Das Digital-Gesetz (DigiG) und IT-Sicherheit

Die Digitalisierung ist kein fernes Konzept mehr, sondern knallharte gesetzliche Realität. Das neue Digital-Gesetz (DigiG) mag auf den ersten Blick primär das Gesundheitswesen betreffen, doch seine Auswirkungen und die damit verbundenen Sicherheitsstandards strahlen weit in alle Bereiche der kritischen Infrastruktur Deutschlands aus, in denen Sie tätig sind. Dieses Gesetz ist nicht nur ein Turbo für die elektronische Patientenakte (ePA) und das E-Rezept – es ist ein unmissverständliches Mandat für uns alle, die Cyber-Resilienz auf ein neues Level zu heben.

Wir stehen vor der größten Datenmigration in der Geschichte des deutschen Gesundheitssystems. Mit der Opt-Out-Einführung der ePA wird die Menge an hochsensiblen, zentral verwalteten Gesundheitsdaten explosionsartig ansteigen. Das macht Krankenhäuser, Kassen und deren Cloud-Dienstleister zu Top-Zielen für Cyberkriminelle und staatlich unterstützte Angreifer. Die Spielregeln haben sich geändert: Das DigiG schreibt jetzt konkrete IT-Sicherheitsmaßnahmen vor, von der strengen BSI C5-Zertifizierung für Cloud-Systeme bis hin zur gesetzlichen Pflicht, die Security-Awareness Ihrer Mitarbeiter nachweislich zu steigern.

In diesem Beitrag analysieren wir messerscharf, was das Digital-Gesetz für Ihre IT-Strategie bedeutet. Wir entschlüsseln die neuen Compliance-Anforderungen und zeigen auf, wie Sie die drohenden Bußgelder vermeiden und Ihre kritischen Systeme zukunftssicher machen. Denn eines ist klar: Wer heute im Gesundheitswesen, in der Kritis-Fertigung oder in Behörden IT verantwortet, trägt eine enorme, nun gesetzlich verankerte, Verantwortung. Es ist Zeit, die Ärmel hochzukrempeln.

A. Das deutsche Digital-Gesetz – Ein Turbo für die Digitalisierung

Das sogenannte Digital-Gesetz (DigiG), offiziell „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens“, ist ein zentrales und hochbrisantes Regelwerk der Bundesregierung, das die digitale Transformation in Deutschland – beginnend im Gesundheitswesen – massiv vorantreibt. Entgegen der landläufigen Meinung betrifft es nicht nur Ärzte und Krankenkassen, sondern hat weitreichende Konsequenzen für alle IT-Verantwortlichen in kritischen Infrastrukturen (KRITIS), im öffentlichen Sektor und sogar in der Fertigungsindustrie, die Zulieferer oder Betreiber von Gesundheitseinrichtungen sind.

Die Hauptidee des DigiG ist es, den Austausch von Gesundheitsdaten effizienter, schneller und vor allem sicherer zu gestalten. Die zwei wichtigsten Neuerungen sind die flächendeckende Einführung der elektronischen Patientenakte (ePA) per Opt-Out (Anfang 2025), was bedeutet, dass die Akte für alle gesetzlich Versicherten automatisch angelegt wird, es sei denn, man widerspricht, sowie die Etablierung des E-Rezepts als verbindlicher Standard (seit Januar 2024).

Für Cybersicherheitsspezialisten, insbesondere diejenigen, die für die Datensicherheit und Verfügbarkeit komplexer Systeme verantwortlich sind, bedeutet das Gesetz jedoch in erster Linie eine massive Erhöhung der IT- und Cybersicherheitsanforderungen. Die zentrale Speicherung hochsensibler Patientendaten in der ePA macht Gesundheitseinrichtungen und ihre digitalen Dienstleister zu noch attraktiveren und kritischeren Zielen für Cyberangriffe. Das DigiG schreibt daher ganz konkrete technische und organisatorische Maßnahmen vor, die über die bisherigen Anforderungen hinausgehen.

Dazu gehören strengere Vorschriften für die Nutzung von Cloud-Systemen, die künftig eine positive Zertifizierung gemäß dem BSI C5-Kriterienkatalog erfordern, sowie die obligatorische Sensibilisierung aller Mitarbeiter für Sicherheitsfragen.

