfung viel Zeit in Anspruch nehmen kann: Zunächst ist das Cloud-Angebot in einer prüfbaren Systembeschreibung darzustellen. Außerdem setzt die Prüfung voraus, dass bereits IT-Kontrollen auf Basis des Anforderungskataloges abgeleitet, umgesetzt und dokumentiert wurden (sog. Betrachtungszeitraum oder Performance Period). Gegebenenfalls ist eine vorgeschaltete Analyse erforderlich, um überhaupt den aktuellen Reifegrad der Kontrollen erfassen und möglichen Nachbesserungsbedarf feststellen zu können. So kann die Vorbereitung mit anschließender Prüfung schnell mehrere Monate dauern.

Verschaffen Sie sich einen Überblick über die Aktualität und den Umfang Ihrer bestehenden Prüfungen und Zertifikate. Der BSI-C5-Kriterienkatalog hat diverse Schnittmengen mit weit verbreiteten Prüfungen, wie etwa nach ISO 27001 oder SOC 2. Dadurch kann er gut mit vergleichbaren Standards zur IT-Sicherheit kombiniert werden. KPMG kann Sie sowohl bei der Ermittlung von Handlungsfeldern durch die gezielte Auswertung Ihres Kontrollabdeckungsgrades unterstützen, als auch die Prüfung Ihres internen Kontrollsystems nach den Kriterien des BSI C5 durchführen.

Unsere Expert:innen beraten Sie bei Fragen und unterstützen bei der Vorbereitung auf das Digital-Gesetz. Nehmen Sie gerne Kontakt zu uns auf.