IT-Sicherheitsrichtlinie wurde aktualisiert

Richtlinie wird alle zwei Jahre aktualisiert

Mit dem Digital-Gesetz (DigiG) hat die Bundesregierung Anforderungen und Konkretisierungen für die digitale Zukunft in Praxen festgelegt. In diesem Rahmen wurden die KZBV und die Kassenärztliche Bundesvereinigung (KBV) beauftragt, die IT-Sicherheitsanforderungen für Zahnarzt- und Arztpraxen verbindlich in einer IT-Sicherheitsrichtlinie festzulegen. Die Richtlinie wurde im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt und muss nach dem Willen des Gesetzgebers gemäß § 390 SGB V jährlich überprüft und alle zwei Jahre an den Stand der Technik und an das Gefährdungspotential angepasst werden.
Die aktualisierte IT-Sicherheitsrichtlinie wurde am 1. Juli 2025 veröffentlicht und ist am 2. Juli 2025 in Kraft getreten. Neu eingeführte oder geänderte Anforderungen sind ab dem 2. Januar 2026 umzusetzen.

Wesentliche Neuerungen ab 2. Januar 2026

Hier alle wesentlichen Neuerungen ab dem 2. Januar 2026 auf einen Blick:

1. Erweiterte Anforderungen zur Mitarbeitereinarbeitung
   • Laut Anlage 1 – Anforderungen für Praxen ist eine strukturierte Einarbeitung neuer Mitarbeitender verpflichtend. Standardisierte Prozesse und Sicherheitsinstruktionen müssen dokumentiert und nachweisbar sein.
2. Sensibilisierung durch Security Awareness
   • Schulungen und regelmäßige Sensibilisierungsmaßnahmen zu IT‑ und Informationssicherheit (z. B. Phishing-Simulationen) sind neu vorgeschrieben.
3. Verantwortlichkeiten bei Datensicherung
   • Benennung von Verantwortlichen für regelmäßige Datensicherungen sowie Pflicht zur Durchführung und Dokumentation von Wiederherstellungstests.
4. Striktere Anforderungen an Updates und Support-Ende
   • Zeitnahe Installation von Updates zwingend.
   • Betriebssysteme oder Software ohne Sicherheitsupdates müssen abgeschaltet, ersetzt oder vom Netz getrennt werden (z. B. Support-Ende für Windows 10 ab 14. Oktober 2025).