Im Gesundheitswesen werden zunehmend Cloud-basierte IT-Anwendungen eingesetzt. Dies ermöglicht es etwa Krankenkassen und Leistungserbringern, Qualität und Geschwindigkeit der Leistungserbringung zu optimieren sowie effizienter und effektiver zusammenzuarbeiten. Mit der verstärkten Nutzung solcher Cloud-Dienste zur Verarbeitung sensibler Gesundheitsdaten gehen jedoch auch IT-bezogene Risiken einher, denen sowohl die Anwenderorganisationen als auch die Cloud-Anbieter mit geeigneten Maßnahmen begegnen müssen.
Das Bundesministerium für Gesundheit (BMG) hat erkannt, dass es notwendig ist, von den Anbietern der Cloud-basierten Anwendungen ein einheitlich hohes Niveau an Informationssicherheit zu fordern.
Im Gesetzentwurf des Digital-Gesetzes vom 30. August 2023 ist daher vorgesehen, dass die im Gesundheitssektor tätigen Einrichtungen wie etwa Krankenkassen und Leistungserbringer solche Cloud-basierten Dienste nur noch dann einsetzen dürfen, sofern für diese ein Prüfbericht gemäß des etablierten „Kriterienkatalog Cloud Computing“ (kurz „C5“) vorliegt. Der BSI C5 ist ein vom Bundesamt für Informationstechnik („BSI“) herausgegebener Kriterienkatalog, in dem ein bestimmtes Niveau an Informationssicherheit für den Betrieb von Cloud-Diensten definiert ist. Cloud-Anbieter können sich von Wirtschaftsprüfungsgesellschaften gemäß BSI C5 prüfen lassen, um einen entsprechenden Prüfbericht zu erhalten. PwC hat das BSI beim Entwickeln sowie Aktualisieren des C5 unterstützt und bereits zahlreiche Beratungs- und Prüfungsprojekte für Cloud-Anbieter unterschiedlicher Größe durchgeführt.
Das Wichtigste in 30 Sekunden
.png)
- Einrichtungen setzen zunehmend auf Cloud-basierte Dienste, um ihre IT zu modernisieren und Gesundheitsdaten effizienter zu verarbeiten.
- Das Bundesministerium für Gesundheit (BMG) verschärft daher die Anforderungen an das von Cloud-basierten Diensten zu bietende Niveau an Informationssicherheit.
- Sofern Einrichtungen künftig Gesundheitsdaten in der Cloud verarbeiten wollen, müssen sie gemäß Sozialgesetzbuch (SGB) V vom Cloud-Anbieter einen Prüfbericht gemäß des „Kriterienkatalogs Cloud Computing“ (kurz „C5“) des Bundesamts für Sicherheit in der Informationstechnik fordern.
- Dies kann unter anderem folgende Einrichtungen betreffen:
- Dienstleister von Krankenkassen
- Anbieter digitaler Gesundheits- & Pflegeanwendungen
- Sozialversicherungsträger
- Ämter & Behörden für Sozialangelegenheiten
- Die neuen Anforderungen bezüglich der Informationssicherheit von Cloud-basierten Diensten werden voraussichtlich wirksam, sobald das Gesetz in Kraft tritt (derzeit erwartet für Januar 2024).
Die Cloud-spezifischen Regelungen im Detail
Mit dem neuen § 393 „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ im Sozialgesetzbuch (SGB) V erhöht das Bundesministerium für Gesundheit den Schutz sensibler, personenbezogener Sozial- und Gesundheitsdaten. Krankenkassen und Leistungserbringer sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen ab voraussichtlich Januar 2024 solche Daten nur noch dann mit Cloud-basierten Anwendungen verarbeiten, sofern die folgenden Voraussetzungen erfüllt sind:
- Der Anbieter des Cloud-basierten Dienstes verfügt über einen BSI C5 Prüfbericht Typ 1, der die BSI C5 Basiskriterien abdeckt.
- Die Einrichtung, die den Cloud-Dienst nutzt, hat:
- angemessene und dem Stand der Technik entsprechende, technische und organisatorische Maßnahmen zur Absicherung der Cloud-Nutzung ergriffen,
- die vom Cloud-Anbieter im BSI C5 Prüfbericht formulierten Endnutzer-Kontrollen umgesetzt.
Ab dem 1. Juli 2025 sieht der Gesetzentwurf zudem vor, dass seitens des Cloud-Anbieters anstatt eines BSI C5 Prüfberichts Typ 1 sodann ein BSI C5 Prüfbericht Typ 2 vorliegen muss.
