Hintergründe der IT-Sicherheitsrichtlinie
Die „Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“ wurde von der > kassenärztlichen Bundesvereinigung erstellt und am 16.12.2020 von der Vertretersammlung der Kassenärztlichen Bundesvereinigung beschlossen.
Die verbindliche Richtlinie legt Mindestanforderungen zur Gewährleistung der IT-Sicherheit für alle vertragsärztlichen und psychotherapeutischen Praxen fest. Damit verfolgt die Richtlinie das Ziel, die Maßnahmen den Schutz der IT-Systeme, hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von sensiblen Informationen in Arztpraxen zu schützen. Gleichzeitig dient die Umsetzung der Richtlinie auch der Vereinheitlichung der technisch-organisatorischen Maßnahmen, die zur Einhaltung des Artikel 32 der Datenschutz-Grundverordnung (DSGVO) erforderlich sind.
Die Richtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet, um durch diesen kooperativen Ansatz verständliche und überschaubare Maßnahmen zum bestmöglichen Schutz von IT-Systemen und sensiblen Daten aufzustellen.
Welche Unternehmen sind durch die Sicherheitsrichtlinie reguliert?
Alle vertragsärztlichen bzw. vertragspsychotherapeutischen Praxen müssen die Anforderungen der Sicherheitsrichtlinie an die IT-Sicherheit umsetzen. Dabei legt die Richtlinie Mindestanforderungen der zu ergreifenden Maßnahmen fest. Die Verantwortung für die Einhaltung dieser Anforderungen obliegt den Praxisinhabern.
Pflichten für Praxen unterschiedlicher Größe
Die zu ergreifenden Maßnahmen unterscheiden sich je nach Praxisgröße. Hierzu gibt es drei unterschiedliche Anforderungskategorien für kleine Praxen, mittlere Praxen und Großpraxen, bzw. Praxen mit Datenverarbeitung im erheblichen Umfang. Praxisunabhängig werden weitere Anforderungen an den Umgang mit medizinischen Großgeräten und der Telematikinfrastruktur definiert.
Anforderungen für kleine Praxen
Kleine Praxen werden definiert als vertragsärztliche Praxen, bei denen bis zu fünf Personen ständig mit der Datenverarbeitung betreut sind. Für diese Praxen sind in Anlage 1 verbindliche Anforderungen definiert, die dem Schutz der Daten und verarbeiteten Informationen dienen und umgesetzt werden müssen.
Zusätzliche Anforderungen für mittlere Praxen
Als Praxen mittlerer Größe gelten die Praxen, bei denen sechs bis zwanzig Personen ständig mit der Datenverarbeitung betreut sind. Praxen dieser Größe müssen zusätzlich zu den Anforderungen für kleine Praxen, die Anforderungen Anlage 2 erfüllen.
Zusätzliche Anforderungen für Großpraxen
Sind über zwanzig Personen ständig mit der Datenverarbeitung betraut, gilt die vertragsärztliche Praxis als Großpraxis. In diese Kategorie fallen zudem jene Praxen, deren Datenverarbeitung über den normalen Umfang der Datenübermittlung hinausgehen. Diese Praxen sind dazu verpflichtet, sowohl die Anforderungen für kleine und mittlere Praxen umzusetzen, als auch weitere Anforderungen für Großpraxen zu realisieren (Anlage 3).
Zusätzliche Anforderungen bei der Nutzung medizinischer Großgeräte
Wenn in der Praxis medizinische Großgeräte, wie Dialysegeräte und Computertomographen, genutzt werden, so müssen die zusätzlichen Anforderungen der Anlage 4 erfüllt werden. Sie sollen den Schutz der Informationsverarbeitung bei der Verwendung von medizinischen Großgeräten sicherstellen.
Dezentrale Komponenten der Telematikinfrastruktur
Die Telematikinfrastruktur (TI) stellt eine Verbindung zwischen den IT-Systemen der Praxen und den IT-Systemen der Apotheken, Krankenhäusern und Krankenkassen her. Unabhängig von der Praxisgröße müssen alle Praxen die Anforderungen zum Umgang mit dezentralen Komponenten der TI befolgen, die in Anlage 5 definiert sind.
Die RST als zertifizierter Dienstleister nach § 75b Absatz 5 SGB V
Als zertifizierter Dienstleister mit umfangreicher Erfahrung im Gesundheitswesen unterstützen > unsere Experten Sie gerne bei allen Fragen zur Umsetzung der Richtlinie . > Jetzt Kontakt aufnehmen
Dank unserer umfassenden Erfahrung im Gesundheitssektor sowie der Informationssicherheitsberatung für Unternehmen unterschiedlicher Größe und Ausrichtung, bis hin zu Betreibern Kritischer Infrastrukturen, verfügen wir über ein großes Repertoire an Best Practices.
Unser Leistungsspektrum umfasst u.a.:
- Erstberatung zur Betroffenheit anhand einer Bewertung der Praxisgröße gemäß §75b SGB V
- Qualifizierte Einschätzung des Ist-Zustands der Umsetzung der geforderten Anforderungen Ihrer Praxis durch eine Gap-Analyse
- Beratung zur Umsetzung geeigneter Maßnahmen zur Erfüllung der Anforderungen der IT-Sicherheitsrichtlinie und zum Schutz der Informationssicherheit für Ihre Praxis
- Durchführung von Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter*innen im Bereich der Informationssicherheit
Haben Sie noch Fragen?
Dann kontaktieren Sie gerne unsere RST-Ansprechpartner oder senden Sie uns eine Anfrage über das Kontaktformular:
Das könnte Sie auch interessieren:
Informationssicherheit │ Schutzziele der Informationssicherheit │ Gesundheitsbereich │ Unternehmensberatung
Links zu den vollständigen relevanten Gesetzes- und Richtlinientexten sowie weiterführende Informationen:
- Hier finden Sie den vollständigen Text der > Richtlinie nach §75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit.
- Hier geht es zur Themenseite der IT-Sicherheitsrichtlinie nach §75 SGB V mit allen Anlagen und FAQs > Hauptseite - IT-Sicherheit in der Praxis (kbv.de).
- Hinweise zur Richtlinie und Beispiele für die Praxis werden im > Online-Themenheft „IT-Sicherheit“ durch die KBV bereitgestellt.
Weiterführende Informationen zur IT-Sicherheit:
- Branchenübergreifende Informationen zu IT-Sicherheitsvorfällen finden Sie auf der > Webseite des BSI.
- Eine Empfehlung des BSI zur > sicheren Konfiguration von Microsoft Office 2013/ 2016/ 2019 und zur > sicheren Konfiguration von Microsoft Outlook 2013/ 2016/ 2019 können Sie hier einsehen.
- Hier finden Sie eine > BSI-Empfehlung für sichere Web-Browser.