IT-Sicherheitsrichtlinie nach §390 SGB V
IT-Sicherheitsrichtlinie nach §390 SGB V
In Arzt- und Psychotherapiepraxen nehmen digitale Anwendungen, elektronische Dokumentation und die Vernetzung mit anderen Leistungserbringern stetig zu. Damit steigen zugleich die Anforderungen an den Schutz sensibler Daten und an die Sicherheit der eingesetzten IT-Systeme. Vor diesem Hintergrund wurde eine bundesweit geltende IT-Sicherheitsrichtlinie geschaffen, die von der Kassenärztlichen Bundesvereinigung (KBV) in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet wurde.
Die Richtlinie gilt erstmals seit 2021 und wurde 2025 umfassend aktualisiert. Bereits vorhandene Verpflichtungen bleiben bestehen. Ergänzende Anforderungen, die seit dem 1. April 2025 gelten, müssen seit dem 1. Oktober 2025 vollständig umgesetzt sein.
Ziele der Richtlinie
Ziel der IT-Sicherheitsrichtlinie ist es, ein verbindliches Mindestniveau an IT-Sicherheit in allen Praxen sicherzustellen. Sie legt fest, welche technischen und organisatorischen Maßnahmen erforderlich sind, um Praxis-IT, Patientendaten und interne Arbeitsabläufe wirksam vor unbefugtem Zugriff, Datenverlust und Cyberangriffen zu schützen. Gleichzeitig dient sie als Orientierungsrahmen für Praxisinhaber, um zu erkennen welche Vorkehrungen konkret zu treffen sind.
Zu den grundlegenden Schutzmaßnahmen gehören insbesondere:
- der Einsatz einer Firewall, vorzugsweise als eigenständige Hardwarelösung,
- aktuelle Virenschutzprogramme mit permanentem Echtzeitschutz,
- regelmäßige Aktualisierungen von Betriebssystemen und Anwendungen,
- tägliche Sicherung der Datenbestände,
- die strukturierte Dokumentation der Sicherheitsmaßnahmen sowie
- die regelmäßige Schulung aller Mitarbeitenden zum sicheren Umgang mit IT-Systemen und Informationen.
Anforderungen für alle Praxen
- Vertragsärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.
- Anforderungen für alle Praxen
- Anforderungen für Dezentrale Komponenten der Telematik Infrastruktur
Mittle Praxen
- Es arbeiten sechs bis zwanzig ständig mit der Datenverarbeitung betraute Personen in der vertragsärztlichen/-psychotherapeutischen Praxis.
- Zusätzliche Anforderungen für mittlere Praxen
Großpraxen
- Es arbeiten über zwanzig ständig mit der Datenverarbeitung betraute Personen in der Praxis, die in einem über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig sind (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore etc.)
- Zusätzliche Anforderungen für große Praxen
Medizinische Großgeräte
- Praxen, die bspw. folgende Geräte im Einsatz haben: u. a. Röntgengeräte, CT, MRT, PET, Linearbeschleuniger, Herzkatheter-Messplätze, Dialysegeräte, Gammakameras oder Herz-Lungen-Maschinen
- Zusätzliche Anforderungen für Medizinische Großgeräte
Cyberversicherung
Eine Cyberversicherung kann Praxen im Falle eines IT-Sicherheitsvorfalls finanziell entlasten. Dazu zählen beispielsweise Systemausfälle, Schadsoftware, Bedienungsfehler oder vorsätzliche Manipulationen. Je nach Vertrag übernimmt die Versicherung unter anderem Kosten für externe Fachleute wie IT-Forensiker, Berater, Krisenmanager, Juristen oder Presse- und Medienexperten. Auch Aufwendungen für Callcenter-Dienste, Schadenersatzforderungen sowie Umsatzeinbußen infolge einer Betriebsunterbrechung können abgedeckt werden.
In der Regel stellen Versicherer zudem Notfallkontakte bereit, die im Ernstfall kurzfristig Unterstützung leisten, etwa über Service-Hotlines, IT-Sicherheitsspezialisten oder Forensik-Teams.
Welche Leistungen im Einzelnen enthalten sind und welche Pflichten der Versicherungsnehmer hat, variiert je nach Anbieter und Tarif. Daher sollten die Vertragsbedingungen vor Abschluss sorgfältig geprüft und mehrere Angebote miteinander verglichen werden.
