Schlagwortarchiv für: Healthcare

BSI C5-Testierungspflicht ab 1. Juli 2025: Übergangslösungen für betroffene Unternehmen

Die BSI C5 Testierung 2025 stellt viele Cloud-Anbieter im Gesundheitsbereich vor neue Herausforderungen. Ab dem 1. Juli 2025 gelten deutlich strengere Anforderungen an die Informationssicherheit. Wer Cloud-Services anbietet und dabei mit Patientendaten oder Sozialdaten umgeht, muss künftig ein C5-Testat vorweisen – andernfalls drohen massive Einschränkungen bei der weiteren Geschäftstätigkeit.

Dank der neuen C5-Gleichwertigkeitsverordnung (C5GleichwV) gibt es jedoch Möglichkeiten, den Übergang rechtssicher zu gestalten. In diesem Beitrag erklären wir, welche Übergangslösungen bestehen, was es dabei zu beachten gilt – und wie Unternehmen im Gesundheitssektor jetzt strategisch vorgehen sollten, um die BSI C5 Testierung 2025 erfolgreich zu erreichen.

Aktuelle und kommende C5-Testierungspflicht im Gesundheitswesen

Die C5-Testierung basiert auf dem „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ziel des Kriterienkatalogs ist es, die Sicherheit und Transparenz bei der Nutzung von Cloud-Diensten zu verbessern – insbesondere dann, wenn sensible Daten wie Gesundheits- oder Sozialdaten betroffen sind.

Im Gesundheitswesen ist die C5-Testierungspflicht gesetzlich verankert: § 393 Abs. 4 SGB V verpflichtet Anbieter von Cloud-Computing-Diensten zur C5-Testierung, wenn sie Patientendaten oder Sozialdaten verarbeiten.

Die gesetzliche Frist sieht folgende Übergangsregelung vor:

  • Bis zum 30. Juni 2025 genügt ein C5 TypI-Testat (Angemessenheitsprüfung der implementierten Sicherheitsmaßnahmen).

  • Ab dem 1. Juli 2025 ist ein C5 TypII-Testat verpflichtend. Hier wird zusätzlich geprüft, ob die Maßnahmen auch wirksam umgesetzt wurden – anhand eines Beobachtungszeitraums von mindestens sechs Monaten.

Vor allem kleinere Cloud-Anbieter im Gesundheitswesen stehen nun vor erheblichen Herausforderungen: Zeit, Budget und Know-how für eine vollständige C5-Testierung sind knapp.

Die C5-Gleichwertigkeitsverordnung: Temporäre Brückenlösungen

Mit der neuen Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Dienste im Gesundheitswesen (C5GleichwV) wird ein Rechtsrahmen geschaffen, um betroffenen Unternehmen den Übergang zu erleichtern.

Die gute Nachricht: Für maximal 24 Monate können alternative Sicherheitsnachweise anerkannt werden – sofern bestimmte Bedingungen erfüllt sind. Das bedeutet: Die Verpflichtung zum C5-Typ-2-Testat zum 1. Juli 2025 bleibt bestehen, kann jedoch temporär ersetzt werden, wenn gleichwertige Maßnahmen und ein realistischer Umsetzungsplan vorliegen.

C5 Testierung Gesundheitswesen 2025: Diese Nachweise gelten als gleichwertig

Laut Verordnung gelten folgende Zertifizierungen als temporär C5-konform, sofern ein entsprechendes Mapping und Maßnahmenplan vorgelegt wird:

Anerkannte Sicherheitsnachweise:

Zusätzliche Anforderungen:

  • Ein detailliertes Mapping, das aufzeigt, welche C5-Anforderungen nicht durch die Zertifizierung abgedeckt sind.

  • Ein konkreter Maßnahmenplan zur Schließung der Lücken, inklusive Umsetzungszeitplan (max. 12 Monate).

  • Ein Nachweis, wie innerhalb von 18 Monaten ein C5-Typ-1-Testat und innerhalb von 24 Monaten ein C5-Typ-2-Testat erreicht werden soll.

Wichtig: Die Fristen laufen parallel, nicht nacheinander. Das bedeutet: Unternehmen müssen spätestens bis Mitte 2027 ein vollständiges Typ-2-Testat vorlegen – idealerweise deutlich früher.

Risiken und Herausforderungen

Auch wenn die Gleichwertigkeitsverordnung einen pragmatischen Übergang ermöglicht, sollten sich Unternehmen nicht in falscher Sicherheit wiegen. Die  BSI C5-Testierung im Gesundheitswesen 2025 ist und bleibt ein Muss – und der Weg dorthin ist komplex:

  • Hoher Aufwand für Dokumentation, technische Umsetzung und Auditvorbereitung

  • Kostenintensive Prüfung, da das Testat ausschließlich von Wirtschaftsprüfern mit entsprechender Zulassung durchgeführt werden darf

  • Risiko des Nichtbestehens, wenn Anforderungen nicht korrekt umgesetzt oder dokumentiert sind

  • Wettbewerbsnachteile, wenn Kunden oder Partner die Gleichwertigkeitslösung nicht anerkennen

Jetzt handeln: Empfehlungen für Gesundheitsunternehmen

Wer Cloud-Dienste im Gesundheitsbereich anbietet und auch nach Juli 2025 rechtskonform tätig sein will, sollte folgende Schritte einleiten:

  1. Ist-Analyse und Gap-Assessment: Welche Sicherheitsmaßnahmen sind bereits vorhanden? Welche C5-Kriterien sind (noch) nicht erfüllt?

  2. Zertifikatsprüfung: Gibt es bereits eine ISO- oder CCM-Zertifizierung, auf der man aufbauen kann?

  3. Maßnahmenplanung: Welche zusätzlichen Prozesse, Kontrollen oder Tools müssen eingeführt werden?

  4. Zeitplan und Ressourcenmanagement: Wer macht was bis wann – intern und mit externen Partnern?

  5. Frühzeitige Prüfungsplanung: Der Markt für qualifizierte Prüfer ist begrenzt – wer zu spät kommt, bekommt unter Umständen keinen Termin.

Unser Beitrag zu Ihrer erfolgreichen C5-Testierung

Unser Ziel ist es, Unternehmen gezielt bei der BSI C5 Testierung 2025 zu begleiten – von der Gap-Analyse bis zur finalen Auditierung.

Unser Leistungsspektrum:

  • Gap-Analyse und Mapping Ihrer bestehenden Zertifizierungen zu den C5-Anforderungen

  • Entwicklung realistischer Maßnahmenpläne zur Schließung dokumentierter Lücken

  • Beratung zur Auswahl der passenden Übergangslösung auf Basis der Gleichwertigkeitsverordnung

  • Projektmanagement und Prüfungsbegleitung bis zur erfolgreichen Testierung

 

Fazit: Aufschub ist kein Ersatz

Die C5-Gleichwertigkeitsverordnung bietet eine sinnvolle Übergangslösung – aber keinen Ersatz für die vollständige Testierung. Gesundheitsunternehmen sollten den Spielraum nutzen, um sich gut vorbereitet und rechtssicher aufzustellen. Denn wer die neuen Anforderungen nicht erfüllt, wird künftig keine Cloud-Dienste für Patientendaten mehr anbieten dürfen.

Jetzt ist der richtige Zeitpunkt, um aktiv zu werden. Wir begleiten Sie auf dem Weg zur C5-Compliance – professionell, effizient und zukunftssicher.

/von