Rz. 10m
Der GKV-Spitzenverband legt bis zum 30.6.2024 den branchenspezifischen Sicherheitsstandard (§ 392 Abs. 4) in der jeweils aktuellen Fassung als Richtlinie zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Krankenkassen fest (Satz 1). Die Richtlinie ist für die Krankenkassen (§ 4) verbindlich.
Rz. 10n
Krankenkassen und deren IT-Dienstleister sind einem anwachsenden Bedrohungspotenzial durch zunehmend zielgerichtete, technologisch ausgereifte und komplexe Cyberangriffe auf ihre informationstechnischen Systeme ausgesetzt (BT-Drs. 20/9048/S. 98 f.). Aufgrund der zentralen Stellung der gesetzlichen Krankenkassen im Rahmen der sachlichen und finanziellen Leistungsgewährung und aufgrund der hohen Schutzbedürftigkeit der in diesem Zusammenhang vorgehaltenen und verarbeiteten Daten gilt es, die Eintrittswahrscheinlichkeit eines Schadens durch effektive Regelungen zur Verbesserung der Cybersicherheit zu vermindern. Ein probates und bereits etabliertes Mittel zur Erhöhung der Cybersicherheit stellt der Branchenspezifische Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV) dar, der im Rahmen des Branchenarbeitskreises "Gesetzliche Kranken- und Pflegeversicherungen" des Umsetzungsplan KRITIS (UP KRITIS) entwickelt wurde und im Rahmen dieses Arbeitskreises aktiv weiterentwickelt wird. Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen, ihren Verbänden und den zuständigen staatlichen Stellen, so auch für die Gesetzlichen Kranken- und Pflegeversicherungen. Die fachliche Eignung der aktuellen Version des B3S-GKV/PV wurde gemäß § 8a Abs. 2 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt. Die bereits bestehende und vom BSI i. S. d. § 8a Abs. 2 BSIG bestätigte Version des B3S-GKV/PV wird durch den GKV-Spitzenverband erstmals zum 30.6.2024 im Wege einer Richtlinie für alle gesetzlichen Krankenkassen verbindlich festgelegt.
Rz. 10o
Die Richtlinie ist jährlich an die jeweils aktuelle Fassung des branchenspezifischen Sicherheitsstandards anzupassen (Satz 2). Sofern künftig die Krankenkassen gemäß dem neuen § 393 Abs. 4 an der inhaltlichen Weiterentwicklung des B3S – vertreten durch ihre Verbände auf Bundesebene und den GKV-Spitzenverband – partizipieren, findet ein erneutes Durchlaufen des Bestätigungsprozesses beim BSI gemäß § 8a Abs. 2 BSIG statt (BT-Drs. 20/9048 S. 99). Die Richtlinie wird mindestens jährlich angepasst und hierbei inhaltlich überprüft. Sofern zwischenzeitlich eine neue inhaltliche Fassung des B3S-GKV/PV durch den BAK GKV/PV verabschiedet und das BSI bestätigt wurde, setzt der GKV-Spitzenverband diese Aktualisierung im Wege des Erlasses einer entsprechend inhaltlich aktualisierten Richtlinie verbindlich für die Krankenkassen um.