latest

Releases:

DiPag_25_1

Nächste Änderung Vorherige Änderung latest

Elektronische Gesundheitskarte und Telematikinfrastruktur

Anbietertypsteckbrief
Prüfvorschrift

Digitale Patientenrechnung

Fachdienst

    
     
      Anbietertyp Version
      1.0.0
     
     
      Anbietertyp Status
      freigegeben

    
     
      Version
      1.0.0
     
     
      Revision
      1239661
     
     
      Stand
      22.05.2025
     
     
      Status
      freigegeben
     
     
      Klassifizierung
      öffentlich
     
     
      Referenzierung
      gemAnbT_DiPag_FD_ATV_1.0.0

Historie Anbietertypversion und Anbietertypsteckbrief

Historie Anbietertypversion

Die Anbietertypversion ändert sich, wenn sich die normativen Festlegungen für den Anbietertyp ändern.

Anbietertypversion	Beschreibung der Änderung	Referenz
1.0.0	Initiale Version auf Dokumentenebene	[gemAnbT_DiPag_FD_ATV_1.0.0]

Historie Anbietertypsteckbrief

Die Dokumentenversion des Anbietertypsteckbriefs ändert sich mit jeder inhaltlichen oder redaktionellen Änderung des Anbietertypsteckbriefs und seinen referenzierten Dokumenten. Redaktionelle Änderungen haben keine Auswirkung auf die Anbietertypversion.

Version	Stand	Kap.	Grund der Änderung, besondere Hinweise	Bearbeiter
1.0.0	22.05.2025		freigegeben	gematik

Inhaltsverzeichnis

Historie Anbietertypversion und Anbietertypsteckbrief
Inhaltsverzeichnis
1 Einführung
1.1 Zielsetzung und Einordnung des Dokumentes
1.2 Zielgruppe
1.3 Geltungsbereich
1.4 Abgrenzung des Dokumentes
1.5 Methodik
2 Dokumente
3 Normative Festlegungen
3.1 Festlegungen zur funktionalen Eignung
3.1.1 Anbietererklärung funktionale Eignung
3.2 Festlegungen zur betrieblichen Eignung
3.2.1 Prozessprüfung betriebliche Eignung
3.2.2 Anbietererklärung betriebliche Eignung
3.2.3 Betriebshandbuch betriebliche Eignung
3.3 Festlegungen zur sicherheitstechnischen Eignung
3.3.1 Sicherheitsgutachten
3.3.2 Dokumentenprüfung sicherheitstechnische Eignung
3.3.3 Prozessprüfung sicherheitstechnische Eignung
3.3.4 Anbietererklärung sicherheitstechnische Eignung
4 Anhang – Verzeichnisse
4.1 Abkürzungen
4.2 Tabellenverzeichnis

1 Einführung

1.1 Zielsetzung und Einordnung des Dokumentes

Anbietertypsteckbriefe verzeichnen verbindlich die normativen Festlegungen der gematik an Anbieter zur Sicherstellung des Betriebes der von ihnen verantworteten Serviceeinheiten.

Die normativen Festlegungen werden über ihren Identifier, ihren Titel sowie die Dokumentenquelle referenziert. Die normativen Festlegungen mit ihrem vollständigen, normativen Inhalt sind dem jeweils referenzierten Dokument zu entnehmen.

1.2 Zielgruppe

Der Anbietertypsteckbrief richtet sich an:

Anbieter
die gematik im Rahmen der Zulassungsverfahren, Bestätigungsverfahren, Kooperationsverträge und Anbieterverfahren.

1.3 Geltungsbereich

Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z. B. PTV_ATV_Festlegungen) festgelegt und bekannt gegeben.

1.4 Abgrenzung des Dokumentes

Dieses Dokument macht keine Aussagen zur Aufteilung der Produktentwicklung bzw. Produktherstellung auf verschiedene Hersteller und Anbieter.

Dokumente zu den Zulassungsverfahren für den Anbietertyp sind nicht aufgeführt. Die geltenden Verfahren und Regelungen zur Beantragung und Durchführung von Zulassungsverfahren können dem Fachportal der gematik (https://fachportal.gematik.de/downloadcenter/zulassungs-bestaetigungsantraege-verfahrensbeschreibungen) entnommen werden.

1.5 Methodik

Die im Dokument verzeichneten normativen Festlegungen werden tabellarisch dargestellt. Die Tabellenspalten haben die folgende Bedeutung:

ID: Identifiziert die normative Festlegung eindeutig im Gesamtbestand aller Festlegungen der gematik.

Bezeichnung: Gibt den Titel einer normativen Festlegung informativ wieder, um die thematische Einordnung zu erleichtern. Der vollständige Inhalt der normativen Festlegung ist dem Dokument zu entnehmen, auf das die Quellenangabe verweist.

