Sommer, SGB V § 75b Richtlinie zur IT-Sicherheit in der ... / 2.4 Zertifizierung der Anbieter von Informationstechnik (Abs. 5)

Rz. 7

Die informationstechnischen Systeme der Ärzte, Psychotherapeuten oder Zahnärzte werden zurzeit überwiegend von Dienstleistern gepflegt. Die Kassenärztlichen Bundesvereinigungen haben deshalb die Möglichkeit erhalten, die Mitarbeiterinnen und Mitarbeiter der Dienstleister zu zertifizieren, um die informationstechnischen Systeme gemäß der Richtlinie zu schützen und eine hohe Servicequalität sicherzustellen. Mit Wirkung zum 20.10.2020 ist die Personenzertifizierung eingeführt worden. Für die Zertifizierung muss die Person ihre Zuverlässigkeit und Qualifikation (Ausbildung und Berufserfahrung) nachweisen und einen Prüfungsnachweis vorlegen.

Die in der Richtlinie zu erstellenden Vorgaben für die Zertifizierung sollen dabei helfen, dass die zertifizierten Mitarbeiterinnen und Mitarbeiter der Dienstleister die Gewähr der Eignung für diese Aufgabe bieten und insbesondere die dafür erforderlichen Kenntnisse und Fähigkeiten sowie die notwendige Zuverlässigkeit mitbringen.

Die Kassenärztlichen Bundesvereinigungen sind daher durch Abs. 5 Satz 1 verpflichtet, ab dem 30.6.2020 zunächst die Anbieter und ab 20.10.2020 die Mitarbeiterinnen und Mitarbeiter der Anbieter von Informationstechnik auf deren Antrag zu zertifizieren. Das Zertifikat der Mitarbeiterinnen und Mitarbeiter wird für jeden Anbieter nur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ausgestellt. Die Bundesoberbehörde muss also mit der Erteilung des Zertifikats durch die KBV oder die KZBV einverstanden sein. Durch die Abstimmung mit der Bundesoberbehörde soll nach der Gesetzesbegründung auch deren Expertise in die Vorgaben für die Zertifizierung einfließen, was auch der Stärkung der IT-Sicherheit im ambulanten Sektor dient.

Nach Satz 1 HS 2 müssen die Dienstleister über die notwendige Eignung verfügen, um die vertrags(zahn)ärztlichen Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen.

Die Vorgaben für die Zertifizierung werden nach Abs. 5 Satz 2 von den Kassenärztlichen Bundesvereinigungen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen bis zum 31.3.2020 erstellt. Das Bundesamt verfügt im Zusammenhang mit der Durchführung der Aufgaben nach dem BSI-Gesetz über Kenntnisse und Erfahrungen im Umgang mit Zertifikaten, sodass es nur folgerichtig ist, bereits die Erstellung der Zertifikatsvorgaben von seiner Zustimmung abhängig zu machen. Die Benehmensherstellung mit den maßgeblichen Bundesverbänden rundet das Bild bei der Erstellung von praxisgerechten Zertifikatsvorgaben ab. Die Kassenärztlichen Bundesvereinigungen haben mithin die maßgeblichen Bundesverbände anzuhören und ihnen Gelegenheit zur Stellungnahme zu den Zertifikatsvorgaben zu geben, bevor diese in Kraft treten. Die Letztentscheidung zu den einzelnen Zertifikatsvorgaben obliegt aber den Kassenärztlichen Bundesvereinigungen.

Nach Abs. 5 Satz 3 sind die Bundesvereinigungen außerdem verpflichtet, im Hinblick auf die Anforderungen an die sichere Installation und Wartung von Komponenten und Dienstleistungen bei den Zertifizierungsvorgaben für die Dienstleister auch das Benehmen mit der Gesellschaft für Telematik herzustellen.