Rz. 5
Die mit Wirkung zum 20.10.2020 geltende Fassung des Abs. 2 stellt klar, dass die in der Richtlinie festzulegenden Anforderungen geeignet sein müssen, abgestuft im Verhältnis zum Gefährdungspotenzial und dem Schutzbedarf der verarbeiteten Informationen, Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztliche Leistungserbringer in Bezug auf Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele zu vermeiden. Damit sollen Fehlinterpretationen vermieden werden, die anderen Unterziele der 3 klassischen Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) seien nicht erfasst. Der Gesetzgeber misst vielmehr allen 3 klassischen Schutzzielen samt ihrer Unterziele eine gleichwertige, hohe Bedeutung zu.
Nach Abs. 3 Satz 1 müssen die in den Richtlinien festzulegenden Anforderungen dem Stand der Technik entsprechen und jährlich an den Stand der Technik und an das Gefährdungspotenzial angepasst werden. Dies gewährleistet, dass sich die Richtlinie zur IT-Sicherheit immer auf dem neuesten Stand der sich ändernden Technik bzw. dem sich ebenfalls ständig verändernden Gefährdungspotenzial befindet bzw. ggf. anzupassen ist. "Jährliche Anpassung" bedeutet im Übrigen nicht, dass die Anpassung nur einmal im Jahr zu erfolgen hat, sondern die Anpassung kann nach Bedarf auch mehrmals im Jahr erfolgen bzw. die Richtlinie muss mindestens einmal im Jahr darauf überprüft werden, ob sie noch dem Stand der Technik und dem drohenden Gefährdungspotential entspricht.
Nach Abs. 3 Satz 2 erfolgen die festzulegenden Anforderungen und deren Anpassungen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit
- dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit,
- der Bundesärztekammer,
- der Bundeszahnärztekammer,
- der Deutschen Krankenhausgesellschaft und
- den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen.
Die Anforderungen nach Abs. 1 Satz 2 legen die KBV und die KZBV zusätzlich im Benehmen mit der Gesellschaft für Telematik fest.
Einvernehmen mit dem in Bonn und am Zweitstandort Freital bei Dresden ansässigen Bundesamt für Sicherheit in der Informationstechnik (BSI) bedeutet, dass die Anforderungen der Richtlinie zur IT-Sicherheit und deren Anpassungen mit der Bundesoberbehörde abzustimmen sind. Einwände, Anregungen oder Änderungsvorschläge der Bundesoberbehörde haben die Bundesvereinigungen bei der IT-Richtlinie zu beachten und auch umzusetzen, weil sonst kein Einvernehmen hergestellt werden kann.
Das BSI ist die Cyber-Sicherheitsbehörde des Bundes und gestaltet die Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. Es ist für die IT-Sicherheit in Deutschland verantwortlich und Grundlagen seiner Arbeit sind Fachkompetenz und Neutralität. Für 2020 sind z. B. im Bundeshaushalt weitere Stellen für das BSI vorgesehen, sodass sich die Anzahl der Stellen auf rund 1.430 Stellen erhöht. Unter diesen Aspekten ist die Herstellung des Einvernehmens bei der Richtlinie zur IT-Sicherheit folgerichtig, weil auch die KBV und die KZBV unbedingt daran interessiert sind, auf der Grundlage der Richtlinie ein hochsicheres Netzwerk in der vertragsärztlichen und vertragszahnärztlichen Versorgung zu schaffen.
Die Benehmensherstellung mit den vorgenannten Beteiligten scheint zwar etwas überdimensioniert für den Fall, dass Anpassungen der Richtlinie zügig umgesetzt werden müssen und die Benehmensherstellung länger dauert, aber letztlich wird allen Ansprechpartnern Gelegenheit eingeräumt, sich zu den Anforderungen und deren Anpassungen zu äußern. Die Letztentscheidung bleibt aber bei der Benehmensherstellung bei der KBV und der KZBV.