Die neue C5-Äquivalenz-Verordnung – wird nun alles besser?

Endlich tut sich etwas, oder vielleicht auch nicht?​

Die durch das Digital-Gesetz für die Einrichtungen im Gesundheitswesen (nachfolgend Digital-Gesetz) neu und überraschend eingeführte C5-Testierungspflicht bei einer Datenverarbeitung in der Cloud im Bereich von Leistungserbringern, führte zu vielen Fragen und auch Problemen.
Gerade kleine Dienstleister können die Anforderungen für eine C5-Testierung nicht oder nur sehr schwer erfüllen und stehen vor der Frage der Sicherung ihrer Existenz.
Das Gesetz sieht als aktuelles C5-Testat bis zum 30.06.2025 ein C5-Typ-1-Testat als ausreichend an, ab dem 01.07.2025 gilt eine Pflicht für ein C5-Typ-2-Testat. Nach dem Gesetzestext ebenfalls als ausreichend angesehen werden Testate oder Zertifikate, die ein vergleichbares oder höheres Sicherheitsniveau sicherstellen.
Welche das sind, soll, so sagt jedenfalls das Gesetz, durch Rechtsverordnung des Bundesministeriums für Gesundheit im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt werden.
 
Eine solche liegt nun als Referentenentwurf vor. Doch inhaltlich bleibt sie hinter den Erwartungen zurück.
 
§ 1 Abs. 1 der Rechtsverordnung legt fest, welche Testierungen oder Zertifizierungen ein C5-Testat-Typ-1 ersetzen können. Hierbei handelt es sich um die DIN EN ISO/IEC 27001:2022, die ISO 27001 auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Cloud Control Matrix Version 4.0.
Nach § 1 Abs. 2 der Rechtsverordnung muss aber, wenn das C5-Testat-Typ-1 nach Abs. 1 ersetzt werden soll, daneben ein Maßnahmenplan vorliegen, der mindestens die folgenden Punkte enthält:
 

1. eine Dokumentation, die sich an den einzelnen Basiskriterien des C5-Kriterienkatalogs ausrichtet und diejenigen Basiskriterien hervorhebt, die materiell nicht durch das bestehende Testat oder Zertifikat zugrundeliegenden Standard abgedeckt werden,
2. eine Dokumentation der individuellen technischen und organisatorischen Vorkehrungen, die ergriffen werden, um die unter Nummer 1 gekennzeichneten materiellen Lücken zwischen den Anforderungen des C5-Kriterienkatalogs und den Anforderungen des alternativen Standards zu beheben,
3. eine Meilensteinplanung, aus der hervorgeht, bis wann die einzelnen Vorkehrungen nach Nummer 2 derart umgesetzt sein sollen, dass die unter Nummer 1 gekennzeichneten materiellen Lücken zu den Anforderungen der Basiskriterien des C5-Kriterienkatalogs behoben sind; hierbei darf ein Zeitraum von zwölf Monaten ab der Erstellung der Meilensteinplanung nicht überschritten werden und
4. eine Dokumentation von Maßnahmen zur Erlangung eines C5-Typ-1-Testats für den Cloud-Computing-Dienst innerhalb von 18 Monaten ab Erstellung der - 5 - Meilensteinplanung; hierunter fallen auch vertragliche Vereinbarungen mit einem Auditor zur Durchführung eines C5-Typ-1-Audits oder die Aufnahme von Vertragsverhandlungen hierzu.

 
In diesem Maßnahmenkatalog fällt vor allem der 4. Punkt auf, in welchem festgelegt wird, dass ein Ersatz des C5-Testates Typ 1 nur für 18 Monate möglich ist. Der Ersatz stellt damit nur eine Übergangslösung dar, die betroffenen Dienstleister können das C5-Typ 1-Testat nicht dauerhaft ersetzen.
 
Nach der hier vertretenden Rechtsauffassung läuft diese zeitliche Befristung ins Leere.
Die Rechtsverordnung regelt nach dem eindeutigen Wortlaut nur den Ersatz einer C5 Typ 1-Testierung, ab dem 01.07. dieses Jahres gilt nach dem § 393 SGB V aber eine Pflicht zur Vorlage eines C5 Typ 2 Testates, für welches strengere Anforderungen erfüllt werden müssen (Nachweis der Wirksamkeit der Umsetzung).
Zur Anerkennung, ob und wie ein solches durch ähnliche Zertifizierungen ersetzt werden kann, schweigt sich die vorliegende Rechtsverordnung aber aus.
 ​​
Betroffene Unternehmen müssen ein Typ-2 somit ab dem 01.07. nach wie vor nachweisen können. Damit dieses überhaupt noch erreicht werden kann, sollten die Vorbereitungen hierfür schon längst begonnen worden sein.
 
Als weitere Regelung ist in § 2 noch festgehalten, dass die Regelung rückwirkend zum 01.07.2024 in Kraft treten soll.
Die Verordnung kann somit Rechtsverstöße bei Unternehmen heilen, die sich zwar um ein C5-Typ 1-Testierung bemüht, eine solche aber bis zum 01.07.2024 nicht erreicht haben, wenn sie über ein Zertifikat nach § 1 Abs. 1 verfügen.
Aus der Praxiserfahrung dürfte der Anwendungsbereich für diese Regelung verschwindend klein sein.
 
Ob durch die Verordnung wirklich eine Verbesserung eintritt, bleibt somit zu bezweifeln.
 
Abzuwarten bleibt, ob eine weitere Rechtsverordnung dahingehend erlassen wird, wie ein C5-Typ-​2- Testat zumindest vorübergehend ersetzt werden kann. Viele Dienstleister werden nämlich die bis zum 01.7.2025 gesetzte Frist, trotz Bemühungen nicht einhalten können.


​