IT-Sicherheitsrichtlinie - neue Anforderungen an Praxen

Mit der überarbeiteten IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) soll ein besserer Schutz der Praxen vor Cyberkriminalität erreicht werden. Dazu wurden neben gesetzlichen Anforderungen auch erstmals Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssicherheit in die Richtlinie aufgenommen. Die neuen Anforderungen sind spätestens ab 1. Oktober 2025 umzusetzen.

Wozu dient die IT-Sicherheitsrichtlinie

Bereits seit dem Jahr 2021 unterstützt die IT-Sicherheitsrichtlinie der KBV die niedergelassenen Ärzte und Psychotherapeuten dabei, entsprechende Vorkehrungen für ihre Praxen zu treffen. Sie enthält Voraussetzungen und Anforderungen für die IT-Sicherheit, die Praxen erfüllen müssen. Eine Differenzierung der Anforderungen erfolgt nach Praxisgröße und Ausstattung. Die Richtlinie wurde nach einer gesetzlichen Vorgabe im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und nun aufgrund neuer gesetzlicher Vorgaben aktualisiert.

Zur Basis-Infrastruktur für den Schutz der Praxis-IT gehören nach wie vor insbesondere eine Firewall, ein aktueller Virenschutz, regelhafte Updates und Backups sowie eine geeignete Netzwerksicherheit.

Was ist das Ziel der überarbeiteten IT-Sicherheitsrichtline?

Ziel ist es, sensible Daten noch besser zu schützen. „Medizinische Einrichtungen sind zunehmend Ziel von Hacker-Angriffen und auch die Bandbreite der Methoden, mit denen Kriminelle arbeiten, wächst“, sagte KBV-Vorstandsmitglied, Frau Dr. Sibylle Steiner. Deshalb müssten auch die Schutzmaßnahmen immer wieder überprüft und angepasst werden, um unbefugte Zugriffe auf die Praxis-IT und damit auf die besonders sensiblen Patienten- und Abrechnungsdaten zu verhindern.

Was ist neu?

Neu in der IT-Sicherheitsrichtlinie sind daher insbesondere Regelungen, die das Praxispersonal betreffen. So sollen die Mitarbeiterinnen und Mitarbeiter in der Praxis, vom Beginn an, in den sicheren Umgang mit der Praxis-IT eingewiesen, sensibilisiert und regelmäßig zur Informationssicherheit geschult werden. So soll z. B. der Umgang mit Spam bei E-Mails in der Praxis klar geregelt werden, denn schon ein unachtsamer Klick auf einen E-Mail-Anhang kann die gesamte Praxis-IT in Gefahr bringen.

Weiterhin sind Regelungen zum Umgang mit IT-Dienstleistern oder externen Personal aufgenommen worden. So muss kurzfristig oder einmalig eingesetztes Fremdpersonal, z.B. bei Arbeiten in sicherheitsrelevanten Bereichen beaufsichtigt werden.

Auch die Regelungen zur Datensicherung in der Praxis wurden überarbeitet. So wird nun nicht nur auf die Notwendigkeit einer Datensicherung hingewiesen, sondern auch geregelt das Verantwortliche für die Datensicherung benannt werden und getestet werden soll, ob gesicherte Daten im Fall der Fälle auch wiederhergestellt werden können.

Da ein großer Teil der unberechtigten Zugriffe auf Programme und Systeme auf fehlende Updates bei der genutzten Software zurückgeht, wurde auch dieser Bereich in der IT-Sicherheitsrichtlinie ausführlicher geregelt. Updates müssen demnach zeitnah installiert werden. Software oder Betriebssysteme die nicht mehr mit Updates versorgt werden, müssen abgelöst oder vom allgemeinen Netzwerk getrennt betrieben werden.

Ab wann sollen die neuen Vorgaben umgesetzt werden?

Die neuen Anforderungen sind spätestens ab 1. Oktober 2025 umzusetzen, ein halbes Jahr nach Inkrafttreten der aktualisierten IT-Sicherheitsrichtlinie von Anfang April. Alle Anforderungen, die Praxen bereits seit 2021 erfüllen müssen, gelten ununterbrochen weiter.

Informationen und Musterdokumente für Praxen

Auf einer Online-Plattform hat die KBV alle Anforderungen aufgeführt. Dort stehen auch Musterdokumente bereit, um den Aufwand für Praxen gering zu halten, z. B. beim Erstellen einer praxiseigenen Richtlinie zur IT-Sicherheit.

Geplant ist auch, Informations- und Schulungsmaterial bereitzustellen, um die Praxisinhaberinnen und Praxisinhaber zu unterstützen. Auch eine Serie in den PraxisNachrichten zu wichtigen Aspekten der IT-Sicherheit ist angedacht. Diese wird voraussichtlich im Mai starten. Außerdem wird die KBV das Serviceheft „IT-Sicherheit“ aus der Reihe PraxisWissen aktualisieren.