Wer in einem Krankenhaus, bei einer Krankenkasse, aber auch als IT-Dienstleister im Fertigungsbereich mit KRITIS-Bezug oder in einer öffentlichen Behörde, die Gesundheitsdaten verarbeitet, tätig ist, muss die neuen Regelungen zur Informationssicherheit im Sozialgesetzbuch (SGB V) jetzt dringend kennen, verstehen und revisionssicher umsetzen. Das DigiG ist somit ein klarer gesetzlicher Auftrag zur Stärkung der Resilienz in einem der wichtigsten Sektoren Deutschlands.

B. Die 5 Kernpunkte des Digital-Gesetzes (DigiG)

Hier sind die fünf wichtigsten, technisch relevanten Aspekte des DigiG, die Sie in Ihrer täglichen Arbeit betreffen und die Sie umgehend adressieren müssen:

1. Die elektronische Patientenakte (ePA) per Opt-Out

Dies ist der größte Game-Changer des Gesetzes und der größte Brocken für die Sicherheit.

• Der Kernpunkt: Die ePA wird ab Anfang 2025 für alle gesetzlich Versicherten automatisch angelegt (Opt-Out-Verfahren), sofern sie dem nicht widersprechen. Dies führt zu einer flächendeckenden, zentralisierten Speicherung hochsensibler Patientendaten in einem nie dagewesenen Ausmaß.

• Die IT-Sicherheits-Implikation: Die ePA transformiert Krankenhäuser und Krankenkassen zu Hochrisiko-Zielen. Die Last auf der Telematikinfrastruktur (TI) steigt exponentiell. Ihre IT-Infrastruktur muss nun skalierbare, hochverfügbare und gegen Zero-Day-Angriffe gehärtete Sicherheit bieten. Jede Akte ist ein potenzielles Erpressungsziel. Die Zugriffskontrollen, Verschlüsselungsmechanismen und Protokollierungen müssen rechtskonform und revisionssicher sein, um jeden Zugriff lückenlos nachvollziehen zu können.

2. Cloud-Nutzung nur mit BSI C5-Zertifizierung

Das DigiG zieht die Daumenschrauben für Cloud-Dienstleister im Gesundheitssektor an.

• Der Kernpunkt: Die Verarbeitung von Gesundheitsdaten in Cloud-Systemen ist nur noch erlaubt, wenn der Anbieter ein positives Testat nach dem BSI C5 Kriterienkatalog vorweisen kann. Dieses Testat ist ein umfassender Nachweis über die Einhaltung deutscher und europäischer Sicherheitsstandards für Cloud-Dienste, ausgestellt durch das BSI oder anerkannte Prüfer.

• Die IT-Sicherheits-Implikation: Sie können nicht mehr jeden Cloud-Anbieter wählen. Ihre Due-Diligence-Prüfung von Lieferanten muss die C5-Konformität zwingend einschließen. Sie als IT-Verantwortlicher müssen die technische und organisatorische Schnittstelle zwischen Ihrer lokalen Infrastruktur und der C5-zertifizierten Cloud so gestalten, dass die Sicherheitskette nicht unterbrochen wird – Stichwort Shared Responsibility Model in der Cloud.

3. Das E-Rezept als verbindlicher Standard

Das papierlose Rezept ist nicht nur eine Effizienzsteigerung, sondern ein zentrales Element im digitalen Patientendatenfluss.

• Der Kernpunkt: Das E-Rezept ist seit Anfang 2024 verbindlicher Standard für verschreibungspflichtige Medikamente und bildet damit einen kritischen, täglichen Transaktionskanal für Patientendaten und Verschreibungen.

• Die IT-Sicherheits-Implikation: Die TI-Anbindung und die daran hängenden Praxisverwaltungssysteme (PVS) oder Krankenhausinformationssysteme (KIS) werden zu High-Volume-Angriffszielen. Ihre Systeme müssen eine extrem hohe Verfügbarkeit gewährleisten (Ausfallzeiten sind nicht akzeptabel), und die Integrität der Daten (Sicherstellung, dass ein Rezept auf dem Weg zur Apotheke nicht manipuliert werden kann) muss kryptografisch einwandfrei geschützt sein. Das erfordert robuste Firewalls, Zero Trust-Prinzipien und ein hervorragendes Patch-Management für alle Komponenten der TI-Anbindung.

