Was ist die IT-Sicherheitsrichtlinie?

Die IT-Sicherheitsrichtlinie wurde auf Grundlage des § 75b SGB V eingeführt. Sie verpflichtet alle vertragsärztlich und vertragszahnärztlich tätigen Praxen dazu, technische und organisatorische Maßnahmen (TOM) zur Sicherstellung der IT-Sicherheit umzusetzen. Ziel ist es, die Patientendaten wirksam vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Die Richtlinie trat erstmals 2021 in Kraft und wurde eingeführt, um mit dem zunehmenden Grad an Digitalisierung im Gesundheitswesen – insbesondere durch Anwendungen wie die Telematikinfrastruktur (TI), die elektronische Patientenakte (ePA) und das E-Rezept – einheitliche Sicherheitsstandards zu etablieren.

Wer hat die IT-Sicherheitsrichtlinie erstellt?

Die IT-Sicherheitsrichtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durch die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) erstellt. Die Anforderungen und Konkretisierungen für die Digitalisierung in Zahnarzt- bzw. Arztpraxen wurde im Digitalgesetz (DigiG) durch die Bundesregierung festgelegt.

Nach dem ausdrücklichen Willen des Gesetzgebers – konkret geregelt in § 390 Absatz 1 SGB V – ist die Richtlinie mindestens einmal jährlich zu überprüfen und alle zwei Jahre an den aktuellen Stand der Technik sowie an bestehende Gefährdungslagen anzupassen. Ziel ist es, die Sicherheit in den vertragszahnärztlichen und vertragsärztlichen Praxen fortlaufend auf einem dem Risiko angemessenen Niveau zu halten.

Unterschied zur DSGVO

Während die DSGVO (Datenschutz-Grundverordnung) auf den Schutz personenbezogener Daten in ganz Europa abzielt, ist die IT-Sicherheitsrichtlinie spezifisch für das Gesundheitswesen in Deutschland konzipiert. Sie bietet Zahnarztpraxen einen „roten Faden“ durch die DSGVO, indem sie klar und praxisnah beschreibt, welche konkreten Maßnahmen – je nach Praxisgröße – zur Erfüllung der datenschutzrechtlichen Anforderungen umzusetzen sind.

Die IT-Sicherheitsrichtlinie ist damit ein gesetzlich verankerter, praxisorientierter Leitfaden, der speziell für Arzt- und Zahnarztpraxen entwickelt wurde, um die gesetzlichen Vorgaben sicher und angemessen umzusetzen.

Was ist neu seit dem 2. Juli 2025?

Mit der neuen Version der IT-Sicherheitsrichtlinie, die am 1. Juli 2025 verabschiedet wurde und am 2. Juli 2025 in Kraft getreten ist, wurden insbesondere aktuelle technische Entwicklungen sowie gestiegene Anforderungen an die Cybersicherheit berücksichtigt. Die Neuerungen umfassen unter anderem:

1. Erweiterte Anforderungen zur Einarbeitung neuer Mitarbeitender: Laut Anlage 1 – Anforderungen für Praxen ist eine strukturierte Einarbeitung neuer Mitarbeitender verpflichtend. Standardisierte Prozesse und Sicherheitsinstruktionen müssen dokumentiert und nachweisbar sein.
2. Sensibilisierung durch Security Awareness-Schulungen und regelmäßige Sensibilisierungs-maßnahmen zu IT und Informationssicherheit (z. B. Phishing-Simulationen) sind neu vorgeschrieben.
3. Verantwortlichkeiten bei Datensicherung, Benennung von Verantwortlichen für regelmäßige Datensicherungen sowie Pflicht zur Durchführung und Dokumentation von Wiederherstellungstests.
4. Striktere Anforderungen an Updates und Support-Ende
   Zeitnahe Installation von Updates zwingend: Betriebssysteme oder Software ohne Sicherheitsupdates müssen abgeschaltet, ersetzt oder vom Netz getrennt werden (z. B. Support-Ende für Windows 10 ab 14. Oktober 2025).
5. Telematikinfrastruktur: Neue Anforderungen bei der Nutzung des TI-Gateway

Erste Schritte zur Umsetzung

Die neuen Anforderungen mussten bis spätestens 2. Januar 2026 vollständig umgesetzt werden. Sollten Sie das noch nicht getan haben, helfen die folgende Schritte beim strukturierten Einstieg:

1. Bestandsaufnahme der vorhandenen IT-Infrastruktur
2. Risikobewertung und Sicherheitslückenanalyse
3. Erstellung oder Anpassung eines IT-Sicherheitskonzepts
4. Schulungen für Mitarbeitende planen und durchführen
5. Geeignete IT-Dienstleister einbinden (sofern notwendig)
6. Dokumentation aller Maßnahmen

Wichtig: Wenn Ihr bisheriger IT-Dienstleister nicht alle Anforderungen abdecken kann, empfiehlt sich ein Blick in die Liste der zertifizierten Dienstleister (PDF).

Idealerweise sollte die gesamte IT-Betreuung aus einer Hand erfolgen, um Supportprobleme und unnötiges „Ping-Pong“ zwischen verschiedenen Dienstleistern zu vermeiden.

FAQ-Liste

Die wichtigsten Fragen rund um die IT-Sicherheitsrichtlinie haben wir für Sie übersichtlich auf dieser Seite: FAQ: Praxis-IT zusammengestellt.