Neuntes Kapitel - Datenschutz, Statistik und Interoperabilität | Erster Abschnitt - Informationsgrundlagen | Zweiter Titel - Informationsgrundlagen derPflegekassen
(1) Pflegekassen sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Pflegekasse und die Sicherheit der verarbeiteten Versicherteninformationen maßgeblich sind.
(2) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Arbeitsprozesse der Pflegekasse oder der Sicherheit der verarbeiteten Versicherteninformationen steht.
(3) Die Pflegekassen erfüllen die Verpflichtungen nach Absatz 1, insbesondere indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Pflegekassen in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a 30 Absatz 2 8 des BSI-Gesetzes festgestellt wurde.
(3) Die Pflegekassen erfüllen die Verpflichtungen nach Absatz 1, insbesondere indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Pflegekassen in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a 30 Absatz 2 8 des BSI-Gesetzes festgestellt wurde.
(4) Die Pflegekassen sind verpflichtet, repräsentiert durch ihre Verbände und den Spitzenverband der Pflegekassen, in einem gemeinsam bestehenden oder zu schaffenden Branchenarbeitskreis an der Entwicklung des branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Pflegekassen im Sinne des Absatzes 3 mitzuwirken. Die Pflegekassen, repräsentiert durch ihre Verbände und den Spitzenverband der Pflegekassen, haben darauf hinzuwirken, dass der branchenspezifische Sicherheitsstandard auch Vorgaben enthält zu
- 1.
geeigneten Maßnahmen zur Erhöhung der Cybersecurity-Awareness,
- 2.
dem Einsatz von Systemen zur Angriffserkennung, die geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten, wobei diese dazu in der Lage sein sollten, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen (Maßnahmen zur Aufrechterhaltung der Betriebskontinuität),
- 3.
an IT-Dienstleister zu stellende Sicherheitsanforderungen gemäß Absatz 6, sofern diese Leistungen für die Pflegekassen zur Wahrnehmung ihrer gesetzlichen Aufgaben erbringen.
(5) Die Verpflichtung nach Absatz 1 gilt für alle Pflegekassen, soweit sie nicht ohnehin als Betreiber Kritischer kritischer Infrastrukturen Anlagen gemäß § 8a den §§ 30, 31 und 39 des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.
(5) Die Verpflichtung nach Absatz 1 gilt für alle Pflegekassen, soweit sie nicht ohnehin als Betreiber Kritischer kritischer Infrastrukturen Anlagen gemäß § 8a den §§ 30, 31 und 39 des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.
(6) Sofern eine Pflegekasse im Rahmen ihrer Aufgabenerfüllung IT-Dienstleistungen eines Dritten in Anspruch nimmt und eine Störung der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Dritten zu einer Beeinträchtigung der Funktionsfähigkeit der jeweiligen Pflegekasse oder der Sicherheit der verarbeiteten Versicherteninformationen führen kann, so muss die Pflegekasse durch geeignete vertragliche Vereinbarungen sicherstellen, dass die Einhaltung des branchenspezifischen Sicherheitsstandards im Sinne des Absatzes 3 durch den Dritten gewährleistet wird.
(7) Der Spitzenverband der Pflegekassen legt bis einschließlich 30. Juni 2024 den branchenspezifischen Sicherheitsstandard im Sinne des Absatzes 3 in der jeweils aktuellen Fassung als Richtlinie zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Pflegekassen für diese verbindlich fest. Die Richtlinie ist jährlich an die jeweils aktuelle Fassung des branchenspezifischen Sicherheitsstandards anzupassen.
(8) Der Spitzenverband der Pflegekassen berichtet dem Bundesministerium für Gesundheit und den anderen zuständigen Aufsichtsbehörden der Pflegekassen erstmals bis zum 31. Dezember 2024 und danach jährlich über den aktuellen Stand der Umsetzung der Vorgaben der Richtlinie im Sinne des Absatzes 7. Dabei ist für jede Pflegekasse gesondert darzustellen, ob die Vorgaben der Richtlinie im Sinne des Absatzes 7 umgesetzt und welche Maßnahmen hierzu im Einzelnen ergriffen wurden.