Quelle (Referenz): Verweist auf das Dokument, das die normative Festlegung definiert.

2 Dokumente

Die nachfolgenden Dokumente enthalten alle für den Anbietertyp normativen Festlegungen.

Tabelle 1: Dokumente mit normativen Festlegungen

Dokumentenkürzel	Bezeichnung des Dokumentes	Version
C_12020_Anlage	C_12020_Anlage	1.1.1
C_12176_Anlage	C_12176_Anlage	1.0.1
gemKPT_Betr	Betriebskonzept Online-Produktivbetrieb	3.50.0
gemRL_Betr_TI	Übergreifende Richtlinien zum Betrieb der TI	2.19.0
gemSpec_DiPag_FD	Spezifikation Digitale Patientenrechnung Fachdienst	1.1.1
gemSpec_DS_Anbieter	Spezifikation Datenschutz- und Sicherheitsanforderungen der TI an Anbieter	2.0.0
gemSpec_OM	Übergreifende Spezifikation Operations und Maintenance	1.19.0
gemSpec_Perf	Übergreifende Spezifikation Performance und Mengengerüst TI-Plattform	2.61.0

Weiterhin sind die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte in Gänze (d. h. nicht nur die hier im Dokument aufgeführten Anwendungsfälle, Akzeptanzkriterien und Anforderungen etc.) normativ und gelten mit. (vgl. Kapitel 1.5 Methodik in der jeweiligen Spezifikation).

Tabelle 2: Mitgeltende Dokumente und Web-Inhalte

Quelle	Herausgeber: Bezeichnung / URL	Version Branch / Tag
[Simplifier DiPag]	Simplifier Projekt Digitale Patientenrechnung https://simplifier.net/DigitalePatientenrechnung/~introduction (Abruf 05/25)
[API DiPag]	Digitale Patientenrechnung API https://github.com/gematik/api-dipag (Abruf 02/25)
[IG DiPag FdV]	Implementierungsleitfaden Digitale Patientenrechnung - Szenarien - FdV als Akteur https://simplifier.net/guide/digitalepatientenrechnung-implementierungsleitfaden/Startseite/Szenarien/DiPag-FdV-als-Akteur?version=1.0.1 (Abruf 05/25)
[IG DiPag RE-PS]	Implementierungsleitfaden Digitale Patientenrechnung - Szenarien - RE-PS als Akteur https://simplifier.net/guide/digitalepatientenrechnung-implementierungsleitfaden/Startseite/Szenarien/RE-PS-als-Akteur?version=1.0.1 (Abruf 05/25)
[IG DiPag PSK]	Implementierungsleitfaden Digitale Patientenrechnung - Szenarien - PSK als Akteur https://simplifier.net/guide/digitalepatientenrechnung-implementierungsleitfaden/Startseite/Szenarien/ITSys-KTR-als-Akteur?version=1.0.1 (Abruf 05/25)
[TI-Security-Standard]	TI Security Standard Mitwirkungspflichten für Anbieter https://gemspec.gematik.de/docs/gemTI/gemTI_SEC_Standard/latest/

Die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte sind informative Beistellungen und sind nicht Gegenstand der Bestätigung / Zulassung.

Tabelle 3: Informative Dokumente und Web-Inhalte

Quelle	Herausgeber: Bezeichnung / URL	Version Branch / Tag
[gemRL_PruefSichEig_DS]	gematik: Richtlinie zur Prüfung der Sicherheitseignung	2.2.0
[SMART on FHIR]	SMART on FHIR - Scopes https://build.fhir.org/ig/HL7/smart-app-launch/scopes-and-launch-context.html (Abruf 02/25)
[DataMatrix]	ISO/IEC 16022:2024: Information technology - Automatic identification and data capture techniques - Data Matrix bar code symbology specification
[ISO 19005]	ISO 19005 - PDF Association (Abschnitt "PDF/A = ISO 19005") https://pdfa.org/pdf-standards/ (Abruf 02/25)

Hinweis:

Ist kein Herausgeber angegeben, wird angenommen, dass die gematik für Herausgabe und Veröffentlichung der Quelle verantwortlich ist.
Ist keine Version angegeben, bezieht sich die Quellenangabe auf die aktuellste Version.
Bei Quellen aus gitHub werden als Version Branch und / oder Tag verwendet.

3 Normative Festlegungen

Die folgenden Abschnitte verzeichnen alle für den Anbietertypen normativen Festlegungen der gematik an Anbieter zur Sicherstellung des Betriebes der von ihnen verantworteten Serviceeinheiten. Die Festlegungen sind gruppiert nach der Art der Nachweisführung ihrer Erfüllung als Grundlage der Zulassung.

