29. September 2020

IT Sicherheit für DiGA: BSI 200-2 oder ISO 27001

Von Joachim Reinke

September 29, 2020

BSI 200-2, DiGA, ISO 27001

Hersteller "Digitaler Gesundheits-Anwendungen" nach dem Digitale-Versorgung-Gesetz) finden in der DiGAV (der Digitalen Gesundheits-Anwendungen-Verordnung) eine Reihe an Punkten, die sie für eine erfolgreiche Zulassung beim BfArM erfüllen müssen.

Natürlich muss die DiGA ein Medizinprodukt sein und gesetzeskonform eine Zulassung haben.

Aber des weiteren fordert die DiGAV, dass der Hersteller der App sich sorgfältig um Informationssicherheit kümmert - und zwar entweder nach "BSI Standard 200-2" oder "ISO 27000/27001 Reihe".

Wenn Sie nicht bereits Profi in Informationssicherheit sind, stellen Sie sich spätestens jetzt die Frage: "Welches dieser beiden böhmischen Dörfer ist das bessere?"

Wir klären im Folgenden die Frage: was besser für Diga: BSI 200-2 oder ISO 27001?

4 Gründe für die ISO 27001

1. ISO 27001 kostet weniger als BSI 200-2

Die Preise einer ISO 27001-Erst-Zertifizierung berechnen sich über eine vorgegebene Formel der Deutschen Akkreditierungsstelle (DAkkS). An die müssen Zertifizierer sich halten. Dabei geht die Anzahl an Standorten und Mitarbeitern ein, die etwas mit Informationssicherheit zu tun haben. Das schafft Planungssicherheit.

Die Zertifizierungspreise für BSI 200-2 unterliegen dieser Transparenz nicht. Es müssen aber mind. 6, eher 10 Teile aus BSI 200-2 genau auditiert werden.  Das kann für kleine und mittelgroße Unternehmen zu deutlich höheren Kosten als bei einer ISO 27001-Zertifizierung führen. Dazu kommen noch die über eine staatliche Gebührenordnung festgelegten Gebühren des BSI.

2. ISO 27001 ist kurz und knackig!

Die ISO 27001 ist auf den Punkt: auf 26 Seiten ist alles beschrieben, was getan werden muss.

Alleine BSI 200-2 hingegen umfasst 180 Seiten. Aber das ist nicht alles: BSI 200-2 verweist auf viele weitere Dokumente:

  • BSI 200-1 (nochmal 48 Seiten)
  • den “Leitfaden für die IS-Revision auf Basis von IT-Grundschutz” (nochmal 42 Seiten) und natürlich nicht zu vergessen:
  • das Grundschutzkompendium (noch einmal ganz entspannte 816 Seiten - in diesem Jahr). Denn dieses Dokument wird jährlich aktualisiert, so dass Langeweile fortan keines Ihrer Probleme mehr sein wird.

3. ISO 27001 ist international!

Die ISO 27001 ist flexibel auf alle Formen von Organisationen anwendbar: vom Einkommenssteuerhilfeverein bis zum Großkonzern. Das hat sie in den Genen, denn als internationale Norm muss sie in allen Kulturen, für alle Arten von Zusammenarbeit und die verschiedensten Firmenkonstellationen funktionieren.

Der BSI Grundschutz wurde von einer deutschen Behörde entwickelt - mit dem Fokus, IT-Sicherheit für Behörden und große Konzerne zu bieten.

International ist das BSI Zertifikat unbekannt - und wird daher in der Regel nicht anerkannt.

4. Verblüffend ähnlich zur ISO 13485!

Als DiGA-Hersteller kennen Sie die ISO 13485. Diese Norm setzen Sie ja in Ihrem Qualitätsmanagement um, damit Sie Ihre DiGA als Medizinprodukt zulassen können.

Jetzt kommt das Beste: viele Dinge sind sowohl in der ISO 13485 als auch in der ISO 27001 enthalten. Bedeutet für Sie: Sie können sich jede Menge Arbeit sparen, wenn Sie die entsprechenden Teile einfach wiederverwenden!

Unterm Strich: Aus unserer Sicht ist die Frage für Diga: BSI 200-2 oder ISO 27001 klar beantwortet. Die ISO 27001 ist für DiGA-Hersteller im Vergleich zu BSI 200-2 die wesentlich flexiblere, internationalere und kostengünstigere Norm in der Umsetzung.

Haben Sie Fragen? Vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Oder Sie schreiben und Ihre Frage direkt hier rechts unten in den Chat.

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}