2.1 Zulassung durch die gematik (Abs. 1)
Rz. 3
Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die gematik. Andere Komponenten und Dienst dürfen nicht eingesetzt werden. Damit stellt die gematik sicher, dass Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Anbieter von Betriebsleistungen oder von Komponenten und Diensten der Telematikinfrastruktur benötigen die Zulassung oder die nach § 327 Abs. 2 Satz 1 erforderliche Bestätigung, bevor sie die Telematikinfrastruktur nutzen dürfen. Der Verstoß ist eine bußgeldbewehrte Ordnungswidrigkeit (§ 397 Abs. 2a).
2.2 Verfahren (Abs. 2)
Rz. 4
Die Zulassung ist durch den Anbieter zu beantragen (Satz 1). Der Antrag löst ein Verwaltungsverfahren der gematik aus (§ 8 SGB X), in dem geprüft wird, ob die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Über den Antrag wird durch einen gebundenen Verwaltungsakt (§ 31 SGB X) entschieden, der mit Nebenbestimmungen (§ 32 SGB X) versehen werden kann (Satz 2). Wenn dem Antrag ganz oder teilweise entsprochen wird, schließt die gematik mit dem Anbieter einen öffentlich-rechtlichen Vertrag (§ 53 Abs. 1 SGB X).
2.3 Funktionsfähigkeit, Interoperabilität, Sicherheit (Abs. 3)
Rz. 5
Die gematik prüft auf der Grundlage der von ihr veröffentlichten Prüfkriterien, ob die Komponenten und Dienste der Telematikinfrastruktur funktionsfähig und interoperabel sind (Satz 1; gematik, Hinweise zur Zulassung, https://fachportal.gematik.de, abgerufen: 8.1.2021).
Rz. 5a
Die Sicherheit richtet sich nach den Vorgaben der gematik, die im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt werden (Satz 2). Die Vorgaben werden im Internet veröffentlicht (www.gematik.de). Die Vorgaben können von der gematik parallel zur Entwicklung von Spezifikationen zur Telematikinfrastruktur erarbeitet werden (BT-Drs. 20/9048 S. 106). Die Vorgaben können damit schneller erstellt werden. Insbesondere können die Vorgaben für Sicherheitsnachweise neben Sicherheitszertifizierungen im engeren Sinne geeignete andere Prüfungen und Teilnachweise vorgeben, die zu Gesamtprüfungen komplexer Dienste und Teilinfrastrukturen der Telematikinfrastruktur zusammengefasst werden können. Die gematik trifft solche Festlegungen im Benehmen mit dem BSI. Da entsprechende Konformitätsbewertungsprogramme nicht für alle notwendigen Prüfungen der Informationssicherheit in der Telematikinfrastruktur verfügbar sind, und für die in der Telematikinfrastruktur notwendigen Gesamtprüfungen von komplexen Gesamtsystemen aufgrund normbedingter methodischer Grenzen auch nicht mit vertretbarem Aufwand erstellt werden können, soll der bisher formulierte Vorrang von Sicherheitszertifizierungen aufgehoben und durch die Vorgabe ersetzt werden, dass die gematik Prüfvorgaben mit Bezug zur IT-Sicherheit im Benehmen mit dem BSI festlegt.
Rz. 5b
Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen (Satz 3). Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der gematik im Benehmen mit dem BSI festgelegt (Satz 4).
2.4 Befristete Genehmigung (Abs. 4)
Rz. 6
Die gematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur erforderlich ist (Satz 1). Die Genehmigung erfolgt im Einvernehmen mit dem BSI, wenn sie der Sicherheit dient (Satz 2). Dies kann z. B. dann der Fall sein, wenn zur Gewährleistung der Sicherheit der Telematikinfrastruktur für eine Komponente eine neue Sicherheitssoftware entwickelt wurde, die eine erneute Zulassung dieser Komponente erfordert. Mit einer befristeten Verwendungsgenehmigung kann diese Komponente zur Gewährleistung der Sicherheit bereits eingesetzt werden, ohne auf den Abschluss des unter Umständen mehrere Monate dauernden Zulassungsprozesses warten zu müssen (BT-Drs. 18/5293 S. 48). Sowohl die Genehmigung als auch ihre Befristung liegen im Ermessen der gematik.
2.5 Zulassung von Herstellern und Anbietern (Abs. 5)
Rz. 7
Die gematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen (Satz 1). Die bereits bestehende Regelung der Zulassung von Komponenten und Diensten in der Telematikinfrastruktur wird um die Möglichkeit der Zulassung von Herstellern ergänzt. Dabei muss die gematik sicherstellen, dass nur Hersteller von barrierefreien Komponenten und Diensten zugelassen werden (BT-Drs. 19/27652 S. 120). Durch dieses neue Verfahren lässt sich bei neuen Zulassungen von Komponenten und Diensten auf der Herstellerzulassung aufbauen. Zulassungsanträge können schneller und bei Teilaktualisierungen oder Sicherheitsupdates stark vereinfacht werden oder ganz entfallen. Dies hat zur Folge, dass Hersteller zukünftig mehr Verantwortung für die von ihnen veröffentlichten Produkte erhalten werden.
Rz. 8
Das Zulassungsverfahren und die Prüfkriterien für Hersteller und Anbieter legt die gematik im Benehmen mit dem BSI fest (Satz 2). Die Zulassu...