3.1 Festlegungen zur funktionalen Eignung

3.1.1 Anbietererklärung funktionale Eignung

Sofern in diesem Abschnitt Festlegungen verzeichnet sind, muss der Anbieter deren Umsetzung und Beachtung zum Nachweis der funktionalen Eignung durch eine Erklärung bestätigen bzw. zusagen.

Tabelle 4: Festlegungen zur funktionalen Eignung "Anbietererklärung"

ID	Bezeichnung	Quelle (Referenz)
A_27249	Referenzobjekte in der Test und Referenzumgebungen	C_12020_Anlage
A_27250	Testobjekte in der Test und Referenzumgebungen	C_12020_Anlage
A_27577	Übergreifende Testmaßnahmen	C_12176_Anlage
A_27542	Performance - Digitale Patientenrechnung - Datenlieferung an ZETA-Guard	gemSpec_Perf

3.2 Festlegungen zur betrieblichen Eignung

3.2.1 Prozessprüfung betriebliche Eignung

Sofern in diesem Abschnitt Festlegungen mit Vorgaben zu organisatorischen Maßnahmen wie Prozessen und Strukturvorgaben verzeichnet sind, muss deren Erfüllung im Rahmen von Prozessprüfungen nachgewiesen werden.

Tabelle 5: Festlegungen zur betrieblichen Eignung "Prozessprüfung"

ID	Bezeichnung	Quelle (Referenz)
GS-A_3888	Incident Management - Verifikation vor Schließung eines übergreifenden Incident	gemRL_Betr_TI
GS-A_3889	Incident Management - Schließung eines übergreifenden Incidents	gemRL_Betr_TI
GS-A_3902	Incident Management - Prüfung auf Serviceverantwortung	gemRL_Betr_TI
GS-A_3904	Incident Management - Annahme eines übergreifenden Incidents	gemRL_Betr_TI
GS-A_3905	Incident Management - Ablehnung eines übergreifenden Incidents	gemRL_Betr_TI
GS-A_3907	Incident Management - Lösung von übergreifenden Incidents	gemRL_Betr_TI
GS-A_3958	Problem Management - Problemerkennung durch TI-ITSM-Teilnehmer	gemRL_Betr_TI
GS-A_3959	Problem Management - Prüfung auf übergreifendes Problem	gemRL_Betr_TI
GS-A_3964	Problem Management - Festlegung von Dringlichkeit und Auswirkung von übergreifenden Problems	gemRL_Betr_TI
GS-A_3975	Problem Management - Prüfung auf Serviceverantwortung zum übergreifenden Problem	gemRL_Betr_TI
GS-A_3976	Problem Management - Ablehnung der Lösungsunterstützung	gemRL_Betr_TI
GS-A_3977	Problem Management - Annahme der Verantwortung zur Lösungsunterstützung	gemRL_Betr_TI
GS-A_3981	Problem Management - Annahme eines übergreifenden Problems	gemRL_Betr_TI
GS-A_3982	Problem Management - Ablehnung eines übergreifenden Problems	gemRL_Betr_TI
GS-A_3983	Problem Management - Ursachenanalyse eines übergreifenden Problems durch Serviceverantwortlichen	gemRL_Betr_TI
GS-A_3986	Problem Management - Koordination bei übergreifenden Problems	gemRL_Betr_TI
GS-A_3987	Problem Management - Initiierung eines Change Request	gemRL_Betr_TI
GS-A_3988	Problem Management - Prüfung der Lösung durch den Melder eines übergreifenden Problems	gemRL_Betr_TI
GS-A_3989	Problem Management - Ablehnung der Lösung eines übergreifenden Problems	gemRL_Betr_TI
GS-A_3990	Problem Management - Schließung eines übergreifenden Problems	gemRL_Betr_TI
GS-A_3991	Problem Management - WDB-Aktualisierung nach Schließung eines übergreifenden Problems	gemRL_Betr_TI
GS-A_4125	Incident Management - TI-Notfallerkennung	gemRL_Betr_TI
GS-A_4126	Notfall Management - Eskalation TI-Notfälle	gemRL_Betr_TI
GS-A_4127	Notfall Management - Sofortmaßnahmen TI-Notfälle	gemRL_Betr_TI
GS-A_4400-01	Change Management - Request for Change erstellen	gemRL_Betr_TI
GS-A_4425-01	Change Management - Übermittlung von Optimierungsmöglichkeiten zur Umsetzung von genehmigten Changes	gemRL_Betr_TI
GS-A_5250	Incident Management - Ablehnung der Lösung eines übergreifenden Incidents	gemRL_Betr_TI
GS-A_5377	Problem Management - Durchführung einer Problemstornierung	gemRL_Betr_TI
GS-A_5400	Incident Management - Prüfung der Lösung durch den Melder eines übergreifenden Incidents	gemRL_Betr_TI
GS-A_5449	Incident Management - Typisierung eines übergreifenden Incidents als „sicherheitsrelevant“	gemRL_Betr_TI
GS-A_5450	Incident Management - Typisierung eines übergreifenden Incidents als „datenschutzrelevant“	gemRL_Betr_TI
GS-A_5587	Incident Management - Ablehnung der Lösungsunterstützung bei einem übergreifenden Incident	gemRL_Betr_TI
GS-A_5593	Request Fulfillment - Schließung des Service Requests ohne Verifikation	gemRL_Betr_TI
GS-A_5597-01	Change Management - RfC (Sub-Changes) erstellen	gemRL_Betr_TI
GS-A_5600-01	Change Management - Beschreibung der Verifikation des Changes in Auswirkung auf andere TI-Services im RfC	gemRL_Betr_TI
GS-A_5601-01	Change Management - Nachweis der Wirksamkeit eines Changes (Verifikation)	gemRL_Betr_TI
GS-A_5602-01	Change Management - Nachweis der Wirksamkeit eines Changes in Auswirkung auf andere TI-Anwendungen (Verifikation)	gemRL_Betr_TI
GS-A_5610-03	Change Management - Vorlaufzeiten in der Bewertung von Changes	gemRL_Betr_TI
A_22057	Performance - Betriebsdatenlieferung - Verpflichtung des Anbieters	gemSpec_Perf
A_26175	Performance - Selbstauskunft - Verpflichtung des Anbieters	gemSpec_Perf
A_26178	Performance - Selbstauskunft - Umsetzungszeit zur Änderung des Lieferintervalls	gemSpec_Perf

