szmtag Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V
ArchivDeutsches Ärzteblatt3/2021Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V

BEKANNTGABEN DER HERAUSGEBER: Kassenärztliche Bundesvereinigung

Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Bekanntmachungen

Richtlinie zur Zertifizierung
nach § 75b Absatz 5 SGB V

Die Ver­tre­ter­ver­samm­lung der Kassenärztliche Bundesvereinigung hat mit Beschluss vom 16. Dezember 2020 die Richtlinie zur Zertifizierung nach § 75b Absatz 5 SGB V wie folgt beschlossen, die am Tag nach der Veröffentlichung in Kraft tritt:

Anzeige

1 Allgemeines

1.1 Gesetzliche Grundlagen

Die Erstellung einer „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung“ wird in § 75b SGB V von den Kassenärztlichen Bundesvereinigungen bis zum 30.06.2020 gefordert. Ebenfalls in § 75b Absatz 5 SGB V werden die Kassenärztlichen Bundesvereinigungen verpflichtet bis zum 31.03.2020 Vorgaben für eine Zertifizierung zu erstellen, und ab 30.06.2020 Anbieter auf deren Antrag zu zertifizieren, wenn diese über die notwendige Eignung verfügen, um die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen.

Darüber hinaus müssen nach § 291b Absatz 6a SGB V Dienstleister, die mit der Herstellung und der Wartung des Anschlusses von IT-Systemen der Leistungserbringer an die Tele­ma­tik­infra­struk­tur (TI), einschließlich der Wartung hierfür benötigter Komponenten sowie der Anbindung an Dienste der TI, beauftragt werden, über die notwendige Fachkunde verfügen, um Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der Leistungserbringer in Bezug auf Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu vermeiden und besondere Sorgfalt bei der Herstellung und Wartung des Anschlusses an die TI walten zu lassen. Die Erfüllung der Anforderungen nach Satz 1 muss den Leistungserbringern auf Verlangen nachgewiesen werden. Dabei kann nach der Gesetzesbegründung die Zertifizierung als Nachweis genutzt werden.

Die Aufgabe der Zertifizierung wie auch die Erstellung der Vorgaben für die Zertifizierung sind nach § 75b Absatz 5 SGB V den Kassenärztlichen Bundesvereinigungen zugewiesen. Im Einverständnis mit der Kassenzahnärztlichen Bundesvereinigung (KZBV) wird das Verfahren der Zertifizierung durch die Kassenärztliche Bundesvereinigung (KBV) durchgeführt. Zur Abbildung der obigen gesetzlichen Anforderungen nach § 75b Absatz 5 SGB V führt die Kassenärztliche Bundesvereinigung (KBV) eine entsprechende Zertifizierung ein.

1.2 Ziel des Dokuments

Die Richtlinie Zertifizierung nach § 75b Absatz 5 SGB V beschreibt die Rahmenbedingungen für dieses Zertifizierungsverfahren.

1.3 Adressaten des Dokuments

Die Richtlinie Zertifizierung nach § 75b Absatz 5 SGB V adressiert folgende Zielgruppen:

1. Dienstleister vor Ort [gematik] (Dienstleister, die mit der Herstellung und der Wartung des Anschlusses von IT-Systemen der Leistungserbringer an die TI, einschließlich der Wartung hierfür benötigter Komponenten sowie der Anbindung an Dienste der TI, beauftragt werden [§ 291b Abs. 6a SGB V])

2. Anbieter, wenn diese über die notwendige Eignung verfügen, um die an der vertragsärztlichen bzw. vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Anforderungen der Richtlinie zu unterstützen [§ 75b Absatz 5 SGB V]

2 Regelungen

2.1 Zertifizierung nach § 75b Absatz 5 SGB V

Die in dieser Richtlinie beschriebene-Zertifizierung beinhaltet eine Prüfung und richtet sich an alle Personen, welche die in Abschnitt 2.5 genannten Voraussetzungen erfüllen.

Die KBV bietet qualifizierten Personen an einem Tag eine kostenpflichtige Prüfung zur Erlangung einer KBV-Security-Zertifizierung an.

