Thought Leadership
Ab dem 1. Oktober 2025 tritt für Arzt- und Psychotherapiepraxen eine wichtige Frist in Kraft: Die neuen Anforderungen der überarbeiteten IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) müssen bis dahin umgesetzt sein.
IT-Sicherheit wird Pflichtprogramm – ohne Übergangsfrist
Die überarbeitete Richtlinie verpflichtet alle niedergelassenen Ärzte und Psychotherapeuten, die an der vertragsärztlichen Versorgung teilnehmen, zur Einhaltung umfassender technischer und organisatorischer Maßnahmen. Entscheidend ist dabei nicht der Beschäftigungsumfang, sondern allein die Anzahl der Mitarbeiter, die mit Patientendaten arbeiten. Je nach Größe der Praxis unterscheiden sich die Anforderungen. Kleine Praxen (bis zu fünf Personen mit Datenzugriff), mittlere (sechs bis zwanzig) und große Praxen (über zwanzig oder mit spezieller Technik wie CT oder MRT) müssen unterschiedliche Sicherheitsniveaus einhalten.
Ein pauschales Aufschieben ist nicht möglich: Ab dem 1. Oktober müssen alle Vorgaben umgesetzt sein.
Schulungen im Fokus – der Mensch als Schwachstelle
Ein zentrales Element der neuen Vorgaben ist die regelmäßige Schulung und Sensibilisierung des Praxispersonals. Mitarbeiter müssen künftig nachweislich über Grundlagen der Informationssicherheit informiert werden – darunter etwa der Umgang mit Phishing-Mails, sichere Passwortnutzung und Datenschutz im Praxisalltag. Die Schulungsform ist dabei flexibel: Intern, per E-Learning oder über externe Anbieter. Wichtig ist jedoch, dass ein entsprechendes Schulungskonzept vorliegt und umgesetzt wird.
Interessant: Zum 1. Oktober müssen nicht alle Schulungen bereits abgeschlossen sein, aber das Konzept muss klar dokumentiert und geplant sein. Besonders große Praxen sind zusätzlich verpflichtet, Lernerfolge der Mitarbeiter zu dokumentieren und auszuwerten.
Technische Anforderungen: Cloud, E-Mail und Patchmanagement
Auch auf technischer Seite gibt es Verschärfungen. Der Einsatz von Cloud-Diensten ist künftig nur noch erlaubt, wenn diese ein gültiges C5-Testat des BSI vorweisen können. E-Mail-Systeme müssen so konfiguriert sein, dass Spam und Phishing möglichst zuverlässig abgewehrt werden können. Außerdem ist ein lückenloses Patchmanagement gefordert: Betriebssysteme und Praxissoftware müssen stets auf dem neuesten Stand gehalten werden.
Darüber hinaus müssen alle Praxen ihre Endgerätesicherheit verbessern, regelmäßige Datensicherungen gewährleisten und sogar Sicherheitsvorkehrungen für ihre Praxiswebsites umsetzen.
Konsequenzen bei Nichteinhaltung
Die Richtlinie ist nicht optional. Grundlage ist § 390 SGB V – bei Verstößen drohen ernsthafte Konsequenzen. Dazu zählen Honorarkürzungen durch die Kassenärztliche Vereinigung, aber auch Bußgelder von bis zu 100.000 Euro. Besonders heikel wird es, wenn es zu Datenpannen kommt, die auf Versäumnisse im IT-Sicherheitskonzept zurückzuführen sind. Hier droht neben dem Vertrauensverlust auch juristischer Ärger mit Datenschutzbehörden.
Unterstützung für Praxen
Um die Umsetzung zu erleichtern, bietet die KBV auf ihrer Website Schulungsunterlagen für Ärzteund MFA an. Zusätzlich veranstaltet das Institut für Hausärztliche Fortbildung (IHF) am 10. September 2025 ein Online-Webseminar mit dem Titel „Cyberangriffe & KV-Sicherheitsrichtlinie: Pflichtwissen“. Dort werden die wichtigsten Anforderungen praxisnah erklärt.
Fazit: Es bleibt keine Zeit zu verlieren
Die neuen Vorgaben zeigen deutlich, dass IT-Sicherheit im Gesundheitswesen keine Option mehr ist – sondern Pflicht. Angesichts der Angriffsrealität und der strengen gesetzlichen Anforderungen müssen Praxen jetzt handeln: Sicherheitskonzepte erstellen, Mitarbeiter schulen, IT-Systeme prüfen und gegebenenfalls externe Fachleute einbinden. Wer die Frist ignoriert, riskiert nicht nur Sanktionen, sondern auch das Vertrauen der Patienten.
Auch der Hausärztinnen- und Hausärzteverband Baden-Württemberg hat zur neuen Richtlinie informiert und einen detaillierten Leitfaden veröffentlicht, der Praxen bei der praktischen Umsetzung unterstützen soll.
