Novellierung der IT-Sicherheitsrichtlinie der KBV

Die Kassenärztliche Bundesvereinigung (KBV) legt nach § 390 SGB V verbindlich die "Anforderungen zur Gewährleistung der IT-Sicherheit" in Arzt- und Zahnarztpraxen mit Kassensitz fest. Damit standardisiert sie die technisch-organisatorischen Maßnahmen (TOM) im Sinne des Artikel 32 der DSGVO.

Erstmalig erschien eine Richtlinie am 16. Dezember 2020. Die nun im April erschienene Richtlinie schreibt in Abstimmung mit dem Bundesamt für die Sicherheit in der Informationstechnologie (BSI) fort, was an Maßnahmen zu ergreifen ist. Frist für die Umsetzung ist der 1. Oktober 2025.

Auch für Praxen ohne Kassensitz, also privatärztliche Praxen, bietet sich an, diese Richtlinie umzusetzen, um nicht mit eigenen TOM arbeiten zu müssen und sich so dem Problem auszusetzen, wichtige Maßnahmen zu übersehen.

Die IT-Sicherheitsrichtlinie besteht aus 92 Einzelmaßnahmen. Diese sind in fünf Anlagen unterteilt. Nicht alle Praxen müssen alle Anlagen umsetzen. Die erste Anlage gilt für Praxen mit bis zu fünf Daten verarbeitenden Mitarbeitern, die Anlage zwei zusätzlich für Praxen mit bis zu 20 und die Anlage drei zusätzlich für Praxen mit über 20 Daten verarbeitenden Mitarbeitern. Anlage vier gilt nur für Praxen mit medizinischen Großgeräten, Anlage fünf für Praxen, die an die Telematik Infrastruktur (TI) angeschlossen sind. Einzelmaßnahmen können auch schlicht unzutreffend für eine Praxis sein, wenn sie Dinge regeln, die nicht von der Praxis eingesetzt werden.

Rund zwei Drittel der Einzelmaßnahmen treffen den Bereich des Qualitäts- und des Praxismanagements innerhalb der Arzt- oder Zahnarztpraxis. Das verbleibende Drittel muss durch die Praxis-IT umgesetzt werden.

Sämtliche Maßnahmen machen in unseren Augen Sinn. Sie skalieren nach Praxisgröße und sind grundsätzlich derart gefasst, dass sowohl die IT, wie auch die Mitarbeiterinnen und Mitarbeiter der Praxis schnell wissen, was zu tun ist. Dabei bleibt gerade aus der Sicht der IT Spielraum, wie Maßnahmen im Einzelnen umgesetzt werden. Insbesondere werden nicht bestimmte Hersteller von Hard- und Software vorgeschrieben.

Die Praxisinhaberin oder der Praxisinhaber können die Erledigung der Einzelmaßnahmen delegieren, nicht aber die Verantwortung für die Erledigung. Weil wir unsere Tätigkeit der Betreuung unserer Kunden aus dem medizinischen Bereich sehr ernst nehmen, haben wir bereits im April und Mai eine kommentierte Version der Richtlinie erstellt, in der wir für jede Einzelmaßnahme nicht nur vorschlagen, an wen sie bestenfalls delegiert wird, sondern auch, wie sie im Rahmen einer Delegation umgesetzt wird.

Bezüglich dessen, was durch die IT zu erledigen ist, hatten wir unsere Hausaufgaben bereits Mitte November 2024 erledigt. Grundsätzlich verfolgen wir die Verlautbarungen des BSI, zusätzlich haben wir bereits Vorabversionen der IT-Sicherheitsrichtlinie gesichtet. Für uns gab es mit der Veröffentlichung der neuen Richtlinie keine böse Überraschung. Wir konnten schon seit November 2024 abdecken, was seitens der IT an Maßnahmen bis Oktober 2025 neu hinzu kommt.

Über die letzten zwei Wochen haben wir Praxisinhaberinnen und Praxisinhaber sowie Personen aus dem Bereich des Praxis- und Qualitätsmanagements aus den 28 dauerhaft betreuten Arzt- und Zahnarztpraxen unseres Kundenkreises eingeladen, gemeinsam mit uns die Umsetzung der IT-Sicherheitsrichtlinie vorzubereiten. Dazu haben wir vier Gruppensitzungen angeboten, an denen bislang Vertreter von 25 der 28 betreuten Arzt- und Zahnarztpraxen teilgenommen haben. Die drei verbliebenen Praxen und weitere Interessenten aus den Praxen, die bereits teilgenommen haben, können sich inzwischen zeitsouverän über ein Video in die Umsetzung der Richtlinie einführen lassen.

Für viele Teilnehmerinnen und Teilnehmer der Gruppensitzungen war zunächst überraschend, dass es nicht so sehr um die Inhalte der Richtlinie ging. Anhand einer Steich- und Hakliste wurden zuerst die Einzelmaßnahmen gestrichen, welche nicht auf die jeweils eigene Praxis zutreffen. Anschließend wurden die Maßnahmen ausgefällt, welche durch die IT, also durch uns erledigt werden müssen. Was dann auf der Streich- und Hakliste übrig blieb, muss durch die Praxis selbst erledigt werden. Auch diese Punkte haben wir bereits in einem Dokument kategorisiert und einen Vorschlag zur für die Umsetzung erarbeitet.

Auch wenn viele sich zunächst mit der Art des Vorgehens anfreunden mussten, gelang es doch in aller Regel, nach etwas über einer Stunde mit der Gewissheit auseinander zu gehen, dass nun jeder weiß, was wie zu erledigen ist. Uns hat diese Art der Vorbereitung rund 60 Stunden Arbeit gekostet. Bestenfalls spart sich jede Praxis genau diese 60 Stunden an Arbeit und kann zielstrebig binnen weniger Stunden erledigen, was ansteht.

Da auch unsere Kunden aus dem nicht-medizinischen Bereich adäquate Maßnahmen für die IT-Sicherheit ergreifen müssen, setzen wir auch in diesem Bereich die Anforderungen der KBV an die IT um. Wir werden in den nächsten Wochen und Monaten auf unsere Kunden zugehen, um die bislang getroffenen Maßnahmen auf den Prüfstand zu stellen und an der ein oder anderen Stelle nachzuschärfen.