Die Prüfungsinhalte basieren auf:

– der IT-Security-Richtlinie nach § 75b SGB V

– den Inhalten der Voraussetzungen nach Abschnitt 2.6.1

Der Antragsteller hat die Gebühren des Prüfverfahrens entsprechend Abschnitt 3 zu tragen. Die Gebührenschuld entsteht mit Eingang des Antrags bei der KBV.

2.2 Begriffsbestimmungen

Im Sinne dieser Richtline gelten die folgenden Festlegungen:

1. Eine Neuzertifizierung liegt vor, wenn ein Antragsteller noch kein KBV-Security-Zertifikat besitzt.

2. Eine Rezertifizierung findet statt, wenn das Zertifikat für dieses Zertifizierungsverfahren in absehbarer Zeit ausläuft und der Antragsteller für dieses weiterhin eine Verlängerung anstrebt.

3. Antragsteller ist eine natürliche Person, die für die Einhaltung der Vorgaben verantwortlich ist. Juristische Personen als Antragsteller sind für dieses Zertifizierungsverfahren ausgeschlossen.

4. Eine automatische Rezertifizierung stellt eine Rezertifizierung ohne Prüfung dar, wenn keine bzw. geringfügige Anforderungen für dieses Zertifizierungsverfahren geändert wurden oder die Zertifizierung dieser Änderungen zu einem späteren Zeitpunkt erfolgen soll. Die KBV legt fest, ob eine automatische Rezertifizierung durchgeführt wird.

5. Mit dem Formular „Antrag auf Zertifizierung“ [KBV_ISAP_AAZ_ZERT_P75b_SGBV] beantragt der Antragsteller eine Zertifizierung für dieses Zertifizierungsverfahren, bestätigt die Einhaltung der Vorgaben und dokumentiert die Änderungen von bisherigen Angaben im Antrag.

6. Das Zertifikat bescheinigt den erfolgreichen Abschluss des Zertifizierungsverfahrens und wird dem Antragsteller bei Bestehen der Prüfung mit der Vergabe einer Prüfnummer ausgehändigt.

2.3 Ziel der Prüfung

(1) Mit einer erfolgreich abgelegten Prüfung in diesem Zertifizierungsverfahren weist ein Antragsteller seine Kenntnisse und Fähigkeiten im IT-Sicherheitsumfeld nach. Der Schwerpunkt der Prüfung ist die Überprüfung eines ganzheitlichen Denkansatzes für die Etablierung von IT-Sicherheitsmaßnahmen in vertragsärztlichen und vertragszahnärztlichen Praxen auf Basis der IT-Security-Richtlinie nach § 75b SGB V inklusive aller Anhänge.

(2) Der Antragsteller muss daher mit der Methodik des IT-Grundschutz-Kompendiums und Anwendung des BSI-GS-Standards 200-ff vertraut sein.

2.4 Antrag auf Zertifizierung

Zur Einleitung der Zertifizierung muss der Antragsteller das ausgefüllte Formular [KBV_ISAP_AAZ_ZERT_P75b_SGBV], inklusive der notwendigen Nachweise nach Abs. 2.5, einreichen. Formular und Nachweise können per E-Mail (pruefstelle@kbv.de) oder über das Upload-Portal der KBV (https://tausch.kbv.de) eingereicht werden.

2.5 Voraussetzungen für die Teilnahme

Die Voraussetzung für die Teilnahme an diesem Zertifizierungsverfahren ist die Erfüllung einer der nachfolgend genannten Anforderungen:

a. abgeschlossenes Studium der Informatik (oder vergleichbar) oder abgeschlossene Ausbildung zum Fachinformatiker für Systemintegration (Netzwerkadministrator) (oder vergleichbar) oder

b. Nachweis einer mindestens sechsjährigen, einschlägigen Berufserfahrung (Nachweis der Arbeitgeber, Eigenerklärung oder Weiterbildungsnachweis/Zertifikat) als:

i. Systemadministrator oder

ii. Netzwerkadministrator oder

iii. Berater im Bereich Systemintegration/Netzwerkadministration mit praktischer Erfahrung oder

iv. Fachinformatiker/innen Anwendungsentwicklung

v. vergleichbare Berufserfahrung.

2.6 Beendigung der Zertifizierung mit Zertifikat

(1) Die Prüfung ist erfolgreich bestanden, wenn mindestens 66% der Fragen richtig beantwortet wurden. Im Falle des Nichtbestehens kann der Antragsteller weitere Prüfungen beantragen.

