IT-Sicherheitsrichtlinie ist in Kraft: Welche Anforderungen gelten für Praxen?
Auf Arztpraxen kommen beginnend ab April neue verbindliche Anforderungen an die IT-Sicherheit zu. Die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie der KBV ist am 23. Januar 2021 in Kraft getreten. Sie legt die Anforderungen an die IT-Sicherheit in Arztpraxen fest, die sich nach Praxisgröße und vorhandener IT-Infrastruktur in der Praxis unterscheiden. Ein Überblick.
Die Vertreterversammlung der Kassenärztlichen Bundesvereinigung (KBV) hat am 16. Dezember 2020 die gesetzlich vorgeschriebene Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit, die sogenannte IT-Sicherheitsrichtlinie verabschiedet. Sie ist am 23. Januar in Kraft getreten.
Die 16 Seiten umfassende Richtlinie legt die Sicherheitsanforderungen an Arztpraxen fest. Diese sind in den Anlagen 1 – 5 geregelt. Für alle Vertragsarztpraxen verbindliche Anforderungen finden sich in Anlage 1 und 5. Anlage 2 definiert zusätzliche Anforderungen für Praxen mittlerer Größe, Anlage 3 die für große Praxen. In Anlage 4 finden sich die zusätzlichen Anforderungen an medizinische Großgeräte.
Die Richtlinie beschreibt das Mindestmaß der Maßnahmen, die der Praxisinhaber ergreifen muss, um die IT-Sicherheit zu gewährleisten. Dabei geht es um Punkte wie:
- Sicherheitsmanagement
- IT-Systeme
- Rechnerprogramme
- mobile Apps und Internetanwendungen
- das Aufspüren von Sicherheitsvorfällen
Ziel der IT-Sicherheitsrichtlinie
Die Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Arztpraxen noch besser zu schützen. So könnten Patientendaten noch sicherer verwaltet und Risiken wie Datenverlust oder Betriebsausfall minimiert werden.
Anforderungskategorien nach Praxisgröße
Die Anforderungen unterscheiden sich nach Art der Praxis. Dabei gilt:
Praxis: Eine vertragsärztliche Praxis mit bis zu 5 ständig mit der Datenverarbeitung betrauten Personen.
Mittlere Praxis: Eine vertragsärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen.
Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z.B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).
Anforderungen richten sich nach Praxisgröße und IT-Ausstattung
Die Anforderungen richten sich nach der Größe der Praxis (s. Infokasten). Zusätzliche Anforderungen an die IT-Sicherheit gibt es bei der Nutzung von medizinischen Großgeräten wie CT oder MRT und für dezentrale Komponenten der Telematikinfrastruktur (TI), etwa bei der Installation des Konnektors.
Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Praxisinhaber. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen.
Die Zertifizierung dieser Dienstleister hat die KBV in einer zweiten Richtlinie geregelt. Zertifizierte Dienstleister wird die KBV auf ihrer Internetseite veröffentlichen.
Die Anforderungen gelten ab April 2021 bzw. Januar/Juli 2022. Die einzelnen Punkte werden in der Richtlinie jeweils kurz erläutert (in Anlage 1 - 4).
Anforderungen mit Frist zum 1. April 2021
Erste Schritte sollen alle Praxen bis 1. April 2021 realisieren, wie zum Beispiel:
- der Einsatz aktueller Virenschutzprogramme
- die Dokumentation des internen Netzes anhand eines Netzplanes für die Netzwerksicherheit
- die sichere Nutzung von Apps, durch Herunterladen aus den offiziellen Appstores (für IOS: „App Store“, für Android: „Google Play Store“) und Konfiguration der Sicherheitseinstellungen dahin, dass keine Apps aus externen Quellen zugelassen werden
Anforderungen mit Frist zum Januar 2022
Anforderungen, die ab Januar 2022 gelten, sind zum Beispiel:
- die sichere Speicherung lokaler Gesundheitsapp-Daten, d.h. dass nur Apps genutzt werden dürfen, die Dokumente verschlüsselt und lokal abspeichern
- die Nutzung einer Firewall und regelmäßige Updates
- die sichere Grundkonfiguration für mobile Geräte wie Smartphones und Tablets
Anforderungen mit Frist zum Juli 2022
Anforderungen, die ab Juli 2022 gelten, für Praxen ab mittlerer Größe, sind zum Beispiel:
- für Endgeräte mit dem Betriebssystem Windows eine sichere zentrale Authentisierung in Windows-Netzen einsetzen
- Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten wie Smartphone und Tablet implementieren
- Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung implementieren
Hintergrund: das Digitale-Versorgung-Gesetz
Der Gesetzgeber hatte mit dem Digitale-Versorgung-Gesetz die KBV beauftragt, eine IT-Sicherheitsrichtlinie für alle Arztpraxen zu entwickeln. Darin sollen die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein. Die Richtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und wird jährlich aktualisiert.
Unterstützende Materialien
- Die KBV stellt für Ärzte auf der Online-Plattform https://hub.kbv.de/display/itsrl Informationen und Umsetzungshinweise zu der Richtlinie bereit, die kontinuierlich ergänzt werden.
- Musterdokumente zu bestimmten Aspekten der Sicherheitsrichtlinie stehen dort zum Download zur Verfügung, z.B. ein Muster-Netzplan oder eine Muster-Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten.
- Ab Mitte Februar bietet die KBV über ihr Fortbildungsportal Online-Schulungen für Ärzte und Psychotherapeuten an, für die CME-Punkte erworben werden können.
Quelle: Kassenärztliche Bundesvereinigung, Bundesamt für Sicherheit in der Informationstechnik
