ISO 27001 Zertifizierung und BSIG-Prüfung für Krankenkasse

Die Mobil Krankenkasse schreibt die Durchführung einer ISO 27001:2022 Re-Zertifizierung im Januar 2026 sowie die entsprechenden Überwachungsaudits in den Jahren 2027 und 2028 aus. Zusätzlich ist eine Prüfung nach § 8a Abs. 3 BSIG inkl. Erstellung eines Prüfberichts sowie der notwendigen Nachweisdokumente zur Einreichung beim Bundesamt für Sicherheit in der Informationstechnik über die Umsetzung der Anforderungen nach § 8a Abs. 1 BSIG im Januar 2026 erforderlich. Der Geltungsbereich des ISMS der Mobil Krankenkasse umfasst die Erbringung von Leistungen im Rahmen der gesetzlichen Krankenversicherung (GKV) sowie die damit verbundene Erfassung, Verarbeitung und Verwaltung von Daten zu Versicherten und Geschäftspartnern. Ergänzend sind alle zentralen Unterstützungsfunktionen – einschließlich IT, Personal, Facility Management, Finanzen, Recht sowie weitere Stabs- und Fachbereiche – samt aller dazugehörigen Datenverarbeitungen und Prozesse an allen Unternehmensstandorten eingeschlossen. Die Prüfung nach § 8a BSIG soll auf Basis des zur Prüfung aktuell gültigen „Branchenspezifischen Sicherheitsstandards für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV)“ erfolgen. Der Auftragnehmer hat die Anforderungen nach § 8a Absatz 5 BSIG zu erfüllen. Das Prüfteam muss aus mindestens zwei Prüfern bestehen und über die geforderten Kompetenzen verfügen (Prüfkenntnisse nach § 8a Abs. 3 BSIG, Auditkompetenz, IT-Sicherheitskompetenz bzw. Informationssicherheits-Kompetenz, Branchenkompetenz). Die Vorgaben des BSI zu Zertifizierungsstellen sind vom Auftragnehmer während der gesamten Dauer des Auftragsverhältnisses einzuhalten. Die Prüfung gem. § 8a BSIG ist im Januar 2026 im Rahmen der ISO 27001:2022 Re-Zertifizierung zeitlich und inhaltlich abgestimmt im Auditoren-/Prüfteam durchzuführen. Der Prüfbericht sowie die notwendigen Nachweisdokumente sind spätestens 15 Arbeitstage nach Ende der Prüfung an den Auftraggeber zu übersenden.