BSI C5 Gleichwertigkeitsverordnung – Was bis Ende 2025 zu beachten ist
Einleitung
Mit dem Inkrafttreten des § 393 SGB V am 1. Juli 2024 hat der Gesetzgeber einen neuen Maßstab für die Informationssicherheit im Gesundheitswesen gesetzt. Cloud-Dienstleister, die für gesetzliche Krankenkassen, Kassenärztliche Vereinigungen oder andere Gesundheitsakteure tätig sind, müssen künftig ein Sicherheitsniveau nachweisen, das dem BSI C5-Kriterienkatalog entspricht. Die BSI C5 Gleichwertigkeitsverordnung konkretisiert diese Anforderungen und definiert, unter welchen Bedingungen alternative Sicherheitsnachweise als gleichwertig anerkannt werden können. Für Geschäftsführer, IT-Leiter und Compliance-Verantwortliche ist es jetzt entscheidend, die Fristen und Anforderungen zu kennen – und rechtzeitig zu handeln.
Rechtlicher Hintergrund: § 393 SGB V und die Rolle der BSI C5 Gleichwertigkeitsverordnung
Der § 393 SGB V wurde im Rahmen des Digital-Gesetzes (DigiG) eingeführt und verpflichtet Cloud-Dienstleister im Gesundheitswesen zur Vorlage eines Sicherheitsnachweises. Ziel ist es, die Versorgungssicherheit und den Schutz sensibler Gesundheitsdaten durch einheitliche und prüfbare Standards sicherzustellen.
Die BSI C5 Gleichwertigkeitsverordnung, veröffentlicht am 19. März 2025 (BGBl. 2025 I Nr. 91), wurde auf Grundlage von § 393 Abs. 1 Satz 3 SGB V erlassen. Sie schafft Rechtsklarheit darüber, welche alternativen Standards vorübergehend als gleichwertig zum C5-Testat gelten und unter welchen Bedingungen diese Anerkennung erfolgt.
Was regelt die BSI C5 Gleichwertigkeitsverordnung konkret?
Die Verordnung erlaubt übergangsweise die Anerkennung folgender Standards in Kombination mit den weiteren Anforderungen als gleichwertig:
- ISO/IEC 27001
- ISO 27001 auf Basis IT-Grundschutz (BSI)
- Cloud Controls Matrix (CCM) v4.0 der Cloud Security Alliance (CSA)
Diese Gleichwertigkeit ist jedoch an strenge Bedingungen geknüpft:
1. Dokumentation der C5-Basiskriterien
Es muss klar dokumentiert sein, welche Anforderungen des C5-Katalogs durch das bestehende Zertifikat oder interne Kontrollsystem (IKS) nicht abgedeckt werden.
2. Maßnahmenplan zur Schließung der Lücken
Für jede identifizierte Lücke ist ein konkreter Maßnahmenplan zu erstellen, inklusive bereits begonnener Vertragsverhandlungen mit einer Wirtschaftsprüfungsgesellschaft.
3. Meilensteinplanung
Die Umsetzung der Maßnahmen muss innerhalb von zwölf Monaten nach Erstellung des Plans erfolgen.
4. Verpflichtung zur C5-Testierung
Es muss sichergestellt sein, dass:
- innerhalb von 18 Monaten ein C5-Typ-1-Testat vorliegt,
- innerhalb von 24 Monaten ein C5-Typ-2-Testat erfolgt.
Wichtig: Der Maßnahmenplan und alle Nachweise müssen auf Verlangen unverzüglich gegenüber Krankenkassen und Aufsichtsbehörden vorgelegt werden.
Fristen und To-dos bis Ende 2025
Die Gleichwertigkeitsverordnung definiert klare Deadlines:
- Die GAP-Analyse und der Maßnahmenplan sind sofort zu erstellen und zu dokumentieren
- Das Typ 1 Testat ist nach herrschender Meinung bis zum 31. Dezember 2025 erforderlich
- Das Typ 2 Testat ist dann für einen sechs Monatszeitraum bis zum 30. Juni 2026 zu erlangen
Achtung: Wer die Fristen versäumt, verliert die Möglichkeit, als gleichwertig anerkannt zu werden – und riskiert den Ausschluss aus dem Gesundheitsmarkt sowie regulatorische Sanktionen.
Sollten Sie noch keine Maßnahmen eingeleitet haben, sollten Sie dies schnellstmöglich tuen, nehmen Sie gerne Kontakt mit uns auf.
Typ-1 vs. Typ-2-Testat: Unterschiede und Bedeutung
Die Verordnung verlangt die Vorlage beider Testatstypen:
- Typ-1-Testat: Liefert eine erste Bestätigung über die grundsätzliche Eignung des internen Kontrollsystems zum Stichtag (z. B. 31. Dezember 2025).
- Typ-2-Testat: Belegt die tatsächliche Umsetzung und Wirksamkeit der Kontrollen über einen Zeitraum von mindestens drei Monaten (typischerweise 6–12 Monate, z. B. 1. Januar 2026 bis 30. Juni 2026).
Für die dauerhafte Anerkennung und regulatorische Konformität ist das Typ-2-Testat entscheidend.
Empfehlungen für eine effiziente Umsetzung der BSI C5 Gleichwertigkeitsverordnung
Die Anforderungen aus § 393 SGB V und der Gleichwertigkeitsverordnung sind komplex – aber mit einem strukturierten Vorgehen beherrschbar. Folgende Schritte haben sich in der Praxis bewährt:
1. Ist-Analyse und Readiness-Check
Bewerten Sie, ob bestehende Zertifizierungen (z. B. ISO/IEC 27001) und technische sowie organisatorische Maßnahmen (TOMs) die C5-Basiskriterien abdecken.
2. Gap-Assessment
Führen Sie einen strukturierten Abgleich mit dem C5-Katalog durch und entwickeln Sie einen belastbaren Maßnahmenplan.
3. Umsetzung
Schließen Sie identifizierte Lücken im Design und Betrieb Ihrer Sicherheitsmaßnahmen.
4. Prüfungsvorbereitung
Bereiten Sie sich gezielt auf die Prüfungen für Typ-1 und Typ-2 vor – inklusive Nachweisdokumenten, Prozessbeschreibungen und Kontrollnachweisen.
5. Testierung
Lassen Sie sich bei der Vorbereitung und Durchführung der Testate professionell begleiten. Informieren Sie sich jetzt über unseren Prüfungsansatz.
Fazit: Jetzt handeln – für Compliance und Marktposition
Die BSI C5 Gleichwertigkeitsverordnung ist kein optionaler Standard, sondern eine verbindliche Vorgabe für Cloud-Dienstleister im Gesundheitswesen. Sie schafft einen klaren Pfad zur vollständigen C5-Konformität – mit definierten Fristen, Anforderungen und Prüfmechanismen.
Wer jetzt handelt, sichert sich nicht nur regulatorische Compliance, sondern positioniert sich als verlässlicher Partner im Gesundheitswesen. Sie sollten die verbleibende Zeit bis Ende 2025 nutzen, um ihre Systeme zu analysieren, Maßnahmen zu planen und die notwendigen Testate vorzubereiten. Sprechen Sie uns gerne an und wir werden Sie umfangreich bei der Testierung unterstützen und diese gemeinsam mit Ihnen durchführen.
