Neue IT-Sicherheits-Verpflichtungen für Praxen ab 1. Oktober 2025
Die KBV-IT-Sicherheitsrichtlinie wurde überarbeitet. Die neue Fassung tritt am 01.10.2025 in Kraft und ist dann für alle vertragsärztlichen und vertragspsychotherapeutischen Praxen verpflichtend umzusetzen.
30.09.2025
Die KBV-IT-Sicherheitsrichtlinie wurde überarbeitet. Die neue Fassung tritt am 01.10.2025 in Kraft und ist dann für alle vertragsärztlichen und vertragspsychotherapeutischen Praxen verpflichtend umzusetzen.
Kernpunkte der neuen Anforderungen:
-
Verbindliche Schulungen für alle Praxismitarbeiter zu IT-Sicherheit.
-
Aktualisierte Mindestanforderungen an Firewalls, Virenschutz und Netzwerksicherheit.
-
Regelmäßige Sicherheitsaudits / Protokollierungen von Zugriffen.
-
Verpflichtung für externe IT-Dienstleister, die neuen Vorgaben schriftlich zu bestätigen (Vertrag/Verpflichtungserklärung).
-
Passwort- und Zugangsregelungen müssen strenger umgesetzt werden (z. B. Rollen- und Rechtekonzepte).
-
Sicherheitskonzept und Notfallplan müssen schriftlich vorliegen und jährlich geprüft werden.
Diese Pflichten gelten praxisgrößenabhängig gestaffelt, d. h. Einzelpraxen haben weniger Anforderungen als große MVZ, aber alle müssen mindestens die Basispflichten erfüllen.
Vergleich der wichtigsten alten vs. neuen Anforderungen im Überblick:
Bereich | Bereits bisher gefordert | Neu / zusätzlich ab 1. Oktober 2025 (oder spätestens dann umzusetzen) |
---|---|---|
Mitarbeiter / Schulung / Sensibilisierung
|
Mitarbeitende sollen mit IT-Sicherheit vertraut sein (z. B. Schulung nach Möglichkeit)
|
Jetzt verpflichtende regelmäßige Schulungen zur Informationssicherheit / Sensibilisierung des Personals
|
Technische Mindestmaßnahmen
|
Firewall, Virenschutz, Updates, Backups, Netzwerksicherheit etc.
|
Diese bestehen weiter, aber Anforderungen werden konkretisiert (z. B. strengere Vorgaben zur Absicherung von Telematikinfrastruktur-Komponenten, Umgang mit mobilen Endgeräten)
|
Externe Dienstleister
|
Dienstleister mussten gewisse Sicherheitsaspekte beachten
|
Pflicht, dass externe IT-Dienstleister, die an der Praxis-IT wirken, verbindlich die Vorgaben einhalten (Verpflichtungserklärung, vertragliche Regelung)
|
Praxisorganisation / Dokumentation
|
Konzepte zur Pflege, Zutrittsregelung, Protokollierung etc.
|
Dokumentiertes Sicherheitskonzept, Notfallplan, klare Verantwortlichkeiten intern
|
Praxisgröße / gestaffelte Anforderungen
|
Je nach Größe der Praxis waren Abstufungen (klein, mittel, groß) bereits vorgesehen
|
Ausweitung und Konkretisierung der gestaffelten Anforderungen. Kleine Praxen haben geringere Mindestpflichten, mittlere und große Praxen müssen zusätzliche Anlagen übernehmen
|
Komponenten der Telematikinfrastruktur (TI)
|
TI-Komponenten mussten sicher betrieben werden
|
Anforderungen an TI-Komponenten präziser gefasst: Updates zeitnah, sichere Administrationsdaten, verschlüsselte Kommunikation etc.
|
Die KBV stellt dafür ein aktualisiertes Praxishandbuch und Checklisten zur Verfügung; damit kann jede Praxis prüfen, ob sie alle Punkte erfüllt.