Um im Gesundheitswesen Patienten besser und schneller versorgen zu können, ist der verstärkte Einsatz digitaler Datenverarbeitung erforderlich. Da besonders sensible personenbezogene Daten von zu versorgenden Personen umfangreich verarbeitet werden, ist auch ein verbesserter Schutz dieser Daten geboten.
Zur Wegbereitung dieser digitalen Transformation wurde deshalb das „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG)“ erlassen, welches seit dem 26.03.2024 gültig ist. Als Artikelgesetz ändert es eine Reihe von Gesetzen, unter anderem das fünfte Buch des Sozialgesetzbuchs (SGB V), in dem die Anforderungen an die Informationsverarbeitung im Rahmen der gesetzlichen Krankenversicherung aufgestellt sind.
In diesem Artikel werden wesentliche Änderungen in Bezug auf IT-Sicherheit durch das DigiG am SGB V vorgestellt.
Ausgewählte Änderungen
Der bisherige § 75b SGB V „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ wird durch den neuen § 390 SGB V mit gleicher Überschrift ersetzt, die Inhalte sind nahezu identisch zum vorherigen Paragraphen. Ausdrücklich neu aufgenommen wurde allerdings die Anforderung, dass nun „Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssicherheit (Steigerung der Security-Awareness)“ gefordert sind. Eher redaktionell wirkt die Ergänzung der Leistungserbringer um die vertragszahnärztliche Versorgung – bereits vorher galt die umzusetzende Richtlinie auch für diese. Ansonsten erfolgten nur redaktionelle Anpassungen und die Ergänzung der Veröffentlichungspflichten für Vorgaben zur Zertifizierung von Mitarbeitenden von Anbietern von informationstechnischen Systemen, die im Gesundheitswesen eingesetzt werden.
Ebenso wird der bisherige § 75c SGB V „IT-Sicherheit in Krankenhäusern“ durch den neuen § 391 SGB V, ebenfalls mit gleicher Überschrift und nahezu identischen Inhalten, ersetzt. Auch hier ist die Anforderung „verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern [zu treffen]“ hinzugekommen. Hingegen ist die bisherige Anforderung „Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen“ entfallen. Weitere Änderungen wirken nur redaktionell.
Neuer Regelungsgegenstand ist demgegenüber der § 392 SGB V „IT-Sicherheit der gesetzlichen Krankenkassen“, der in weiten Teilen nahezu gleichlautend zum § 391 SGB V ist, angepasst auf Krankenkassen. Darüber hinaus werden diese nun gesetzlich dazu verpflichtet, bei der Erstellung eines „branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Krankenkassen“ (B3S) mitzuwirken. Die Pflicht zur Sensibilisierung, hier als „geeignete Maßnahmen zur Erhöhung der Cybersecurity-Awareness“ formuliert, ist entgegen § 391 SGB V nicht als Maßnahme formuliert, sondern als notwendiger Inhalt des B3S. Der B3S muss auch an IT-Dienstleister zu stellende Sicherheitsanforderungen beinhalten und die Krankenkassen müssen diese Anforderungen vertraglich mit den betreffenden IT-Dienstleistern vereinbaren. Ergänzend sind die gesetzlichen Krankenkassen nun auch verpflichtet, „Systeme zur Angriffserkennung“ (SzA) zu betreiben. Die Anforderung ist nahezu identisch mit den Verpflichtungen aus § 8a Abs. 1a BSIG für Betreiber Kritischer Infrastrukturen.
Der beschrieben B3S besteht bereits als „Branchenspezifischer Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer“ (B3S-GKV/PV) und enthält die geforderten Inhalte. Die Anforderung des neuen § 392 SGB V ist aber nicht auf Betreiber Kritischer Infrastrukturen beschränkt, sondern gilt für alle Krankenkassen im Regelungsbereich.
Fazit
Durch das Digital-Gesetz werden die bestehenden Anforderungen in Bezug auf IT-Sicherheit an Leistungserbringer der vertragsärztlichen und vertragszahnärztlichen Versorgung sowie an Krankenhäuser um Anforderungen zur Sensibilisierung von Mitarbeitenden für Cybersecurity ergänzt. Krankenhäuser müssen ihre IT-Systeme nicht mehr ausdrücklich alle zwei Jahre auf den Stand der Technik anpassen (siehe hierzu auch unseren Beitrag Security-Awareness-Maßnahmen werden im Gesundheitswesen zur Pflicht).
Alle gesetzlichen Krankenkassen sind nun verpflichtet, einen branchenspezifischen Sicherheitsstandard zu erarbeiten und zu erfüllen, der neben üblichen Anforderungen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit ebenfalls die Umsetzung von Sensibilisierungsmaßnahmen für Mitarbeitende beinhaltet. Ergänzend sind Systeme zur Angriffserkennung zu betreiben und IT-Dienstleister vertraglich auf die Erfüllung der Anforderungen aus dem B3S zu verpflichten.
Das Digital-Gesetz setzt mit seinen Ergänzungen zur Erhöhung des Sicherheitsbewusstseins Maßnahmen zur Stärkung der Cyberresilienz um, wie beispielsweise im Bericht „Die Lage der IT-Sicherheit in Deutschland 2023“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) dargelegt.
Sensibilisierungsmaßnahmen können beispielsweise durch eLearnings in einer Online Schulungsplattform umgesetzt und nachgewiesen werden, wie sie mit dem DSN train der DSN GROUP zur Verfügung steht. Die einzuhaltenden Schutzziele können durch die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gewährleistet werden, wobei die DSN GROUP unterstützen kann. Zu unseren Kunden gehören Krankenhäuser und andere Betriebe/Dienstleister im Gesundheitsbereich sowie Betreiber Kritischer Infrastrukturen.
Dr. Torge Schmidt
16. August 2024 @ 13:32
Danke für den Hinweis! Inhaltlich haben Sie Recht, der Fokus des Blogbeitrags waren Änderungen an Anforderungen vorhandener Regelungen, nicht der Blick auf neue Anforderungen neuer Ausgestaltungsmöglichkeiten der IT.
L. Heye
16. August 2024 @ 10:03
Guten Tag,
in der Regel enthalten die Beiträge auf dieser Seite gute Einschätzungen zu aktuellen gesetzlichen Entwicklungen und Auswirkungen auf die Praxis. Hier möchte ich jedoch darauf hinweisen, dass auf einen wichtigen Paragraphen des Gesetzes nicht eingegangen wurde oder die Überschrift des Artikels evtl. nicht ganz passend zum Inhalt ist. § 393 DigiG beschäftigt sich mit dem Cloud-Einsatz im Gesundheitswesen und der Notwendigkeit eines C5-Testats für bestimmte Datenverarbeitungen in der Cloud und hat eine große Auswirkung auf die Branche – oder enthält, wie oben beschrieben „wesentliche Änderungen in Bezug auf IT-Sicherheit“.