3.2.2 Anbietererklärung betriebliche Eignung

Sofern in diesem Abschnitt Festlegungen mit Vorgaben zu organisatorischen Maßnahmen wie Prozessen und Strukturvorgaben der Aufbauorganisation sowie der Umgebung verzeichnet sind, muss der Anbieter deren Umsetzung und Beachtung durch eine Anbietererklärung bestätigen bzw. zusagen.

Tabelle 6: Festlegungen zur betrieblichen Eignung "Anbietererklärung"

ID	Bezeichnung	Quelle (Referenz)
TIP1-A_6526-02	Produkttypen: Bereitstellung	C_12020_Anlage
A_18176	Mitwirkungspflichten bei der Einrichtung von Probes des Service Monitorings	gemKPT_Betr
A_20218-01	Versionierung der Konfiguration von Produktinstanzen	gemKPT_Betr
A_20219-01	Versionierung bei Veränderungen der Konfiguration von Produktinstanzen	gemKPT_Betr
A_20220	Festlegung von Konfiguration durch die gematik	gemKPT_Betr
A_20221-01	Rückspielbarkeit bei Veränderungen der Konfiguration von Produktinstanzen	gemKPT_Betr
A_23664	Service Level - Kein Incident der Priorität 1 innerhalb 24 Stunden resultierend aus einem genehmigten Change	gemKPT_Betr
A_23665-01	Service Level - Störungsfreie Kommunikationsbeziehungen ohne resultierenden Incident	gemKPT_Betr
A_24981	Auskunftsfähigkeit bei Verdacht einer Servicebeeinträchtigung im Verantwortungsbereich	gemKPT_Betr
A_26816	Reporting - Frist zur Übermittlung von Datenlieferungen	gemKPT_Betr
TIP1-A_6359-02	Definition der notwendigen Leistung anderer Anbieter durch Anbieter	gemKPT_Betr
TIP1-A_6360-02	Kontrolle bereitgestellter Leistungen durch Anbieter	gemKPT_Betr
TIP1-A_6367-02	Definition eines Business-Servicekatalog der angebotenen TI Services	gemKPT_Betr
TIP1-A_6371-02	2nd-Level-Support: Single Point of Contact (SPOC) für Anbieter	gemKPT_Betr
TIP1-A_6377-02	Koordination von produktverantwortlichen Anbietern und Herstellern	gemKPT_Betr
TIP1-A_6388-02	Bereitstellung eines lokalen IT-Service-Managements durch Anbieter für ihre zu verantwortenden Servicekomponenten	gemKPT_Betr
TIP1-A_6389-02	Erreichbarkeit der 1st-Level (UHD), 2nd-Level (SPOCs) der Anbieter	gemKPT_Betr
TIP1-A_6390-02	Mitwirkung im TI-ITSM durch Anbieter	gemKPT_Betr
TIP1-A_6393-02	Verantwortung für die Weiterleitung von Anfragen	gemKPT_Betr
TIP1-A_6415-02	Fortgeführte Wahrnehmung der Serviceverantwortung bei der Delegation von Aufgaben	gemKPT_Betr
TIP1-A_7261	Erreichbarkeit der TI-ITSM-Teilnehmer untereinander	gemKPT_Betr
TIP1-A_7262	Haupt- und Nebenzeit der TI-ITSM-Teilnehmer	gemKPT_Betr
TIP1-A_7265-05	Serviceleistung der TI-ITSM-Teilnehmer im TI-ITSM-Teilnehmersupport zur Haupt- und Nebenzeit	gemKPT_Betr
TIP1-A_7266	Mitwirkungspflichten im TI-ITSM-System	gemKPT_Betr
A_13575	Change Management - Qualität von RfC	gemRL_Betr_TI
A_17764	Configuration Management - Verwendung CI-ID	gemRL_Betr_TI
A_18405	Incident Management - Erstellung einer Root Cause Analysis durch am Incident beteiligte TI-ITSM-Teilnehmer	gemRL_Betr_TI
A_18406	Incident Management - Nachlieferung zu einer Root Cause Analysis	gemRL_Betr_TI
A_18407-01	Change Management - Unterstützung bei Change-Verifikation	gemRL_Betr_TI
