KBV IT-Sicherheitsrichtlinie: Neue Anforderungen in 2025

Mit Inkrafttreten der neuen KBV IT-Sicherheitsrichtlinie 2025 stehen Praxisinhaber:innen vor wichtigen Anpassungen, die bis zum 1. Oktober 2025 vollständig umgesetzt werden müssen. Neuerungen betreffen alle Vertragsarztpraxen, medizinischen Versorgungszentren und weitere Leistungserbringer im vertragsärztlichen Bereich. Dieser Beitrag zeigt Ihnen alle relevanten Änderungen auf, informiert über mögliche Sanktionen und liefert praxisnahe Tipps für eine erfolgreiche Implementierung der neuen IT-Sicherheitsstandards in Ihrer Praxis.

Grundlagen der KBV-Sicherheitsrichtlinien

Die KBV IT-Sicherheitsrichtlinie gründet auf § 390 SGB V und verpflichtet alle Vertragsarztpraxen zur Einhaltung verbindlicher IT-Sicherheitsstandards. Sinn und Zweck der Richtlinie ist es, Patient:innendaten vor unbefugtem Zugriff zu schützen, den sicheren Betrieb der Telematikinfrastruktur (TI) zu gewährleisten und Ausfälle oder Datenverluste zu vermeiden. 

Die IT-Sicherheitsrichtlinien der KBV sind bewusst so gestaltet, dass sie mit vertretbarem Aufwand umsetzbar sind. Je nach Digitalisierungsgrad Ihrer Praxis greifen unterschiedliche Sicherheitsstufen – je digitaler eine Praxis arbeitet, desto höher sind entsprechend die Anforderungen.

Änderungen der KBV IT-Sicherheitsrichtlinie 2025 im Überblick

Mit der aktualisierten IT-Sicherheitsrichtlinie sind bis zum 1. Oktober 2025 wichtige Neuerungen umzusetzen, die den Schutz sensibler Patientendaten in Ihrer Praxis weiter verstärken. Die wichtigsten neuen Anforderungen für alle Praxen sind wie folgt:

• Verpflichtende Mitarbeiterschulungen zur IT-Sicherheit: Alle Beschäftigten müssen regelmäßig zu Informationssicherheit sensibilisiert und geschult werden.
• Security Awareness-Programme: Klare Regelungen zum Umgang mit Spam-E-Mails und Phishing-Versuchen, um das Risiko menschlicher Fehler zu minimieren.
• Verschärftes Patch- und Änderungsmanagement: Updates müssen zeitnah installiert werden; veraltete Systeme ohne Update-Support sind vom Netzwerk zu trennen oder zu ersetzen.
• Erweiterte Datensicherungsregelungen: Benennung von Verantwortlichen für die Datensicherung und verpflichtende Tests zur Wiederherstellbarkeit der Backups.
• Neue Cloud-Computing-Vorgaben: Nur Cloud-Dienste mit C5-Testat des BSI sind für die Verarbeitung von Gesundheitsdaten zulässig.
• Regelungen für IT-Dienstleister und externes Personal: Fremdpersonal bei sicherheitsrelevanten Arbeiten muss beaufsichtigt werden.

Zusätzliche Anforderungen nach Praxisgröße

• Mittlere Praxen (6-20 Personen): Minimierung von App-Berechtigungen und Erstellung von Nutzungsrichtlinien für dienstliche Mobilgeräte.
• Große Praxen (über 20 Personen): Mobile Device Management mit Fernlöschung, Verschlüsselung von Wechseldatenträgern und automatische Protokollierung sicherheitsrelevanter Ereignisse.
• Praxen mit Großgeräten (CT, MRT, PET): Besondere Schutzmaßnahmen für Geräte mit Netzwerkverbindung, einschließlich Netzsegmentierung und verschlüsselter Wartungsprotokolle.

Welche Sanktionen drohen bei verspäteter Umsetzung der KBV IT-Sicherheitsrichtlinie? 

Die Kassenärztlichen Vereinigungen sind gesetzlich berechtigt, bei Verstößen gegen die IT-Sicherheitsrichtlinie Honorarkürzungen und weitere Sanktionen zu verhängen. Obwohl § 390 SGB V derzeit keine spezifischen Strafen definiert, sind die KVen durchaus handlungsberechtigt, wenn Praxen ihren Verpflichtungen nicht nachkommen. 

Bei einer Datenpanne durch unzureichend geschützte Systeme drohen erhebliche DSGVO-Bußgelder. Neben den direkten finanziellen Sanktionen entstehen durch IT-Sicherheitsvorfälle erhebliche Haftungsrisiken gegenüber Ihren Patient:innen. Werden sensible Gesundheitsdaten durch unzureichende Schutzmaßnahmen kompromittiert, können Schadensersatzforderungen und ein nachhaltiger Vertrauensverlust die Praxis langfristig schädigen.

Tipps für die Umsetzung der neuen KBV IT-Sicherheitsrichtlinie

• Praxistyp bestimmen: Zählen Sie alle Personen, die ständig mit der Datenverarbeitung betraut sind und prüfen Sie, ob Ihre Praxis unter die Kategorie klein, mittel oder groß fällt. Davon hängt ab, welche Anlagen der Richtlinie für Sie relevant sind.
• IT-Komponenten erfassen: Erstellen Sie eine vollständige Liste aller eingesetzten Geräte, Systeme und Anwendungen, um gezielt die passenden Sicherheitsmaßnahmen umzusetzen.
• Team einbinden: Sensibilisieren und schulen Sie Ihre Mitarbeitenden je nach Aufgabenbereich für IT-Sicherheit und Datenschutz.
• Externe Dienstleister prüfen: Nutzen Sie bei Bedarf die KBV-Liste zertifizierter IT-Dienstleister oder arbeiten Sie mit Ihrem bewährten Anbieter zusammen.
• Verbindliche Regelungen festlegen: Dokumentieren Sie interne IT-Standards, z. B. zum Umgang mit Passwörtern, mobilen Geräten, Wechseldatenträgern und Spam-E-Mails.
• Technische Absicherung prüfen: Aktualisieren Sie Virenschutz, Firewalls und Verschlüsselungssysteme; stellen Sie sicher, dass Updates zeitnah installiert werden.

‍

ETERNO Cloud – die KBV-konforme Lösung für Ihre Praxis

Mit ETERNO Cloud steht Ihnen eine cloudbasierte Praxissoftwarelösung zur Verfügung, die alle Anforderungen der neuen KBV IT-Sicherheitsrichtlinie 2025 erfüllt. Das System gewährleistet durch automatische Sicherheitsupdates, DSGVO- und KBV-konforme Datenhaltung in deutschen Rechenzentren sowie die vollständige Integration aller TI-Anwendungen wie eRezept, eAU, KIM und ePA eine rechtssichere Praxisführung. Als cloudbasierte Praxissoftware benötigt ETERNO Cloud keine eigene Serverinfrastruktur in Ihrer Praxis. Das erspart Ihnen die Anschaffungskosten für Server und Personal. Stattdessen greifen Sie über jedes internetfähige Gerät von überall sicher auf Ihre Praxisdaten zu.

Mit ETERNO Cloud setzen Sie die 2025 aktualisierten IT-Sicherheitsrichtlinien der KBV stressfrei um.

‍