(2) Die KBV bescheinigt die erfolgreiche Zertifizierung. Der Name und die Kontaktdaten des zertifizierte Antragstellers werden unter Nennung des Zertifizierungsverfahrens „Zertifizierung nach § 75b Absatz 5 SGB V“ in einer Liste der zertifizierten Dienstleister von der KBV und der KZBV veröffentlicht.

2.6.1 Anerkennung bestehender Nachweise (Kreuzzertifizierungen)

Kreuzzertifizierungen für Zertifikatsinhaber anderer IT-Sicherheitsstandards sind mit schriftlichem Antrag bei der KBV möglich und werden im Einzelfall entschieden. Bei Anerkennung der eingereichten Zertifikate/Nachweise wird die Zertifizierung ohne Absolvierung der Prüfung ausgesprochen. Die Prüfungsgebühr ist in diesem Fall dennoch zu entrichten.

Die KBV behält sich vor, nachgewiesene Berufserfahrung oder die Prüfung nach § 75b SGB V zusätzlich zum vorgelegten Zertifikat für eine Anerkennung zu verlangen.

Zertifikate der folgenden IT-Sicherheitsstandards werden akzeptiert:

– BSI IT-Grundschutz-Praktiker in Kombination mit einem gültigen Zertifikat Certified Information Systems Security Professional (CISSP) oder TeleTrust Information Security Professional (TISP) und

– BSI Grundschutz-Auditor oder BSI Grundschutz-Berater.

2.7 Laufzeit der Zertifikate

(1) Das Zertifikat ist nach dessen Vergabe auf einen Zeitraum von drei Jahren befristet.

(2) Die KBV kann das Zertifikat verkürzen oder verlängern. Die KBV kann die bereits ausgesprochene Zertifikate verlängern (automatische Rezertifizierung) und somit die zertifizierte Person zu einem späteren Zeitpunkt rezertifizieren.

(3) Das Zertifikat erlischt mit Ablauf der Gültigkeit der Prüfnummer automatisch, ohne dass es einer Aufhebung bedarf.

2.8 Rezertifizierung

(1) Für eine Rezertifizierung muss der Antragsteller vor Ablauf des bisherigen, noch aktuell gültigen Zertifikats einen Antrag auf Zertifizierung einreichen. Andernfalls kann die KBV die Rezertifizierung ablehnen und stattdessen eine Neuzertifizierung durchführen.

(2) Für eine Rezertifizierung müssen für jedes Jahr der Laufzeit des Zertifikats Weiterbildungen im Bereich IT-Security im Volumen von durchschnittlich 16 Stunden pro Jahr nachgewiesen werden. Die Nachweise sind bei der KBV einzureichen. Nach Sichtung und Bewertung der Nachweise durch die KBV wird entschieden, ob eine Rezertifizierung ausgesprochen wird. Anerkannt werden die Teilnahme an geeigneten betrieblichen und/oder externen Weiterbildungsangeboten, Seminaren, Workshops oder Tagungen/Konferenzen (8h pro Tag). Ziffer 2.4 und 2.5 gelten entsprechend.

2.9 Änderungen der Angaben im Antrag auf Zertifizierung

Der Antragsteller ist verpflichtet, alle Änderungen seiner Angaben im Antrag auf Zertifizierung der KBV unverzüglich bekanntzugeben, insbesondere bei

– Änderung der Kontaktdaten

– Namensänderung

– Änderung der Firmenzugehörigkeit

2.10 Entzug des Zertifikats

Die KBV kann ein Zertifikat insbesondere dann entziehen, wenn die im Zertifikat benannte Person die Vorgaben der „IT-Security-Richtlinie nach § 75b SGB V“ inklusive aller Anhänge [KBV_RL_P75b_SGBV] missachtet.

3 GebührenVerzeichnis

Die Gebühren auf Grundlage dieser Richtlinie bestimmen sich nach dem folgenden Gebührenverzeichnis:

Berlin, den 16.12.2020

Dr. med. Petra Reis-Berkowicz

Vorsitzende der Ver­tre­ter­ver­samm­lung

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema

Stellenangebote