Rz. 32
Das BSI legt im Einvernehmen mit dem BfArM und im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erstmals bis zum 1.1.2024 und dann i. d. R. jährlich die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an die Datensicherheit (Abs. 2 Satz 2 Nr. 2) fest (Satz 1). Neben den Vorgaben der DiGAV hat das BSI eine technische Richtlinie (TR 03161) erarbeitet und darin Sicherheitsanforderungen an digitale Gesundheitsanwendungen definiert. Die Erfüllung der Anforderungen der technischen Richtlinie ist dabei keine Voraussetzung für die Aufnahme einer digitalen Gesundheitsanwendung, da maßgeblich hierfür ausschließlich die Vorgaben der DiGAV sind. Einer parallelen Anwendung beider Regelwerke steht zudem entgegen, dass die Regelungen der technischen Richtlinie die besonderen Eigenschaften digitaler Gesundheitsanwendungen nur unvollständig erfassen. Um die beständige Aktualisierung der Datensicherheitsanforderungen im Hinblick auf den im Wandel begriffenen Stand der Technik zu gewährleisten und gleichzeitig die Bedürfnisse und Eigenschaften digitaler Gesundheitsanwendungen bei den Festlegungen vollumfänglich berücksichtigen zu können, werden diese zukünftig vom BSI und vom BfArM gemeinsam und im Einvernehmen mit dem BfDI getroffen. Eine Aktualisierung der Anforderungen soll dabei i. d. R. im Jahresrhythmus erfolgen. Sollten bisher unbekannte Bedrohungs- und Angriffsszenarien unterjährig bekanntwerden, kann ausnahmsweise eine kurzfristige Aktualisierung geboten sein (BT-Drs. 19/27652 S. 109).
Rz. 33
Das BSI bietet ab dem 1.6.2024 Verfahren zur Prüfung der Einhaltung der Anforderungen nach Satz 1 sowie Verfahren zur Bestätigung der Einhaltung der Anforderungen nach Satz 1 durch entsprechende Zertifikate an (Satz 2). Die Festlegungen sind so zu gestalten, dass auch Verfahren zum Umgang mit Fremdsoftware und Bibliotheken berücksichtigt werden. Die Festlegungen können Grundlage eines beim BSI einzurichtenden Zertifizierungsverfahrens sein und die Selbsterklärung nach der DiGAV perspektivisch ersetzen. Dabei gilt es Prozesse zu definieren, die die Datensicherheit umfassend gewährleisten, zugleich aber auch der kleinteiligen Anbieterstruktur und der begrenzten finanziellen Leistungsfähigkeit der Hersteller Rechnung tragen. Bis entsprechende Nachweise in Form von Zertifikaten vorliegen, kann das BfArM nach den Regelungen der DiGAV auch die Vorlage von Prüfberichten zu Penetrationstests oder Sicherheitsgutachten unabhängiger Dritter verlangen, die die Sicherheit der digitalen Gesundheitsanwendungen einschließlich aller Backend-Komponenten und Dienste umfassen (BT-Drs. 19/27652 S. 109).
Rz. 34
Der Nachweis nach Satz 1 ist spätestens ab dem 1.1.2025 durch ein Zertifikat nach Satz 2 zu führen (Satz 3).
Rz. 34a
Alle Fristen des Absatzes werden vor dem Hintergrund der hohen Komplexität der Festlegungen und des erforderlichen Zeitbedarfs zur Einrichtung der Prüfverfahren und -prozesse angepasst (BT-Drs. 20/4708 S. 106). Für die Zeit der Verlängerung wird weiterhin anhand der bestehenden Vorgaben und Verfahren nach Maßgabe der DiGAV geprüft (BT-Drs. 20/3876 S. 49).
Das ist nur ein Ausschnitt aus dem Produkt Haufe Steuer Office Excellence. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen