IT-Sicherheitsrichtlinie ist in Kraft: Welche Anforderungen gelten für Praxen?

Auf Arztpraxen kommen beginnend ab April neue verbindliche Anforderungen an die IT-Sicherheit zu. Die gesetzlich vorgeschriebene IT-Sicherheitsrichtlinie der KBV ist am 23. Januar 2021 in Kraft getreten. Sie legt die Anforderungen an die IT-Sicherheit in Arztpraxen fest, die sich nach Praxisgröße und vorhandener IT-Infrastruktur in der Praxis unterscheiden. Ein Überblick.

Die Vertreterversammlung der Kassenärztlichen Bundesvereinigung (KBV) hat am 16. Dezember 2020 die gesetzlich vorgeschriebene Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit, die sogenannte IT-Sicherheitsrichtlinie verabschiedet. Sie ist am 23. Januar in Kraft getreten.

Die 16 Seiten umfassende Richtlinie legt die Sicherheitsanforderungen an Arztpraxen fest. Diese sind in den Anlagen 1 – 5 geregelt. Für alle Vertragsarztpraxen verbindliche Anforderungen finden sich in Anlage 1 und 5. Anlage 2 definiert zusätzliche Anforderungen für Praxen mittlerer Größe, Anlage 3 die für große Praxen. In Anlage 4 finden sich die zusätzlichen Anforderungen an medizinische Großgeräte.

Die Richtlinie beschreibt das Mindestmaß der Maßnahmen, die der Praxisinhaber ergreifen muss, um die IT-Sicherheit zu gewährleisten. Dabei geht es um Punkte wie:

  • Sicherheitsmanagement
  • IT-Systeme
  • Rechnerprogramme
  • mobile Apps und Internetanwendungen
  • das Aufspüren von Sicherheitsvorfällen

Ziel der IT-Sicherheitsrichtlinie

Die Vorgaben sollen dabei helfen, IT-Systeme und sensible Daten in den Arztpraxen noch besser zu schützen. So könnten Patientendaten noch sicherer verwaltet und Risiken wie Datenverlust oder Betriebsausfall minimiert werden.

Anforderungskategorien nach Praxisgröße

Die Anforderungen unterscheiden sich nach Art der Praxis. Dabei gilt:

Praxis: Eine vertragsärztliche Praxis mit bis zu 5 ständig mit der Datenverarbeitung betrauten Personen.

Mittlere Praxis: Eine vertragsärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen.

Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z.B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).

Anforderungen richten sich nach Praxisgröße und IT-Ausstattung

Die Anforderungen richten sich nach der Größe der Praxis (s. Infokasten). Zusätzliche Anforderungen an die IT-Sicherheit gibt es bei der Nutzung von medizinischen Großgeräten wie CT oder MRT und für dezentrale Komponenten der Telematikinfrastruktur (TI), etwa bei der Installation des Konnektors.

Verantwortlich für die Umsetzung der Sicherheitsanforderungen ist der Praxisinhaber. Dabei können sich Praxen von IT-Dienstleistern beraten und unterstützen lassen.

Die Zertifizierung dieser Dienstleister hat die KBV in einer zweiten Richtlinie geregelt. Zertifizierte Dienstleister wird die KBV auf ihrer Internetseite veröffentlichen.

Die Anforderungen gelten ab April 2021 bzw. Januar/Juli 2022. Die einzelnen Punkte werden in der Richtlinie jeweils kurz erläutert (in Anlage 1 - 4). 

Anforderungen mit Frist zum 1. April 2021

Erste Schritte sollen alle Praxen bis 1. April 2021 realisieren, wie zum Beispiel:

  • der Einsatz aktueller Virenschutzprogramme
  • die Dokumentation des internen Netzes anhand eines Netzplanes für die Netzwerksicherheit
  • die sichere Nutzung von Apps, durch Herunterladen aus den offiziellen Appstores (für IOS: „App Store“, für Android: „Google Play Store“) und Konfiguration der Sicherheitseinstellungen dahin, dass keine Apps aus externen Quellen zugelassen werden

Anforderungen mit Frist zum Januar 2022

Anforderungen, die ab Januar 2022 gelten, sind zum Beispiel:

  • die sichere Speicherung lokaler Gesundheitsapp-Daten, d.h. dass nur Apps genutzt werden dürfen, die Dokumente verschlüsselt und lokal abspeichern
  • die Nutzung einer Firewall und regelmäßige Updates
  • die sichere Grundkonfiguration für mobile Geräte wie Smartphones und Tablets

Anforderungen mit Frist zum Juli 2022

Anforderungen, die ab Juli 2022 gelten, für Praxen ab mittlerer Größe, sind zum Beispiel:

  • für Endgeräte mit dem Betriebssystem Windows eine sichere zentrale Authentisierung in Windows-Netzen einsetzen
  • Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten wie Smartphone und Tablet implementieren
  • Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung implementieren

Hintergrund: das Digitale-Versorgung-Gesetz

Der Gesetzgeber hatte mit dem Digitale-Versorgung-Gesetz die KBV beauftragt, eine IT-Sicherheitsrichtlinie für alle Arztpraxen zu entwickeln. Darin sollen die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein. Die Richtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt und wird jährlich aktualisiert.


Unterstützende Materialien

Quelle: Kassenärztliche Bundesvereinigung, Bundesamt für Sicherheit in der Informationstechnik