[[{}law:sgb_11:103|←]][[{}law:sgb_11|↑]][[{}law:sgb_11:104|→]]


== § 103a IT-Sicherheit der Pflegekassen ==

<wrap #abs_1 />
(1)<sub><wrap #abs_1_1 />[[law:sgb_11:103a#abs_1_1|1]]</sub> Pflegekassen sind verpflichtet, nach dem Stand der Technik
angemessene organisatorische und technische Vorkehrungen zur
Vermeidung von Störungen der Verfügbarkeit, Integrität und
Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten
oder Prozesse zu treffen, die für die Funktionsfähigkeit der
jeweiligen Pflegekasse und die Sicherheit der verarbeiteten
Versicherteninformationen maßgeblich sind.

<wrap #abs_2 />
(2)<sub><wrap #abs_2_1 />[[law:sgb_11:103a#abs_2_1|1]]</sub> Organisatorische und technische Vorkehrungen nach Absatz 1 sind
angemessen, wenn der dafür erforderliche Aufwand nicht außer
Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung
der Arbeitsprozesse der Pflegekasse oder der Sicherheit der
verarbeiteten Versicherteninformationen steht.

<wrap #abs_3 />
(3)<sub><wrap #abs_3_1 />[[law:sgb_11:103a#abs_3_1|1]]</sub> Die Pflegekassen erfüllen die Verpflichtungen nach Absatz 1,
insbesondere indem sie einen branchenspezifischen Sicherheitsstandard
für die informationstechnische Sicherheit der Pflegekassen in der
jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für
Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-
Gesetzes festgestellt wurde.

<wrap #abs_4 />
(4)<sub><wrap #abs_4_1 />[[law:sgb_11:103a#abs_4_1|1]]</sub> Die Pflegekassen sind verpflichtet, repräsentiert durch ihre
Verbände und den Spitzenverband der Pflegekassen, in einem gemeinsam
bestehenden oder zu schaffenden Branchenarbeitskreis an der
Entwicklung des branchenspezifischen Sicherheitsstandards für die
informationstechnische Sicherheit der Pflegekassen im Sinne des
Absatzes 3 mitzuwirken. <sub><wrap #abs_4_2 />[[law:sgb_11:103a#abs_4_2|2]]</sub>Die Pflegekassen, repräsentiert durch ihre
Verbände und den Spitzenverband der Pflegekassen, haben darauf
hinzuwirken, dass der branchenspezifische Sicherheitsstandard auch
Vorgaben enthält zu

1.  geeigneten Maßnahmen zur Erhöhung der Cybersecurity-Awareness,


2.  dem Einsatz von Systemen zur Angriffserkennung, die geeignete
Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und
automatisch erfassen und auswerten, wobei diese dazu in der Lage sein
sollten, fortwährend Bedrohungen zu identifizieren und zu vermeiden
sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen
vorzusehen (Maßnahmen zur Aufrechterhaltung der Betriebskontinuität),


3.  an IT-Dienstleister zu stellende Sicherheitsanforderungen gemäß Absatz
6, sofern diese Leistungen für die Pflegekassen zur Wahrnehmung ihrer
gesetzlichen Aufgaben erbringen.




<wrap #abs_5 />
(5)<sub><wrap #abs_5_1 />[[law:sgb_11:103a#abs_5_1|1]]</sub> Die Verpflichtung nach Absatz 1 gilt für alle Pflegekassen, soweit
sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a
des BSI-Gesetzes angemessene organisatorische und technische
Vorkehrungen zu treffen haben.

<wrap #abs_6 />
(6)<sub><wrap #abs_6_1 />[[law:sgb_11:103a#abs_6_1|1]]</sub> Sofern eine Pflegekasse im Rahmen ihrer Aufgabenerfüllung IT-
Dienstleistungen eines Dritten in Anspruch nimmt und eine Störung der
Verfügbarkeit, Integrität und Vertraulichkeit der
informationstechnischen Systeme, Komponenten oder Prozesse des Dritten
zu einer Beeinträchtigung der Funktionsfähigkeit der jeweiligen
Pflegekasse oder der Sicherheit der verarbeiteten
Versicherteninformationen führen kann, so muss die Pflegekasse durch
geeignete vertragliche Vereinbarungen sicherstellen, dass die
Einhaltung des branchenspezifischen Sicherheitsstandards im Sinne des
Absatzes 3 durch den Dritten gewährleistet wird.

<wrap #abs_7 />
(7)<sub><wrap #abs_7_1 />[[law:sgb_11:103a#abs_7_1|1]]</sub> Der Spitzenverband der Pflegekassen legt bis einschließlich 30.
<sub><wrap #abs_7_2 />[[law:sgb_11:103a#abs_7_2|2]]</sub>Juni 2024 den branchenspezifischen Sicherheitsstandard im Sinne des
Absatzes 3 in der jeweils aktuellen Fassung als Richtlinie zur
Vermeidung von Störungen der Verfügbarkeit, Integrität und
Vertraulichkeit der informationstechnischen Systeme, Komponenten oder
Prozesse der Pflegekassen für diese verbindlich fest. <sub><wrap #abs_7_3 />[[law:sgb_11:103a#abs_7_3|3]]</sub>Die Richtlinie
ist jährlich an die jeweils aktuelle Fassung des branchenspezifischen
Sicherheitsstandards anzupassen.

<wrap #abs_8 />
(8)<sub><wrap #abs_8_1 />[[law:sgb_11:103a#abs_8_1|1]]</sub> Der Spitzenverband der Pflegekassen berichtet dem
Bundesministerium für Gesundheit und den anderen zuständigen
Aufsichtsbehörden der Pflegekassen erstmals bis zum 31. <sub><wrap #abs_8_2 />[[law:sgb_11:103a#abs_8_2|2]]</sub>Dezember 2024
und danach jährlich über den aktuellen Stand der Umsetzung der
Vorgaben der Richtlinie im Sinne des Absatzes 7. <sub><wrap #abs_8_3 />[[law:sgb_11:103a#abs_8_3|3]]</sub>Dabei ist für jede
Pflegekasse gesondert darzustellen, ob die Vorgaben der Richtlinie im
Sinne des Absatzes 7 umgesetzt und welche Maßnahmen hierzu im
Einzelnen ergriffen wurden.