A_24800	Service Level Management - Auskunft Servicebedarf im Rahmen des Service Review	gemRL_Betr_TI
A_24968	Problem Management - Probleme während Lösungsphase als "Pending" kennzeichnen	gemRL_Betr_TI
A_24983	Incident Management - Erstellung einer Root Cause Analysis im Incident - Prio 1 bis 2	gemRL_Betr_TI
A_24984	Incident Management - Erstellung einer Root Cause Analysis im Incident - Prio 3 bis 4	gemRL_Betr_TI
A_25902	Redundanz - Bereitstellung Redundanzkonzept	gemRL_Betr_TI
A_25917	Redundanz - Kontrollierte Validierung des Redundanzkonzept	gemRL_Betr_TI
A_26014	Redundanz - Umsetzung Redundanzkonzept	gemRL_Betr_TI
A_26501	Kommunikation - Benennung von Ansprechpartnern und Kontakten (FULL)	gemRL_Betr_TI
A_26815	Service Level Management - Bereitstellung der Service Level für das Service Level-Review	gemRL_Betr_TI
GS-A_3876	Incident Management - Prüfung auf übergreifenden Incident	gemRL_Betr_TI
GS-A_3884	Incident Management - Festlegung von Dringlichkeit und Auswirkung von übergreifenden Incidents	gemRL_Betr_TI
GS-A_3886-01	Kommunikation - Nutzung des TI-ITSM-Systems bei der Übermittlung eines übergreifenden Vorgangs	gemRL_Betr_TI
GS-A_3917	Audit - Bereitstellung der ITSM-Dokumentation bei Audits	gemRL_Betr_TI
GS-A_3920-01	Koordinierung - Eskalationseinleitung durch den TI-ITSM-Teilnehmer	gemRL_Betr_TI
GS-A_3922	Koordinierung - Mitwirkung bei Taskforces	gemRL_Betr_TI
GS-A_3971	Problem Management - Verifikation vor Schließung eines übergreifenden Problems	gemRL_Betr_TI
GS-A_3984	Problem Management - Service Request zur Bereitstellung der TI-Testumgebung (RU/TU)	gemRL_Betr_TI
GS-A_4085	Kommunikation - Etablierung von Kommunikationsschnittstellen durch die TI-ITSM-Teilnehmer	gemRL_Betr_TI
GS-A_4086	Kommunikation - Erreichbarkeit der Kommunikationsschnittstellen	gemRL_Betr_TI
GS-A_4090	Kommunikation - Kommunikationssprache	gemRL_Betr_TI
GS-A_4100	Service Level Management - Messung der Service Level	gemRL_Betr_TI
GS-A_4101	Service Level Management - Übermittlung der Service Level Messergebnisse	gemRL_Betr_TI
GS-A_4114	Configuration Management - Bereitstellung von TI-Konfigurationsdaten	gemRL_Betr_TI
GS-A_4115	Configuration Management - Datenänderung für TI-Konfigurationsdaten	gemRL_Betr_TI
GS-A_4117	Knowledge Management - Informationsbereitstellung durch TI-ITSM-Teilnehmer	gemRL_Betr_TI
GS-A_4121	Notfall Management - Analyse Auswirkungen möglicher Schadensereignisse auf Sicherheit und Funktion der TI-Services	gemRL_Betr_TI
GS-A_4123	Notfall Management - Entwicklung und Pflege der TI-Notfallvorsorgedokumentation	gemRL_Betr_TI
GS-A_4124	Notfall Management - Umsetzung Vorkehrungen zur TI-Notfallvorsorge	gemRL_Betr_TI
GS-A_4130	Notfall Management - Festlegung der Schnittstellen des EMC	gemRL_Betr_TI
GS-A_4397	Service Level Management - Teilnahme am Service Review	gemRL_Betr_TI
GS-A_4399-01	Configuration Management - Übermittlung von Produktdaten nach Abschluss von autorisierten Normal-Changes	gemRL_Betr_TI
GS-A_4402-01	Change Management - Mitwirkungspflicht bei der Bewertung vom RfC	gemRL_Betr_TI
