IT-Sicherheitsrichtlinie

Die IT-Sicherheitsrichtlinie legt technische und organisatorische Maßnahmen fest. Sie schreibt beispielsweise vor, wie Sie mobile Geräte und PCs vor Schadsoftware schützen, wie Sie Backups anlegen oder den Netzwerkzugang absichern. Auch die Verschlüsselung sensibler Daten oder die sichere Verwaltung von Passwörtern wird gefordert. 

Neu hinzugekommen sind unter anderem Vorgaben zur strukturierten IT-Dokumentation, zur regelmäßigen Aktualisierung von Software (Patch-Management) sowie zur Vertragspflicht mit externen IT-Dienstleistern, die zur Einhaltung der Richtlinie verpflichtet werden müssen. Auch Testwiederherstellungen von Backups sind nun vorgeschrieben.

Viele dieser Punkte dürften Ihnen aus dem Datenschutz bereits bekannt sein. Durch die Richtlinie werden sie nun präziser und verbindlicher.
 

Geltung seit dem 2. Februar 2021
Alle bestehenden Forderungen mussten seit dem 1. Juli 2022 vollständig erfüllt sein. Die erweiterten Anforderungen aus der Fassung von 2025 gelten ab dem 2. Januar 2026.

Keine Ausnahmen für kleine Praxen
Die Richtlinie unterscheidet zwar zwischen unterschiedlichen Praxisgrößen, alle Praxen benötigen aber ein grundlegendes Sicherheitsniveau. Auch kleinere Praxen müssen nun bestimmte neue Anforderungen (z. B. Dokumentation und Patch-Management) umsetzen.

Praxisgröße entscheidet über den Umfang

• Bis zu fünf Mitarbeitende (die mit Daten arbeiten): nur die Vorgaben aus Anlage 1 und 5 (bzw. 4 bei speziellen Großgeräten).
• Sechs bis 20 Mitarbeitende: zusätzlich Vorgaben aus Anlage 2.
• Über 20 Mitarbeitende: zusätzlich Anlage 3.

Nutzen Sie bestimmte Geräte (z. B. Smartphones) oder technische Lösungen (z. B. Cloud-Dienste) nicht, entfallen die betreffenden Anforderungen. Ob und wie viele Sicherheitsmaßnahmen Sie tatsächlich umsetzen müssen, hängt also stark vom Umfang Ihrer IT-Ausstattung ab.

1. Mehr Datenschutz: Indem Sie Vorgaben zur Verschlüsselung, Passwortsicherheit und zum Schutz vor Schadsoftware befolgen, erfüllen Sie automatisch wichtige Teile der DSGVO.
2. Praktische Sicherheit: Ein Angriff mit Erpressersoftware oder der Verlust wichtiger Patientendaten kann Ihre Praxis schnell lahmlegen. Sichere Systeme beugen diesem Risiko vor.
3. Klare Strukturen: In vielen Praxen gibt es kein festes IT-Konzept. Die Richtlinie hilft dabei, Verantwortlichkeiten zu definieren, regelmäßige Prüfungen einzuführen und Systeme dokumentiert zu verwalten.
4. Hinweis zur Finanzierung: Eine finanzielle Förderung ist zurzeit nicht vorgesehen. Dennoch lohnt es sich, jetzt zu investieren: Sicherheitslücken ziehen oft hohe Folgekosten nach sich.

1. Ist-Analyse: Verschaffen Sie sich einen Überblick: Welche Geräte, Programme und Vernetzungen gibt es in Ihrer Praxis? Wer kümmert sich bisher darum?
2. Maßnahmen festlegen: Prüfen Sie anhand der Richtlinie, welche Anforderungen auf Ihre Praxisgröße und Ihre IT-Nutzung zutreffen. Legen Sie dann fest, welche Maßnahmen bis wann umgesetzt werden.
3. Fortbildungen besuchen: Vertiefen Sie Ihr Wissen zum Beispiel in den regelmäßig angebotenen Schulungen. Hier erhalten Sie praxistaugliche Tipps zur Umsetzung. Aktuelle Termine finden Sie oben auf dieser Seite oder im Fortbildungskalender(interner Link).
4. Dienstleister einbeziehen: Die Richtlinie können Sie als Praxisinhaberin bzw. -inhaber selbst prüfen und umsetzen. Bei Bedarf können Sie aber auch auf externe Hilfe zurückgreifen – etwa durch einen lokalen Dienstleister oder einen durch die KBV zertifizierten Anbieter. Neu ist: IT-Dienstleister müssen nun vertraglich zur Einhaltung der Richtlinie verpflichtet werden. Klären Sie im Vorfeld, welche Leistungen übernommen werden und wer wofür verantwortlich ist.

KZBV-Informationen zur IT-Sicherheitsrichtlinie (externer Link)
Leitfaden der KZBV zur IT-Sicherheitsrichtlinie (interner Link)
IT-Sicherheitsrichtlinie (interner Link)
Verzeichnis der zertifizierten Dienstleister (externer Link)