[[{}law:sgb_5:391|←]][[{}law:sgb_5|↑]][[{}law:sgb_5:393|→]]


==== § 392 IT-Sicherheit der gesetzlichen Krankenkassen ====

<wrap #abs_1 />
(1)<sub><wrap #abs_1_1 />[[law:sgb_5:392#abs_1_1|1]]</sub> Krankenkassen sind verpflichtet, nach dem Stand der Technik
angemessene organisatorische und technische Vorkehrungen zur
Vermeidung von Störungen der Verfügbarkeit, Integrität und
Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten
oder Prozesse zu treffen, die für die Funktionsfähigkeit der
jeweiligen Krankenkasse und die Sicherheit der verarbeiteten
Versicherteninformationen maßgeblich sind.

<wrap #abs_2 />
(2)<sub><wrap #abs_2_1 />[[law:sgb_5:392#abs_2_1|1]]</sub> Organisatorische und technische Vorkehrungen nach Absatz 1 sind
angemessen, wenn der dafür erforderliche Aufwand nicht außer
Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung
der Arbeitsprozesse der Krankenkasse oder der Sicherheit der
verarbeiteten Versicherteninformationen steht.

<wrap #abs_3 />
(3)<sub><wrap #abs_3_1 />[[law:sgb_5:392#abs_3_1|1]]</sub> Die Krankenkassen erfüllen die Verpflichtungen nach Absatz 1
insbesondere, indem sie den branchenspezifischen Sicherheitsstandard
für die informationstechnische Sicherheit der Krankenkassen in der
jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für
Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-
Gesetzes festgestellt wurde.

<wrap #abs_4 />
(4)<sub><wrap #abs_4_1 />[[law:sgb_5:392#abs_4_1|1]]</sub> Die Krankenkassen sind verpflichtet, repräsentiert durch ihre
Verbände und den Spitzenverband Bund der Krankenkassen, in einem
gemeinsamen bestehenden oder zu schaffenden Branchenarbeitskreis an
der Entwicklung des branchenspezifischen Sicherheitsstandards für die
informationstechnische Sicherheit der Krankenkassen im Sinne des
Absatzes 3 mitzuwirken. <sub><wrap #abs_4_2 />[[law:sgb_5:392#abs_4_2|2]]</sub>Die Krankenkassen, repräsentiert durch ihre
Verbände und den Spitzenverband Bund der Krankenkassen, haben darauf
hinzuwirken, dass der branchenspezifische Sicherheitsstandard auch
Vorgaben enthält zu

1.  geeigneten Maßnahmen zur Erhöhung der Cybersecurity-Awareness,


2.  dem Einsatz von Systemen zur Angriffserkennung, die geeignete
Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und
automatisch erfassen und auswerten, wobei diese dazu in der Lage sein
sollten, fortwährend Bedrohungen zu identifizieren und zu vermeiden
sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen
vorzusehen (Maßnahmen zur Aufrechterhaltung der Betriebskontinuität)
und


3.  an IT-Dienstleister zu stellende Sicherheitsanforderungen gemäß Absatz
6, sofern diese Leistungen für die Krankenkassen zur Wahrnehmung ihrer
gesetzlichen Aufgaben erbringen.




<wrap #abs_5 />
(5)<sub><wrap #abs_5_1 />[[law:sgb_5:392#abs_5_1|1]]</sub> Die Verpflichtung nach Absatz 1 gilt für alle Krankenkassen,
soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen
gemäß § 8a des BSI-Gesetzes angemessene organisatorische und
technische Vorkehrungen zu treffen haben.

<wrap #abs_6 />
(6)<sub><wrap #abs_6_1 />[[law:sgb_5:392#abs_6_1|1]]</sub> Sofern eine Krankenkasse im Rahmen ihrer Aufgabenerfüllung IT-
Dienstleistungen eines Dritten in Anspruch nimmt und eine Störung der
Verfügbarkeit, Integrität und Vertraulichkeit der
informationstechnischen Systeme, Komponenten oder Prozesse des Dritten
zu einer Beeinträchtigung der Funktionsfähigkeit der jeweiligen
Krankenkasse oder der Sicherheit der verarbeiteten
Versicherteninformationen führen kann, muss die Krankenkasse durch
geeignete vertragliche Vereinbarungen sicherstellen, dass die
Einhaltung des branchenspezifischen Sicherheitsstandards im Sinne des
Absatzes 3 durch den Dritten gewährleistet wird.