Neue IT-Sicherheitsrichtlinie 2025: Das müssen Arztpraxen jetzt beachten

Ab April 2025 gelten neue IT-Sicherheitsvorgaben für Vertragsarztpraxen! Schulungen, sichere Prozesse und technische Mindeststandards stehen im Fokus. Bis Oktober müssen die Änderungen umgesetzt sein. Welche neuen Pflichten für Ihre Praxis bestehen und wie Sie sich vorbereiten können, erfahren Sie im Blog.

 

 

Die Digitalisierung im Gesundheitswesen schreitet weiter voran – und damit steigen auch die Anforderungen an die IT-Sicherheit in Arztpraxen. Zum 1. April 2025 hat die Kassenärztliche Bundesvereinigung (KBV) ihre IT-Sicherheitsrichtlinie aktualisiert. Ziel: Patientendaten besser schützen, Cyberangriffe abwehren und Verluste durch technische Ausfälle minimieren.

Die Richtlinie wurde auf gesetzlicher Grundlage und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) überarbeitet. Sie ersetzt nicht die bisherigen Vorgaben, sondern ergänzt und konkretisiert sie – insbesondere im Hinblick auf den Faktor Mensch und auf organisatorische Abläufe.

 

Umsetzungsfrist: spätestens bis 1. Oktober 2025

Arzt- und Psychotherapeutenpraxen müssen die neuen Anforderungen innerhalb eines halben Jahres nach Inkrafttreten, also bis spätestens 1. Oktober 2025, umgesetzt haben.

 

Warum eine neue IT-Sicherheitsrichtlinie nötig war

„Medizinische Einrichtungen sind zunehmend Ziel von Hacker-Angriffen“, betont KBV-Vorstandsmitglied Dr. Sibylle Steiner. Deshalb sei es unerlässlich, IT-Sicherheitsmaßnahmen regelmäßig zu überprüfen und anzupassen. Vor allem die Methoden von Cyberkriminellen würden sich ständig weiterentwickeln – und damit auch die Risiken für Praxen.

Die aktualisierte Richtlinie berücksichtigt neue gesetzliche Anforderungen – insbesondere aus dem Digital-Gesetz –, das unter anderem den Bereich der Mitarbeitersensibilisierung und Schulungen zur Informationssicherheit stärker in den Fokus rückt.

IT-Sicherheit beginnt bei den Menschen, die sie täglich anwenden. Darum gelten ab sofort strengere Vorgaben für das Training und die Sensibilisierung des Praxispersonals:

  • Regelmäßige Schulungen zu IT-Sicherheit für das gesamte Team (Anlage 1, Nr. 6)
     
  • Neue Mitarbeitende müssen beim Einstieg über bestehende Sicherheitsregelungen informiert und in die Nutzung der Praxis-IT eingewiesen werden (Nr. 1)
     
  • Alle Mitarbeitenden sind entsprechend ihrer Aufgaben und Zuständigkeiten zur Informationssicherheit zu sensibilisieren (Nr. 10)
     
  • Die Praxis muss interne Regelungen schaffen, um das Wissen regelmäßig aufzufrischen und auf aktuelle Bedrohungen zu reagieren
     

Die gute Nachricht: Wie diese Schulungen gestaltet werden, bleibt der Praxisleitung überlassen – ob durch interne Schulungen, E-Learning oder externe Fortbildungen.

E-Mail-Kommunikation bleibt einer der häufigsten Einfallstore für Schadsoftware. Die Richtlinie fordert daher klare Verhaltensregeln:

  • Verdächtige E-Mails (Spam, Phishing) sind zu ignorieren und zu löschen
     
  • Links in unbekannten Nachrichten dürfen nicht angeklickt werden
     
  • Auf solche E-Mails darf unter keinen Umständen geantwortet werden (Nr. 41)
     

Die Regelung dient insbesondere dazu, Phishing-Attacken, Identitätsdiebstahl und die Verbreitung von Schadsoftware zu verhindern.

Verlässt eine Person die Praxis – sei es durch Ruhestand, Jobwechsel oder aus anderen Gründen –, gelten ab sofort strikte Anforderungen zur Sicherheit der Datenzugänge:

  • Rückgabe von Geräten, Schlüsseln, Ausweisen und Unterlagen muss dokumentiert werden
     
  • Alle bekannten Zugangsdaten und Passwörter sind unverzüglich zu ändern oder zu löschen (Nr. 2)
     

Dieser Punkt ist entscheidend, um ungewollten Zugriff auf Systeme und Patientendaten durch ehemalige Mitarbeitende zu verhindern.

Immer mehr Praxen greifen auf externe IT-Dienstleister oder Techniker zurück. Auch hier stellt die Richtlinie klare Anforderungen:

  • Zugriffsrechte dürfen nur im notwendigen Umfang vergeben werden
     
  • Vertrauliche Informationen dürfen nur nach schriftlicher Vertraulichkeitsvereinbarung weitergegeben werden (Nr. 4)
     
  • Externe Personen, die kurzfristig und sicherheitskritisch tätig werden, müssen beaufsichtigt werden
     
  • Dienstleister sind über interne Sicherheitsvorgaben zu informieren und zur Einhaltung verpflichtet (Nr. 3)
     

Gerade bei Wartungsarbeiten oder Notfalleinsätzen müssen die Sicherheitsstandards vollständig gewahrt bleiben.

Technische Anforderungen bleiben unverändert wichtig

Neben den neuen organisatorischen Maßnahmen gelten weiterhin die bewährten technischen Sicherheitsstandards:

  • Zeitnahe System- und Softwareupdates
     
  • Regelmäßige, überprüfbare Datensicherungen
     
  • Firewall, aktueller Virenschutz und Netzwerksicherheit
     
  • Cloud-Nutzung ist nur mit BSI-zertifizierten Anbietern (C5-Testat) erlaubt
     

Die technische Basis bleibt das Rückgrat einer sicheren IT-Infrastruktur in jeder Praxis.

 

Fazit: IT-Sicherheit ist Teamaufgabe

Die neue IT-Sicherheitsrichtlinie 2025 setzt dort an, wo es besonders wichtig ist: beim täglichen Umgang mit sensiblen Patientendaten. Mit klaren Vorgaben zu Technik, Organisation und Personal hilft sie dabei, Risiken zu minimieren und Ausfälle zu verhindern.

Unser Tipp: Nutzen Sie die Übergangszeit bis Oktober 2025, um Ihre Praxisstrukturen zu überprüfen und gegebenenfalls zu optimieren. 

Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen als IT-Partner Ihrer Praxis gerne zur Seite.

Quelle: KBV

Zurück