Dies gilt auch für Einrichtungen, die Private Clouds aufgebaut haben und diese selbst nutzen.
Dadurch werden auch Organisationen erfasst, die nicht zu den klassischen IT- oder Cloud-Anbietern gehören. Hierzu zählen beispielsweise Forschungseinrichtungen, Pharmaunternehmen oder sonstige Dienstleister, die personenbezogene Gesundheitsdaten in ihrer Private Cloud speichern und verarbeiten.
„Aufgrund unserer jahrelangen Erfahrung mit dem BSI C5 kennen wir die Herausforderungen, die diese Gesetzesänderung für Cloud-Anbieter bedeuten kann und unterstützen gerne als Prüfer oder Berater dabei, BSI C5-Konformität herzustellen bzw. nachzuweisen.“
Wie PwC bei der Vorbereitung und Umsetzung unterstützen kann
Mit unserem bewährten Vorgehen haben wir in den letzten Jahren bereits zahlreiche Cloud-Anbieter mit Prüfungs- und Beratungsprojekten hinsichtlich BSI C5 erfolgreich begleitet. Dabei besprechen wir mit unseren Kunden zunächst die individuelle Ausgangssituation, um daraufhin den Zeitrahmen sowie unser Vorgehen gemeinsam auf die jeweiligen Ziele abzustimmen.
- Jetzt: Betroffenheitsanalyse durchführen
Gemeinsam mit Ihnen ermitteln wir in unserer strukturierten Betroffenheitsanalyse, inwieweit das Digital-Gesetz die von Ihnen angebotenen IT- und Cloud-Dienste erfasst. Die hierfür nötigen Informationen sammeln wir meist in Workshops, die wir ggf. durch dedizierte Interviews ergänzen. Als Ergebnis erhalten Sie eine dokumentierte Indikation, inwiefern Ihre Dienste für den neuen § 393 „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ relevant sind. - Q3 2023: BSI C5 Gap Assessment durchführen
Unser BSI C5 Gap Assessment verschafft unseren Kunden rasch Transparenz darüber, inwieweit ihre implementierten Sicherheitsmaßnahmen bereits die BSI C5-Kriterien abdecken. Um dies zu bewerten, sehen wir bspw. bestehende Richtlinien durch, ordnen die darin beschriebenen Maßnahmen den BSI C5-Kriterien zu, ermitteln deren Abdeckung und beschreiben eventuell bestehende Lücken. Ausgehend von den Ergebnissen des Gap Assessments können Cloud-Anbieter identifizierte Lücken schließen und sich auf die BSI C5 Prüfung vorbereiten, wobei wir in einer Beraterrolle unterstützen können. - Q4 2023: BSI C5 Prüfung Typ 1 durchführen
Als anerkannter BSI C5-Prüfer kann PwC die vorrangig ab Januar 2024 gemäß § 393 „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ erforderliche BSI C5 Prüfung (Typ 1) durchführen. Die Prüfungshandlungen bestehen hier vorwiegend aus dem Interviewen von Fachpersonal und dem Durchsehen von Nachweisen (etwa Richtlinien). Das Ziel der Prüfung ist, zu beurteilen, inwiefern die Sicherheitsmaßnahmen des Cloud-Anbieters angemessen ausgestaltet und implementiert sind, um die BSI C5 Basiskriterien zu einem bestimmten Zeitpunkt zu erfüllen. - In 2024: BSI C5 Prüfung Typ 2 durchführen
Der aktuelle Gesetzentwurf sieht ab Juli 2025 eine BSI C5 Prüfung gemäß Typ 2 vor. Bei einer Typ 2-Prüfung bestehen die Prüfungshandlungen vor allem aus dem Interviewen von Fachpersonal, dem Durchsehen von Nachweisen sowie dem zusätzlichen Durchführen von Stichprobenprüfungen. Das Ziel der Prüfung ist, zu beurteilen, inwiefern die Sicherheitsmaßnahmen des Cloud-Anbieters angemessen ausgestaltet und implementiert sowie wirksam waren, um die BSI C5 Basiskriterien über einen definierten Zeitraum (meist zwischen 6 und 12 Monate) hinweg zu erfüllen.
Unser Team kann bezüglich BSI C5 auf eine über viele Jahre aufgebaute, umfassende Expertise zurückgreifen. Zusätzlich zu unseren zahlreichen Beratungs- und Prüfungsprojekten bei Cloud-Anbietern unterschiedlicher Größe im In- und Ausland durften wir das BSI im Jahr 2015 beim initialen Entwickeln sowie im Jahr 2019 beim Aktualisieren des C5 unterstützen.
