Es ist sicherlich richtig, dass man an dem §393 SGB V viel Kritik übt, beispielsweise in Sachen unzureichender Fristen und in Hinblick auf die vollkommen unterschätzten Kosten für die Prüfungen.
Der Referentenentwurf für die Äquivalenzverordnung entpuppt sich nun als Schlag ins Gesicht für all die Unternehmen, die sich frühzeitig um eine rechtskonforme Erbringung ihrer Leistungen gekümmert und dafür viel Manpower und Geld investiert haben.
Zum Verständnis der Kritik ist es wichtig, sich die Unterschiede zwischen einer Zertifizierung und Testierung zu vergegenwärtigen. Eine durch Wirtschaftsprüfer durchgeführte Testierung nach dem BSI C5-Kriterienkatalog erstreckt sich über mehrere Wochen und die Sichtung zahlreicher, in unserem Fall hunderter Dokumente und Nachweise. Hingegen wird ein Überwachungsaudit für eine Zertifizierung nach ISO 27001 in drei Tagen durchgeführt. Schon alleine dieser zeitliche Unterschied zeigt die nicht vergleichbare Intensität und Tiefe der jeweiligen Prüfungshandlungen.
Die Testierung nach BSI C5 stellt sogar noch zusätzliche Anforderungen, selbst wenn ein Unternehmen schon umfassend nach ISO 27001, 9001 und 20000 zertifiziert ist sowie eine Testierung nach ISAE3402 für Banken hat.
Wenn der Gesetzgeber nun mit seiner Äquivalenzverordnung das BSI Typ-1-Testat, und nach Forderung einiger Interessensvertreter auch das Typ-2-Testat, aufweicht, so ist es nicht nur ein Rückschritt in Cybersicherheit für sehr gefährdete und hochsensible Daten im Gesundheitswesen.
Dieser Rückschritt steht im krassen Widerspruch zur Bedrohungslage, der sich Deutschland ausgesetzt sieht. Gekniffen sind zusätzlich die Unternehmen, die sich auf den Gesetzgeber verlassen und früh gehandelt haben. Der Entwurf nivelliert die hehren Ansprüche runter auf das Niveau der Nachzügler anstatt die Tüchtigen zu belohnen.
Grundsätzlich lässt sich vermerken, dass in Deutschland und Europa noch immer an einem Flickenteppich aus unterschiedlichen und sich oftmals deutlich überlappenden Testierungen und Zertifizierungen gebastelt wird. Das vergeudet Unmengen an Ressourcen mit viel Bürokratie.
Besser wäre es mit grundlegenden Vorgaben quasi das Fundament einer stabilen Mauer zu legen. Dann können situations- und bedarfsgerecht darauf aufbauend für jede Branche oder jeden Zweck ergänzende Bausteine hinzugepackt werden.
Damit würde die Cybersicherheit tatsächlich verbessert und die Unternehmen würden nicht durch einen undurchsichtigen Dschungel aus Regelungen lahmgelegt, die sich insbesondere im „Papierteil“ oft überschneiden.
(Dieser Kommentar bezieht sich auf den golem.de-Artikel „Das Chaos geht weiter“ von Erik Bärwaldt.)