Weltweit wächst die Bedrohung der IT-Sicherheit, und auch ärztliche und psychotherapeutische Praxen sind davon betroffen. Sie müssen ihre IT vor unberechtigten Zugriffen schützen. Erst kürzlich hat die Kassenärztliche Bundesvereinigung (KBV) die IT-Sicherheitsrichtlinie aktualisiert. „Wir sind gesetzlich verpflichtet, Anforderungen zur Gewährleistung der IT-Sicherheit in Praxen in einer Richtlinie festzulegen und diese regelmäßig anzupassen“, so KBV-Vorstandsmitglied Dr. Sibylle Steiner. Das erfolge im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Damit kommen spätestens ab Oktober einige Neuerungen auf die niedergelassenen Ärzte und Psychotherapeuten zu. Sie betreffen vor allem das Praxispersonal, das stärker sensibilisiert und geschult werden soll. Ziel ist es, sensible Daten noch besser zu schützen.

Bereits seit 2021 unterstützt die IT-Sicherheitsrichtlinie der KBV die niedergelassenen Ärzte und Psychotherapeuten dabei, entsprechende Vorkehrungen für ihre Praxen zu treffen. Sie enthält Voraussetzungen und Anforderungen für die IT-Sicherheit, die Praxen erfüllen müssen und sollten – je nach Praxisgröße und Ausstattung. Die Richtlinie wurde nun aufgrund neuer gesetzlicher Vorgaben aktualisiert. Zur Basis-Infrastruktur für den Schutz der Praxis-IT gehören nach wie vor zum Beispiel eine Firewall, ein aktueller Virenschutz, regelhafte Updates und Backups sowie eine geeignete Netzwerksicherheit.

Durch das Digital-Gesetz wurden die gesetzlichen Anforderungen um Maßnahmen zur Sensibilisierung von Mitarbeitern zur Informationssicherheit erweitert (Steigerung der Security-Awareness). Diese wurden nun in die IT-Sicherheitsrichtlinie eingearbeitet. So sollen die Mitarbeiter regelmäßig zur Informationssicherheit geschult und fortgebildet werden. Denn schon ein unachtsamer Klick auf einen E-Mail-Anhang kann die gesamte Praxis-IT in Gefahr bringen. Daher enthält die Richtlinie jetzt beispielsweise die Vorgabe, den Umgang mit Spam bei E-Mails zu regeln.

Bei der Aktualisierung sei darauf geachtet worden, praktikable und realistische Vorgaben für die Praxen zu machen, die möglichst aufwandsarm umzusetzen sind und gleichzeitig einen hohen Schutz bieten, so Steiner. Es wird beispielsweise nicht vorgegeben, in welcher Form das Praxispersonal für die IT-Sicherheit sensibilisiert werden muss. Dies liegt in der Verantwortung jedes Praxisinhabers und richtet sich nach den individuellen Gegebenheiten vor Ort. Die neuen Anforderungen sind spätestens ab 1. Oktober umzusetzen, ein halbes Jahr nach Inkrafttreten der aktualisierten Richtlinie Anfang April. Alle Anforderungen, die Praxen bereits seit 2021 erfüllen müssen, gelten ununterbrochen weiter.

Serviceheft und Serie in den PraxisNachrichten

Die KBV bietet den Praxen zum Thema Cybersicherheit Informationsmaterialien sowie Schulungen an. Teil der Informationsoffensive ist eine monatliche Serie in den PraxisNachrichten, die Tipps und Hinweise zur Cybersicherheit gibt. Das Themenspektrum reicht vom Umgang mit Spam bei E-Mails über sichere Passwörter, Virenschutz, Software-Updates und das Nutzen einer Cloud bis hin zum Basisschutz der Praxis-IT oder was bei einem Sicherheitsvorfall zu tun ist. Die Serie startet am 3. Juli.

Einen kompakten Einstieg in das Thema gewährt das Serviceheft „IT-Sicherheit“ aus der Reihe PraxisWissen. Es wurde neu aufgelegt und berücksichtigt nun auch das Praxispersonal, das (wie oben erwähnt) spätestens ab Oktober regelmäßig für Informationssicherheit sensibilisiert und geschult werden muss.

Speziell für Medizinische Fachangestellte (MFA) bietet die KBV zwei Online-Schulungen zur IT-Sicherheit an. Es gibt eine Basis-Schulung und eine Schulung zum Thema Phishing für MFA. Praxisinhaber können die Angebote nutzen, um ihre Angestellten in Fragen der IT-Sicherheit zu schulen. Beide Schulungen stehen im Fortbildungsportal der KBV bereit. Dort soll es demnächst auch eine Fortbildung zur IT-Sicherheit für Ärzte und Psychotherapeuten geben, die mit CME-Punkten zertifiziert wird.

Online-Plattform bündelt alle Informationen

Mehr Informationen finden Interessierte im Hub zur IT-Sicherheit. Dort bietet die KBV auch Musterdokumente an, zum Beispiel eine Verschwiegenheitserklärung für Mitarbeiter und für externes Personal, das in der Praxis beispielsweise Technik installiert. Praxisinhaber können die Musterdokumente nutzen und für ihre Gegebenheiten anpassen. Im Hub sind zudem alle Anforderungen an die IT-Sicherheit übersichtlich aufgelistet und mit Hinweisen versehen. Außerdem stehen dort Fragen und Antworten bereit.