Zum Inhalt wechseln 
Neue Standards für Cloud-Sicherheit im Gesundheitswesen
Mit der fortschreitenden Digitalisierung im Gesundheitswesen steigen die Anforderungen an Datenschutz und IT-Sicherheit rasant. Ab dem 1. Juli 2025 tritt ein entscheidender Wandel in Kraft: Für die Verarbeitung von Sozial- und Gesundheitsdaten in der Cloud ist dann ein C5 Typ 2 Testat erforderlich. Diese neue Regelung, verankert im Digitale-Gesundheitsgesetz (DigiG) sowie im neu eingeführten § 393 SGB V, betrifft insbesondere Krankenkassen, Leistungserbringer und IT-Dienstleister im Gesundheitsbereich.
Was ist das C5 Typ 2 Testat und warum ist es entscheidend?
Im Unterschied zum bisher akzeptierten C5 Typ 1 Testat, das lediglich die Eignung von Sicherheitsmaßnahmen bestätigt, fordert das Typ 2 Testat den Nachweis, dass diese Maßnahmen auch über einen längeren Zeitraum – mindestens sechs Monate – wirksam sind. Die Wirksamkeitsprüfung macht den Unterschied und erhöht das Sicherheitsniveau deutlich. Diese Maßnahme soll das Vertrauen in cloudbasierte Gesundheitslösungen stärken und die Integrität sensibler Gesundheitsdaten sichern.
Übergangsphase bis Juni 2025: Welche Nachweise gelten bis dahin?
Bis einschließlich 30. Juni 2025 dürfen weiterhin C5 Typ 1 Testate genutzt werden. In der Übergangszeit sind auch alternative Zertifikate zulässig – sofern sie ein vergleichbares Sicherheitsniveau gewährleisten.
Dazu zählen:
- DIN EN ISO/IEC 27001:2022
- BSI IT-Grundschutz auf Basis ISO 27001
- Cloud Controls Matrix Version 4.0 (CSA)
Doch Vorsicht: Diese Alternativen gelten nur in Kombination mit einem detaillierten Maßnahmenplan, der die noch offenen C5-Kriterien adressiert.
Inhalt des Maßnahmenplans: Was Cloud-Anbieter dokumentieren müssen
Damit ein alternatives Zertifikat anerkannt wird, müssen Anbieter ergänzend einen klar strukturierten Maßnahmenplan vorlegen.
Dieser muss unter anderem enthalten:
- Eine Liste der nicht abgedeckten C5-Basiskriterien
- Technische und organisatorische Maßnahmen, um bestehende Lücken zu schließen
- Eine Meilensteinplanung mit einem maximalen Umsetzungshorizont von zwölf Monaten
- Eine Strategie zur Erlangung eines C5 Typ 1 Testats innerhalb von 18 Monaten
Nur wer diese Anforderungen transparent erfüllt, kann in der Übergangsphase auf ein alternatives Testat setzen.
Ab Juli 2025: Warum das C5 Typ 2 Testat alternativlos wird
Während der aktuelle Entwurf der C5-Äquivalenzverordnung nur die Gleichwertigkeit mit Typ 1 Testaten regelt, ist ab Juli 2025 ausschließlich der Nachweis der kontinuierlichen Wirksamkeit der Sicherheitsmaßnahmen zulässig.
Unternehmen, die sich bis dahin nicht auf ein Typ 2 Testat vorbereitet haben, riskieren:
- den Verlust der Berechtigung zur Datenverarbeitung in der Cloud
- Compliance-Verstöße nach SGB V
- Vertragsrisiken mit Krankenkassen oder Leistungserbringern
Vorbereitung ist entscheidend: Handlungsempfehlung für Cloud-Anbieter
Wer im Gesundheitswesen Cloud-Dienste bereitstellt, sollte umgehend mit der Implementierung der C5-Kriterien beginnen – einschließlich der Dokumentation und dem Aufbau eines strukturierten Auditprozesses. Da die Typ 2-Testierung eine Rückschau über sechs Monate verlangt, ist jetzt der richtige Zeitpunkt, interne Prozesse zu analysieren, anzupassen und für die Prüfung vorzubereiten.
Ausblick: Was noch unklar bleibt
Ob und welche gleichwertigen Alternativen zum C5 Typ 2 Testat künftig anerkannt werden, ist derzeit nicht endgültig geregelt. Bis zur Anpassung der Verordnung herrscht hier Unsicherheit für viele Anbieter. Um auf der sicheren Seite zu sein, empfiehlt sich eine frühzeitige Orientierung an den C5-Typ 2-Anforderungen.
Kontaktieren Sie uns für Ihre Sicherheitsstrategie!
Sie möchten Ihre Cloud-Dienste im Gesundheitswesen zukunftssicher gestalten? Wir unterstützen Sie bei der Vorbereitung auf das C5 Typ 2 Testat und anderen Sicherheitszertifizierungen wie ISO 27001, SOC 2 oder IT-Grundschutz.
E-Mail: hello@secaas.it
Telefon: +49 69 5060 75080
https://security-as-a-service.io
Sichern Sie Ihr Unternehmen – bevor es zu spät ist!