GS-A_4419	Change Management - Nutzung der Testumgebung (RU/TU)	gemRL_Betr_TI
GS-A_4855-02	Audit - Auditierung von TI-ITSM-Teilnehmern	gemRL_Betr_TI
GS-A_5351	Request Fulfillment - Prüfung von Service Requests	gemRL_Betr_TI
GS-A_5352	Request Fulfillment - Lösung bzw. Bearbeitung des Service Requests	gemRL_Betr_TI
GS-A_5366-01	Change Management - Mitwirkungspflicht der TI-ITSM-Teilnehmer bei der Festsetzung von Standard-Changes	gemRL_Betr_TI
GS-A_5401-01	Kommunikation - Verschlüsselte E-Mail-Kommunikation	gemRL_Betr_TI
GS-A_5402	Kommunikation - Eigenverantwortliches Handeln bei Ausfall von Kommunikationsschnittstellen	gemRL_Betr_TI
GS-A_5588	Problem Management - Abbruch der Problembearbeitung	gemRL_Betr_TI
GS-A_5589	Problem Management - Prüfung auf Verantwortung zur Lösungsunterstützung	gemRL_Betr_TI
GS-A_5590	Request Fulfillment - Nutzung Business-Servicekatalog bei der Erfassung von Service Requests	gemRL_Betr_TI
GS-A_5591	Request Fulfillment - Verifikation des Service Requests	gemRL_Betr_TI
GS-A_5592	Request Fulfillment - Schließung des Service Requests	gemRL_Betr_TI
GS-A_5594	Configuration Management - Identifikation von TI-Konfigurationsdaten	gemRL_Betr_TI
GS-A_5599-01	Change Management - Beschreibung der Verifikation des Changes im RfC	gemRL_Betr_TI
GS-A_5600-01	Change Management - Beschreibung der Verifikation des Changes in Auswirkung auf andere TI-Services im RfC	gemRL_Betr_TI
GS-A_5603	Knowledge Management - Eingangskanal für Informationen von TI-ITSM-Teilnehmern	gemRL_Betr_TI
GS-A_5604	Service Level Management - Bewertung der Messergebnisse	gemRL_Betr_TI
GS-A_5606	Performance Management / Capacity - Unterstützung bei Definition von Kapazitätsanforderungen	gemRL_Betr_TI
GS-A_5607	Servicekatalog Management - Inhalte eines Servicekataloges der angebotenen TI-Services	gemRL_Betr_TI
GS-A_5038	Festlegungen zur Vergabe einer Produktversion	gemSpec_OM
GS-A_5039-01	Änderung der Produktversion bei Änderungen der Produkttypversion	gemSpec_OM
GS-A_5040-01	Änderung der Produktversion bei Produktänderungen außerhalb von Produkttypänderungen	gemSpec_OM
A_22003-01	Performance - Betriebsdatenlieferung v2 - Nachlieferung auf Anforderung	gemSpec_Perf
A_22620	Performance - Betriebsdatenlieferung v2 - Umsetzungszeit für Änderung der Lieferintervalle	gemSpec_Perf
A_22996	Performance - Betriebsdatenlieferung v2 - Zeitpunkte der Übermittlungen	gemSpec_Perf
A_23347-01	Performance - Wartungsfenster - Durchführung	gemSpec_Perf
A_23615	Performance - Wartungsfenster und Ausfall - Ausnahme zur Verfügbarkeitsberechnung bei Wartung	gemSpec_Perf
A_24962	Performance - Servicezeiten des Anbieters basierend auf Produkttypen	gemSpec_Perf
A_26151-01	Redundanz - Lokale Redundanz	gemSpec_Perf
A_27362	Performance - Digitale Patientenrechnung - Verfügbarkeit	gemSpec_Perf
A_27369	Performance - Bestandsdaten - Spezifika Digitale Patientenrechnung	gemSpec_Perf
A_27370	Performance - Bestandsdaten - Spezifika E-Rechnung - Format	gemSpec_Perf
TIP1-A_6437-01	Performance - Datenlieferungen - Aufbewahrungsfrist	gemSpec_Perf

