Nein, in der Bund-Länder-Runde zum KHZG wurde z.B. unter TOP16 geklärt, dass diese Gelder in „spezifische Maßnahmen zur Stärkung“ fließen sollen. Eine Zusicherung eines Herstellers, dass im Preis für die Software 15% der Aufwände für Informationssicherheit genutzt worden sind, sind keine spezifischen KHZG-Maßnahmen. 15% Informationssicherheit sind kein Produktmerkmal!

Bewerten müssen dies die BAS-zertifizierten Dienstleister und es ist wahrscheinlich, dass das BAS in Zukunft stichprobenartig prüfen wird, ob und wie diese Gelder spezifisch in Informationssicherheits-Maßnahmen geflossen sind.

Gemäß § 14a Abs. 3 Satz 5 KHG sind mindestens 15% der Fördermittel für Maßnahmen zur Verbesserung der Informationssicherheit einzusetzen. Allein die Nutzung einer bestimmten Software, die selbst Maßnahmen für die Informationssicherheit beinhaltet, entspricht nicht den Vorgaben des § 14 a Abs. 3 Satz 5 KHG. Denn die 15 % zur Verbesserung der Informationssicherheit müssen allein am Krankenhaus selbst umgesetzt werden, vgl. BT-Drs. 19/22126 S. 40.
Falls sich der Krankenhausträger bei der Umsetzung eines Fördertatbestandes für die Nutzung eines Software as a Service-Modells entscheidet, ist es wünschenswert und liegt insbesondere in seinem Eigeninteresse, wenn dieses über eine sichere Infrastruktur verfügt. Mit dieser entgeltlichen Nutzung eines „sicheren“ Angebots eines Dritten, hat der Krankenhausträger aber noch nicht in die Verbesserung der Informationssicherheit des Krankenhauses selbst investiert, sondern lediglich die Möglichkeit, einen fremden, mutmaßlich sicheren Service zu nutzen.

Deswegen gilt für Krankenhäuser: Überlegen Sie sich idealerweise herstellerunabhängige Maßnahmen, die gut zu einzelnen FTB passen (z.B. Ausfallsystem bei FTB3, Awareness-Maßnahmen etc.).

Für IT-Dienstleister gilt: Gehen Sie nicht den scheinbar bequemen Weg und akzeptieren Sie Pauschalzusicherungen. Diese könnten im schlimmsten Fall später zu Schadensersatzerforderungen führen.