4. Verpflichtende Steigerung der Security-Awareness

Der Faktor Mensch wird explizit zum Gegenstand gesetzlicher Pflichten erhoben.

• Der Kernpunkt: Das Gesetz fordert von den Leistungserbringern die verpflichtende und dokumentierte Durchführung von Maßnahmen zur Steigerung der Security-Awareness des gesamten Personals. Dies umfasst regelmäßige Schulungen und Sensibilisierung für Cyber-Risiken.

• Die IT-Sicherheits-Implikation: Ihr Job als IT-Sicherheitsteam endet nicht mehr an der Tastatur. Sie müssen funktionierende, messbare Schulungsprogramme entwickeln und betreiben. Dazu gehört die Planung von Phishing-Simulationen, die Dokumentation von Teilnehmerzahlen und Lernerfolgen sowie die Erstellung eines Notfallplans für menschliches Versagen – denn die gesetzliche Pflicht zur Awareness muss jederzeit nachgewiesen werden.

5. Erweiterte Befugnisse und strengere Compliance

Das DigiG verschärft die Aufsicht und die Konsequenzen bei Mängeln.

• Der Kernpunkt: Das Gesetz sieht eine Verschärfung der Kontrollmechanismen und deutlich erhöhte Bußgelder bei Verstößen gegen die IT-Sicherheitspflichten (analog zur DSGVO) vor. Die Krankenkassen erhalten zudem erweiterte Befugnisse, um die Einhaltung digitaler Standards bei ihren Leistungserbringern zu prüfen.

• Die IT-Sicherheits-Implikation: Dies ist der Compliance-Hammer. Der Druck auf Sie steigt, nicht nur technisch sicher, sondern auch formal konform zu sein. Jede Ihrer Maßnahmen – vom ISMS über das Patch-Management bis zum Notfallhandbuch – muss revisionssicher dokumentiert und jederzeit einer Prüfung standhalten können. IT-Sicherheit wird damit zu einer Rechts- und Nachweispflicht auf höchster Ebene.
  

C. Konkrete IT-Sicherheitsanforderungen durch das Digitalgesetz

Dienstleistern bedeutet das Digital-Gesetz einen signifikanten Anstieg der Pflichten. Es geht nicht mehr nur um Empfehlungen, sondern um nachweisbare, gesetzlich verankerte Anforderungen im Sozialgesetzbuch (SGB V), deren Nichterfüllung empfindliche Konsequenzen nach sich ziehen kann.

1. Die verschärfte Cloud-Sicherheit und das BSI C5-Testat

Eine der wichtigsten Neuerungen ist die strikte Regulierung der Nutzung von Cloud-Diensten zur Verarbeitung sensibler Gesundheitsdaten.

• BSI C5-Zertifizierungspflicht: Künftig dürfen Gesundheits- und personenbezogene Daten in der Cloud nur noch verarbeitet werden, wenn der Cloud-Anbieter ein aktuelles Testat nach dem BSI C5 Kriterienkatalog vorweisen kann. Das C5-Testat des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein strenger Nachweis, der die Angemessenheit und Wirksamkeit der Sicherheitsmaßnahmen des Dienstleisters bestätigt.

• Implikation für IT-Spezialisten: Dies erfordert von Krankenhäusern und anderen Einrichtungen eine Neubewertung ihrer Cloud-Strategie und Lieferantenketten. Sie müssen sicherstellen, dass ihre Cloud-Partner die C5-Anforderungen erfüllen. Es geht hierbei um Vertrauenswürdigkeit, Transparenz und die technische Einhaltung deutscher Sicherheitsstandards.

2. Nachweispflicht und die Rolle des ISMS

Das DigiG verschärft die Nachweispflicht für die Einhaltung eines angemessenen Informationssicherheits-Managementsystems (ISMS).

• Nachweispflicht: Krankenhäuser und andere große Leistungserbringer müssen die Einhaltung angemessener organisatorischer und technischer Vorkehrungen nach dem Stand der Technik gegenüber Aufsichtsbehörden belastbar nachweisen können. Dies untermauert die Bedeutung von etablierten Standards wie der ISO 27001 oder dem B3S (Branchenspezifischer Sicherheitsstandard).