3.2.3 Betriebshandbuch betriebliche Eignung

Der Umfang und Inhalt des Betriebshandbuches ist der Definition in der Richtlinie Betrieb [gemRL_Betr_TI] zu entnehmen.

Tabelle 7: Festlegungen zur betrieblichen Eignung "Betriebshandbuch"

ID	Bezeichnung	Quelle (Referenz)
A_23551	Eigenmonitoring	gemKPT_Betr
A_23552	Verhalten bei Auffälligkeiten oder Anomalien	gemKPT_Betr
A_24799	Change Management - End-to-End-Funktionsprüpfung nach Change	gemRL_Betr_TI
A_25903	Redundanz - Definition inhaltlicher Auszüge aus dem Redundanzkonzept	gemRL_Betr_TI
GS-A_4123	Notfall Management - Entwicklung und Pflege der TI-Notfallvorsorgedokumentation	gemRL_Betr_TI
GS-A_4128	Notfall Management - Bewältigung der TI-Notfälle	gemRL_Betr_TI
GS-A_4129	Notfall Management - Unterstützung bei TI-Notfällen	gemRL_Betr_TI
GS-A_4132	Notfall Management - Durchführung der Wiederherstellung und TI-Notfällen	gemRL_Betr_TI
GS-A_4134	Notfall Management - Auswertungen von TI-Notfällen	gemRL_Betr_TI
GS-A_4136	Notfall Management - Statusinformation bei TI-Notfällen	gemRL_Betr_TI
GS-A_4137	Notfall Management - Dokumentation im TI-Notfall-Logbuch	gemRL_Betr_TI
GS-A_4138	Notfall Management - Erstellung des Wiederherstellungsberichts nach TI-Notfällen	gemRL_Betr_TI
GS-A_4398-01	Change Management - Prüfung auf genehmigungspflichtige Änderung	gemRL_Betr_TI
GS-A_4400-01	Change Management - Request for Change erstellen	gemRL_Betr_TI
GS-A_4407-01	Change Management - Bereitstellung der Dokumentation des Change Managements für genehmigungspflichtige Changes	gemRL_Betr_TI
GS-A_4417-01	Change Management - Stetige Aktualisierung des Change-Datensatzes im TI-ITSM-System	gemRL_Betr_TI
GS-A_4418-01	Change Management - Übermittlung von Abweichungen vom RfC	gemRL_Betr_TI
GS-A_4424-01	Change Management - Umsetzung des Fallbackplans	gemRL_Betr_TI
GS-A_4425-01	Change Management - Übermittlung von Optimierungsmöglichkeiten zur Umsetzung von genehmigten Changes	gemRL_Betr_TI
GS-A_5343-01	Betriebshandbuch - Definition inhaltlicher Auszüge aus dem Betriebshandbuch	gemRL_Betr_TI
GS-A_5361	Change Management - Durchführung von Emergency-Changes durch TI-ITSM-Teilnehmer bei Nichterreichbarkeit des Gesamtverantwortlichen TI	gemRL_Betr_TI
GS-A_5378	Change Management - Durchführung von Emergency-Changes durch TI-ITSM-Teilnehmer	gemRL_Betr_TI
GS-A_5597-01	Change Management - RfC (Sub-Changes) erstellen	gemRL_Betr_TI
GS-A_5600-01	Change Management - Beschreibung der Verifikation des Changes in Auswirkung auf andere TI-Services im RfC	gemRL_Betr_TI
GS-A_5601-01	Change Management - Nachweis der Wirksamkeit eines Changes (Verifikation)	gemRL_Betr_TI
GS-A_5602-01	Change Management - Nachweis der Wirksamkeit eines Changes in Auswirkung auf andere TI-Anwendungen (Verifikation)	gemRL_Betr_TI
GS-A_5606	Performance Management / Capacity - Unterstützung bei Definition von Kapazitätsanforderungen	gemRL_Betr_TI
GS-A_5610-03	Change Management - Vorlaufzeiten in der Bewertung von Changes	gemRL_Betr_TI
GS-A_5611	Change Management - Umsetzung von autorisierten RfC	gemRL_Betr_TI
A_26151-01	Redundanz - Lokale Redundanz	gemSpec_Perf
A_27363	Performance - Digitale Patientenrechnung - Skalierung	gemSpec_Perf

3.3 Festlegungen zur sicherheitstechnischen Eignung

3.3.1 Sicherheitsgutachten

Die in diesem Abschnitt verzeichneten Festlegungen sind Gegenstand der Prüfung der Sicherheitseignung gemäß [gemRL_PruefSichEig]. Das entsprechende Sicherheitsgutachten ist der gematik vorzulegen.

