Wirtschaftsprüfer, Rechtsanwälte, Steuerberater und Unternehmensberater: Vier Perspektiven. Eine Lösung. Weltweit. …
Wirtschaftsprüfung und prüfungsnahe Beratung von Unternehmen ✓ Erfahrene Prüfer ✓ Exzellente Beratung ✓ …
Rechtsberatung für Unternehmen ✓ Erfahrene Rechtsanwälte ✓ Exzellente juristische Beratung ✓ Maßgeschneiderte …
Steuerberatung für Unternehmen und Familienunternehmen ✓ Erfahrene Steuerberater ✓ Exzellente Beratung ✓ …
Unternehmensberatung für Unternehmen ✓ Erfahrene Consultants ✓ Exzellente Beratung ✓ Maßgeschneiderte Lösungen » …
Neue Anforderungen an die Cloud-Verarbeitung von Gesundheitsdaten
D&O-Versicherung: Keine Deckung bei „Strohmann“-Geschäftsführer
Pillar 2: Die globale Mindeststeuer ist weiter in aller Munde
EU-Omnibus-Paket: Weniger Aufwand bei der Nachhaltigkeitsberichterstattung?
Baker Tilly startet mit 23 neuen Directors ins Jahr 2025
In the News: Baker Tilly greift im Genossenschaftssektor an
§ 273a ZPO: Mehr Schutz für Geschäftsgeheimnisse im Zivilprozess
Sozialversicherungspflicht von Honorarlehrkräften erst ab 2027
Baker Tilly berät Biotech-Startup Real Collagen GmbH bei Investment durch US-Investor
Öffentliche Vergabe: Cyberversicherungen rechtssicher beschaffen
Countdown bis September – Die EU-Datenverordnung und ihre Auswirkungen
Branchenspezifische Kenntnisse sind unerlässlich, um die besten Voraussetzungen für individuelle Lösungen zu …
Handelsrechtliche Bilanzierung von Emissionsberechtigungen und des THG-Quotenhandels
Energiestudie: Unsicherheit bremst Investitionen von Industrie und Versorgern in Deutschland
Profitieren Sie von gebündelten interdisziplinären Kompetenzen, Experten-Teams und individuellen Lösungen. Erfahren …
Baker Tilly bietet ein breites Spektrum individueller und innovativer Beratungsdienstleistungen in an. Erfahren …
Braunschweiger Traditionslogistiker Wandt begibt sich mit Baker Tilly in Eigenverwaltung
Dr. Alexander Fridgen zum vorläufigen Insolvenzverwalter der Reha-Klinik Prinzregent Luitpold Bad Reichenhall bestellt
Ab Juli 2025 gelten strengere Anforderungen für die Cloud-Verarbeitung von Gesundheitsdaten im Zuge des DigiG. Anbieter müssen ein C5-Typ2-Testat vorweisen, das die Wirksamkeit ihrer Sicherheitsmaßnahmen über einen definierten Zeitraum belegt.
Mit dem Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen (DigiG) und dem neu eingeführten § 393 des Fünften Sozialgesetzbuches (SGB V) gelten strengere Anforderungen an die Verarbeitung von Gesundheitsdaten in der Cloud.
Seit dem 1. Juli 2024 dürfen Leistungserbringer im Gesundheitswesen, Krankenkassen und deren Auftragsverarbeiter Sozial- und Gesundheitsdaten nur dann cloudbasiert verarbeiten, wenn sie ein aktuelles C5-Testat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vorweisen können.
Bis zum 30. Juni 2025 ist ein C5-Typ1-Testat zulässig, das die Angemessenheit der Sicherheitsmaßnahmen bescheinigt. Ab dem 1. Juli 2025 ist ein C5-Typ2-Testat erforderlich, das zusätzlich die Wirksamkeit der Maßnahmen über einen definierten Zeitraum hinweg bestätigt.
Bisher können nur wenige Leistungserbringer ein C5-Testat vorweisen. Der C5-Kriterienkatalog umfasst 17 Themengebiete mit insgesamt 125 - teils sehr spezifischen - Kriterien. Die Anforderungen sind komplex und umfangreich. Sie zu erfüllen, kann für viele Anbieter eine erhebliche Herausforderung darstellen.
Alternativ können auch andere Zertifikate oder Testate als Nachweis dienen, insofern diese ein vergleichbares oder höheres Sicherheitsniveau sicherstellen. Welche diese konkret sein sollen, sollte das Bundesministerium für Gesundheit per Verordnung bestimmen.
Seit dem 06.01.2025 liegt nun ein Referentenentwurf der C5-Äquivalenzverordnung vor.
Für die Übergangszeit sollen folgende Zertifikate oder Testate als Nachweis für die Einhaltung eines Sicherheitsniveaus, das mit einer C5-Typ1-Testierung vergleichbar ist, genutzt werden können:
Zusätzlich zu diesen Zertifikaten oder Testaten soll ein Maßnahmenplan vorliegen müssen, der folgende Punkte enthält:
So sinnvoll es sein mag, eine stufenweise Migration der internen Sicherheitskontrollen auf den C5-Standard zu ermöglichen, beschreibt der aktuelle Entwurf lediglich die Gleichwertigkeit zu C5-Typ1-Testierungen.
Ab dem 1. Juli 2025 ist jedoch ein C5-Typ2-Testat erforderlich, das die kontinuierliche Wirksamkeit der Sicherheitsmaßnahmen über mindestens sechs Monate hinweg bestätigt. Bis die Verordnung um entsprechende Festlegungen zur Gleichwertigkeit von Typ2-Testaten ergänzt wird, bleibt Unsicherheit bei den Anbietern von Cloud-Computing-Diensten und deren Nutzern.
Angesichts der erforderlichen Zeit für die Umsetzung der Anforderungen und den Nachweis der Wirksamkeit über sechs Monate bestehen erhebliche Risiken für Cloudanbieter ohne C5-Typ2-Testat und ihre Kunden. Die einzige Möglichkeit, diese Risiken zu reduzieren, scheint die unverzügliche Vorbereitung auf die Testierung zu sein.
Baker Tilly unterstützt und berät durch die Bereiche IT-Audit & Cyber Security: Eine Gap-Analyse ist Grundlage für Ihren Meilensteinplan. Wir testieren die Übereinstimmung und Sicherheit Ihrer Systeme und Prozesse nach C5 Typ1 und C5 Typ2. Dabei streben wir stets den effizientesten Ansatz an und verwerten Prüfungsberichte anderer Wirtschaftsprüfer, Softwaretestate, etc.
Vertrauen Sie auf unsere Fachkompetenz, um Ihre IT-Systeme und Prozesse zu stärken und Ihre Resilienz zu erhöhen.
Boris Ortolf
Director
Certified Information Systems Security Professional (CISSP), Certified Cloud Security Professional (CCSP)
Jetzt Kontakt aufnehmen
Kontakt aufnehmen
Alle News anzeigen