michaelkole/lawgit
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Update Laws XML in folder
Some checks failed
Update Laws from RSS / update (push) Failing after 11s
Details

Browse Source
This commit is contained in:
Michael Hermann
2025-11-20 02:04:06 +01:00
parent 2bc3dd2ee9
commit 1effdfdf4c
4297 changed files with 157110 additions and 2 deletions
Download Patch File Download Diff File Expand all files Collapse all files

6
laws/c5gleichwv/c5gleichwv_2025-03-19_d41d8cd9.xml Normal file
View File

@@ -0,0 +1,6 @@
<?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE dokumente SYSTEM "http://www.gesetze-im-internet.de/dtd/1.01/gii-norm.dtd">
<dokumente builddate="20250324224504" doknr="BJNR05B0A0025"><norm builddate="20250324224504" doknr="BJNR05B0A0025"><metadaten><jurabk>C5GleichwV</jurabk><amtabk>C5GleichwV</amtabk><ausfertigung-datum manuell="ja">2025-03-19</ausfertigung-datum><fundstelle typ="amtlich"><periodikum>BGBl. I</periodikum><zitstelle>2025, Nr. 91</zitstelle></fundstelle><kurzue>C5-Gleichwertigkeitsverordnung</kurzue><langue>Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen</langue></metadaten><textdaten><fussnoten><Content><P><BR/> <pre xml:space="preserve">(+++ Textnachweis ab: 1.7.2024 +++)<BR/><BR/></pre></P></Content></fussnoten></textdaten></norm>
<norm builddate="20250324224504" doknr="BJNR05B0A0025BJNE000100000"><metadaten><jurabk>C5GleichwV</jurabk><enbez>Eingangsformel</enbez></metadaten><textdaten><text format="XML"><Content><P>Auf Grund des § 393 Absatz 4 Satz 4 des Fünften Buches Sozialgesetzbuch, der durch Artikel 2 Nummer 6 des Gesetzes vom 22. März 2024 (BGBl. 2024 I Nr. 101) eingefügt worden ist, verordnet das Bundesministerium für Gesundheit im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik:</P></Content></text></textdaten></norm>
<norm builddate="20250324224504" doknr="BJNR05B0A0025BJNE000200000"><metadaten><jurabk>C5GleichwV</jurabk><enbez>§ 1</enbez><titel format="XML">Nachweise für ein gleichwertiges Sicherheitsniveau zum C5-Kriterienkatalog</titel></metadaten><textdaten><text format="XML"><Content><P>(1) Eine Testierung oder Zertifizierung eines Cloud-Computing-Dienstes nach einem nachfolgend aufgezählten Standard (alternativer Standard) gilt als Nachweis der Einhaltung eines zu einem Typ1- oder einem Typ2-Testat nach dem Kriterienkatalog C5 des Bundesamtes für Sicherheit in der Informationstechnik gleichwertigen Sicherheitsniveaus im Sinne des § 393 Absatz 4 Satz 3 des Fünften Buches Sozialgesetzbuch, sofern zusätzlich die Voraussetzungen nach den Absätzen 2 und 3 erfüllt sind: <DL Type="arabic"><DT>1.</DT><DD Font="normal"><LA>ISO/IEC 27001 in der jeweils gültigen Fassung,</LA></DD><DT>2.</DT><DD Font="normal"><LA>ISO 27001 auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik und</LA></DD><DT>3.</DT><DD Font="normal"><LA>Cloud Controls Matrix Version 4.0 in der jeweils gültigen Fassung.</LA></DD></DL></P><P>(2) Zusätzlich zu dem bestehenden Testat oder Zertifikat aufgrund des alternativen Standards muss für einen Cloud-Computing-Dienst ein Maßnahmenplan vorliegen, der mindestens Folgendes enthält: <DL Type="arabic"><DT>1.</DT><DD Font="normal"><LA>eine Dokumentation, die diejenigen Basiskriterien des C5-Kriterienkatalogs kennzeichnet, die materiell nicht durch den dem bestehenden Testat oder Zertifikat zugrundeliegenden alternativen Standard abgedeckt werden,</LA></DD><DT>2.</DT><DD Font="normal"><LA>eine Dokumentation der individuellen technischen und organisatorischen Vorkehrungen, die ergriffen werden, um die nach Nummer 1 dokumentierten materiellen Lücken zwischen den Anforderungen des C5-Kriterienkatalogs und den Anforderungen des alternativen Standards zu beheben,</LA></DD><DT>3.</DT><DD Font="normal"><LA>eine Meilensteinplanung, aus der hervorgeht, bis wann die einzelnen Vorkehrungen nach Nummer 2 derart umgesetzt sein sollen, dass die nach Nummer 1 dokumentierten materiellen Lücken zu den Anforderungen der Basiskriterien des C5-Kriterienkatalogs behoben sind; hierbei darf ein Zeitraum von zwölf Monaten ab der Erstellung der Meilensteinplanung nicht überschritten werden und</LA></DD><DT>4.</DT><DD Font="normal"><LA>eine Dokumentation von Maßnahmen zur Erlangung eines C5-Typ1-Testats für den Cloud-Computing-Dienst innerhalb von 18 Monaten ab der Erstellung der Meilensteinplanung nach Nummer 3 und von Maßnahmen zur Erlangung eines C5-Typ2-Testats für den Cloud-Computing-Dienst innerhalb von 24 Monaten ab Erstellung der Meilensteinplanung nach Nummer 3; hierunter fallen auch vertragliche Vereinbarungen mit einem Auditor zur Durchführung eines C5-Typ1- oder eines C5-Typ2-Audits oder die Aufnahme von Vertragsverhandlungen hierzu.</LA></DD></DL></P><P>(3) Der Maßnahmenplan nach Absatz 2 und das bestehende Testat oder Zertifikat aufgrund des alternativen Standards sind den Leistungserbringern nach dem Vierten Kapitel des Fünften Buches Sozialgesetzbuch oder den Kranken- und Pflegekassen, die einen Cloud-Computing-Dienst beauftragen, sowie den jeweils zuständigen Aufsichtsbehörden auf deren Verlangen hin unverzüglich vorzulegen.</P></Content></text></textdaten></norm>
<norm builddate="20250324224504" doknr="BJNR05B0A0025BJNE000300000"><metadaten><jurabk>C5GleichwV</jurabk><enbez>§ 2</enbez><titel format="XML">Inkrafttreten</titel></metadaten><textdaten><text format="XML"><Content><P>Diese Verordnung tritt mit Wirkung vom 1. Juli 2024 in Kraft.</P></Content></text></textdaten></norm>
</dokumente>