IT-Sicherheitsrichtlinie der KBV
Die IT-Sicherheitsrichtlinie der KBV auf der Rechtsgrundlage nach § 390 SGB V regelt die Anforderungen zur Gewährleistung der Informationssicherheit in der vertragsärztlichen Versorgung für die Praxen von Vertragsärzten und Psychotherapeuten. Bereits seit 2021 unterstützt die IT-Sicherheitsrichtlinie die niedergelassenen Ärzte und Psychotherapeuten dabei, entsprechende Vorkehrungen für ihre Praxen zu treffen. Sie wurde von der KBV aufgrund eines gesetzlichen Auftrags erstellt und zum 1. April 2025 aktualisiert.
Sie gibt verbindliche Maßnahmen vor, worauf die in den Praxen eingesetzen IT-Systeme, Programme, mobile Apps und Internetanwendungen zu überprüfen sind. Damit soll die Sicherheit der Komponenten und Dienste in den Praxen als Bestandteil der Telematikinfrastruktur gewährleistet werden.
Die Richtlinie wird im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und wird jährlich an den aktuellen Stand der Technik und an geänderte Gefährdungspotentiale für die Anwendungen in den Praxen angepasst. Sie ist weiterhin aus den Pflichten der Praxeninhaber nach Art. 32 “Sicherheit der Verarbeitung“ nach der Datenschutzgrundverordnung (DSGVO) seit Mai 2018 abgeleitet. Die Richtlinie hat insofern den Anspruch bestehenden Vorgaben zur Informationssicherheit zu konkretisieren und praxistauglich zu machen.
Die neuen Anforderungen sind spätestens ab 1. Oktober 2025 umzusetzen, ein halbes Jahr nach Inkrafttreten der aktualisierten Richtlinie Anfang April. Alle Anforderungen, die Praxen bereits seit 2021 erfüllen müssen, gelten ununterbrochen weiter.
Virenschutz, Firewall, Sperrcodes: Welche konkreten Sicherheitsmaßnahmen muss eine Praxis ergreifen, um die Anforderungen der IT-Sicherheitsrichtlinie zu erfüllen? Einen Überblick und weiterführende Informationen zur IT-Sicherheitsrichtlinie werden durch die KBV bereitgestellt.
Die IT-Sicherheitsrichtlinie besteht insgesamt aus fünf Anlagen, die sich nach der Praxisgröße (kleine Praxis mit 1-5 Personen, mittlere Praxis mit 6-20 Personen und große Paxis mit 21 und mehr Personen) sowie den eingesetzten Geräten oder Komponenten gliedern. Die Anlagen sind auf der zentralen Online-Plattform der KBV abrufbar.
Praxen können sich beim Umsetzen der IT-Sicherheitsrichtlinie von IT-Dienstleistern beraten und unterstützen lassen. Die IT-Dienstleister haben dabei die Möglichkeit sich speziell auf die Umsetzung der Maßnahmen in den Praxen zertifizieren zu lassen. Die Zertifizierung dieser Dienstleister hat die KBV in einer separaten Richtlinie geregelt. Zertifizierte Dienstleister veröffentlicht die KBV in dem Verzeichnis zertifizierter Dienstleister.