• Ausweitung: Auch wenn das DigiG primär das Gesundheitswesen betrifft, setzt es einen hohen Standard, der indirekt auch für Behörden und Kritis-Betreiber in anderen Sektoren, wie der Fertigung, relevant wird, sobald sie mit der Telematikinfrastruktur (TI) in Berührung kommen oder ähnliche Hochsicherheitsstandards in ihren eigenen kritischen IT-Systemen benötigen.

3. Die gesetzliche Pflicht zur Security-Awareness-Steigerung

Der Mensch bleibt das größte Sicherheitsrisiko. Das DigiG begegnet diesem Umstand durch eine explizite gesetzliche Verpflichtung.

• Verpflichtende Sensibilisierung: Krankenhäuser und bestimmte Leistungserbringer müssen nun verpflichtende und regelmäßige Maßnahmen ergreifen, um die Security-Awareness ihrer Mitarbeiter signifikant zu steigern. Dies muss dokumentiert werden und dient der Verbesserung der allgemeinen Resilienz gegen Phishing, Social Engineering und andere Angriffsvektoren.

• Konsequenz für IT-Abteilungen: Die IT-Sicherheitsteams müssen tragfähige, mehrstufige Schulungskonzepte entwickeln und umsetzen, um dieser gesetzlichen Anforderung nachzukommen. Die reine Bereitstellung von Technik ist nicht mehr ausreichend; die Sicherheitskultur muss aktiv gefördert werden.

4. Sanktionen bei Nichteinhaltung

Ein Gesetz ohne Konsequenzen ist zahnlos. Das DigiG sieht empfindliche Sanktionen vor.

• Bußgelder: Die Nichteinhaltung der vorgeschriebenen Sicherheitsmaßnahmen kann zu hohen Bußgeldern führen. Dies erhöht den Druck auf die Geschäftsführungen und IT-Leitungen, die Compliance-Anforderungen nicht als „Kann-Bestimmung“, sondern als existenzielle Pflicht zu behandeln.

Zusammenfassend lässt sich sagen: Das Digital-Gesetz ist die Blaupause für eine Datenschutz- und Sicherheitsorientierte Digitalisierung im Gesundheitswesen. Für IT-Spezialisten bedeutet das eine Verlagerung des Fokus von reiner Funktionalität hin zur absoluten Priorisierung von Sicherheit und Compliance. Es ist ein klares Signal, dass Cyber-Risiken nicht mehr als "IT-Problem" abgetan, sondern als unternehmerisches und gesetzliches Risiko behandelt werden müssen.

Das Digital-Gesetz (DigiG) ist weit mehr als eine behördliche Anweisung; es ist ein unumgänglicher Richtungswechsel für alle IT-Verantwortlichen in Deutschland, von Kliniken über Kritis-Betreiber bis hin zu Behörden. Die neuen Pflichten – von der Opt-Out-ePA und dem E-Rezept bis hin zur C5-Zertifizierung und der Awareness-Schulungspflicht – erhöhen den Druck auf Ihre IT-Systeme und Ihre Compliance-Verantwortung signifikant. Die Bedrohungslage ist akut, und die Bußgelder sind drastisch.

Doch Gesetze allein gewährleisten keine Sicherheit. Sie schaffen lediglich den Rahmen. Echte Cyber-Resilienz erfordert jetzt eine entschlossene technologische Reaktion und die Implementierung von wirksamen Präventionsstrategien.

Als IT-Spezialisten müssen Sie nun sicherstellen, dass Ihre Systeme nicht nur die gesetzlichen Mindestanforderungen erfüllen, sondern einen umfassenden Schutz bieten – insbesondere im Bereich des Endpoint Security und der Zugriffskontrolle, wo die sensibelsten Daten verarbeitet werden.

DriveLock hilft Ihnen, die komplexen Compliance-Anforderungen des DigiG, der DSGVO und des IT-SiG 2.0 in greifbare, technische Lösungen umzusetzen. Durch die Etablierung wirksamer Präventionsmaßnahmen – etwa durch umfassende Verschlüsselung, detaillierte Anwendungskontrolle und proaktives Media Management – können Sie einen zuverlässigen Rundumschutz Ihrer wertvollen Gesundheitsdaten und kritischen IT-Systeme gewährleisten.