Tabelle 8: Festlegungen zur sicherheitstechnischen Eignung "Sicherheitsgutachten"

ID	Bezeichnung	Quelle (Referenz)
GS-A_2076-01	kDSM: Datenschutzmanagement nach BSI	gemSpec_DS_Anbieter
GS-A_5551-01	Betriebsumgebung in einem Mitgliedstaat der EU bzw. des EWR oder der Schweiz	gemSpec_DS_Anbieter
GS-A_5626	kDSM: Auftragsverarbeitung	gemSpec_DS_Anbieter
A_25910	Digitale Patientenrechnung Fachdienst - Schutz der innerhalb des Fachdienstes transportierten Daten	gemSpec_DiPag_FD
A_25913	Digitale Patientenrechnung Fachdienst - Verbot unbefugter Profilbildung aus Verbindungsdaten	gemSpec_DiPag_FD
A_25914	Digitale Patientenrechnung Fachdienst - Verbot unbefugter Profilbildung aus personenbezogenen Daten	gemSpec_DiPag_FD

3.3.2 Dokumentenprüfung sicherheitstechnische Eignung

Sofern in diesem Abschnitt Festlegungen mit Vorgaben zur Dokumentation organisatorischer und/oder technischer Maßnahmen verzeichnet sind, muss der Anbieter deren Umsetzung und Beachtung durch die Vorlage des entsprechenden Dokuments nachweisen.

Tabelle 9: Festlegungen zur sicherheitstechnischen Eignung "Dokumentenprüfung"

ID	Bezeichnung	Quelle (Referenz)
	Es liegen keine Festlegungen vor

3.3.3 Prozessprüfung sicherheitstechnische Eignung

Sofern in diesem Abschnitt sicherheitsrelevante Festlegungen mit Vorgaben zu organisatorischen Maßnahmen wie Prozessen und Strukturvorgaben verzeichnet sind, muss deren Erfüllung im Rahmen von Prozessprüfungen nachgewiesen werden.

Tabelle 10: Festlegungen zur sicherheitstechnischen Eignung "Prozessprüfung"

ID	Bezeichnung	Quelle (Referenz)
A_27098	Verpflichtung zur Umsetzung des TI Security Standards	gemSpec_DS_Anbieter

3.3.4 Anbietererklärung sicherheitstechnische Eignung

Sofern in diesem Abschnitt Festlegungen verzeichnet sind, muss der Anbieter deren Umsetzung und Beachtung zum Nachweis der sicherheitstechnischen Eignung durch eine Erklärung bestätigen bzw. zusagen.

Tabelle 11: Festlegungen zur sicherheitstechnischen Eignung "Anbietererklärung"

ID	Bezeichnung	Quelle (Referenz)
A_27099	Audits und Sicherheitsanalysen	gemSpec_DS_Anbieter
GS-A_4980-02	Umsetzung der Norm ISO/IEC 27001	gemSpec_DS_Anbieter
GS-A_4981-01	Erreichen der Ziele der Norm ISO/IEC 27001 Annex A	gemSpec_DS_Anbieter
GS-A_4982-01	Umsetzung der Maßnahmen der Norm ISO/IEC 27002	gemSpec_DS_Anbieter
GS-A_4983-01	Umsetzung der Maßnahmen aus dem BSI-Grundschutz	gemSpec_DS_Anbieter
GS-A_5554	Aufrechterhaltung der Informationssicherheit	gemSpec_DS_Anbieter

4 Anhang – Verzeichnisse

4.1 Abkürzungen

Kürzel	Erläuterung
ID	Identifikation
CC	Common Criteria

4.2 Tabellenverzeichnis

Tabelle 1: Dokumente mit normativen Festlegungen
Tabelle 2: Mitgeltende Dokumente und Web-Inhalte
Tabelle 3: Informative Dokumente und Web-Inhalte
Tabelle 4: Festlegungen zur funktionalen Eignung "Anbietererklärung"
Tabelle 5: Festlegungen zur betrieblichen Eignung "Prozessprüfung"
Tabelle 6: Festlegungen zur betrieblichen Eignung "Anbietererklärung"
Tabelle 7: Festlegungen zur betrieblichen Eignung "Betriebshandbuch"
Tabelle 8: Festlegungen zur sicherheitstechnischen Eignung "Sicherheitsgutachten"
Tabelle 9: Festlegungen zur sicherheitstechnischen Eignung "Dokumentenprüfung"
Tabelle 10: Festlegungen zur sicherheitstechnischen Eignung "Prozessprüfung"
Tabelle 11: Festlegungen zur sicherheitstechnischen Eignung "Anbietererklärung"

Version	1.0.0
Revision	1239661
Stand	22.05.2025
Status	freigegeben
Klassifizierung	öffentlich
Referenzierung	gemAnbT_DiPag_FD_ATV_1.0.0