IT-Sicherheitsrichtlinie nach §390 SGB V
IT-Sicherheitsrichtlinie nach §390 SGB V
Die fortschreitende Digitalisierung spielt auch im Gesundheitswesen eine zentrale Rolle. In Ihrer Praxis stehen zunehmend digitale Prozesse und die sichere Vernetzung mit anderen Leistungserbringern im Mittelpunkt Ihrer ärztlichen Tätigkeit. Vor diesem Hintergrund wurde eine gesetzliche Grundlage geschaffen, nach der die Kassenärztliche Bundesvereinigung (KBV) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit (IT-Sicherheitsrichtlinie) erlassen hat.
Die erste Version der Richtlinie trat bereits im Jahr 2021 in Kraft und wurde im Jahr 2025 umfassend überarbeitet. Die bisherigen Vorgaben gelten weiter, neue Anforderungen, die ab dem 1. April 2025 eingeführt wurden, müssen bis zum 1. Oktober 2025 vollständig umgesetzt sein.
Ziele der Richtlinie
Die IT-Sicherheitsrichtlinie definiert eine grundlegende IT-Sicherheitsinfrastruktur, die jede Praxis umsetzen muss, um IT-Systeme, Patientendaten und Arbeitsprozesse wirksam zu schützen. Dazu zählen u. a.:
- der Einsatz einer Firewall (Hardware-basiert empfohlen)
- Antivirenprogramme mit Echtzeitschutz
- regelmäßige Software-Updates und Patches
- tägliche Datensicherungen (Backups)
- Dokumentation und Schulung von Mitarbeitenden zur Informationssicherheit
Ein besonderes Augenmerk liegt in der überarbeiteten Version auf dem Praxispersonal: Dieses soll noch intensiver für IT-Sicherheit sensibilisiert und regelmäßig geschult werden. Die Verantwortung für die Umsetzung und Einhaltung liegt stets bei der Praxisleitung.
Anforderungen für alle Praxen
- Vertragsärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen.
- Anforderungen für alle Praxen
Mittle Praxen
- Es arbeiten sechs bis zwanzig ständig mit der Datenverarbeitung betraute Personen in der vertragsärztlichen/-psychotherapeutischen Praxis.
- Zusätzliche Anforderungen für mittlere Praxen
Großpraxen
- Es arbeiten über zwanzig ständig mit der Datenverarbeitung betraute Personen in der Praxis, die in einem über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig sind (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore etc.)
- Zusätzliche Anforderungen für große Praxen
Medizinische Großgeräte
- Praxen, die bspw. folgende Geräte im Einsatz haben: u. a. Röntgengeräte, CT, MRT, PET, Linearbeschleuniger, Herzkatheter-Messplätze, Dialysegeräte, Gammakameras oder Herz-Lungen-Maschinen
- Zusätzliche Anforderungen für Medizinische Großgeräte
Cyberversicherung
Zusätzlich zur IT-Sicherheitsrichtlinie können Sie Ihre Praxis- und Patientendaten vor weiteren Schadenfällen absichern. Hier können Cyberversicherungen einen erweiterten Schutz Ihrer Daten bieten.
In einem Schadenfall (IT-Ausfall, Schadsoftware, Bedienungsfehler, vorsätzliche Manipulation etc.) kann eine Cyberversicherung die Kosten für Sachverständige, externe Berater, Krisenmanager, Juristen, Presse-/Medienexperten, Call-Center erstatten, Schadenersatz leisten oder auch den Ertragsausfall nach einer Betriebsunterbrechung kompensieren. Des Weiteren stehen Ihnen meist Ansprechpartner zur Verfügung, die im Notfall schnell Hilfe leisten und Ihnen das weitere Vorgehen bei einem tatsächlichen Schadensfall erläutern. Hierzu ist es nützlich, die einzelnen Leistungen und Pflichten vor Vertragsabschluss von verschiedenen Anbietern ein zu holen und zu vergleichen. Die einzelnen genauen Pflichten und Leistungen sind vor Vertragsabschluss mit der Versicherung zu klären. Da es bei den Verträgen und Rahmenbedingungen durchaus Unterschiede geben kann, sollten Sie mehrere Angebote einholen und vergleichen.
