IT-Sicherheitsrichtlinie für Arzt- und Zahnarztpraxen
Anforderungen und Fristen auf einen Blick
IT-Sicherheitsrichtlinie für Arzt- und Zahnarztpraxen
Alle Anforderungen und Fristen auf einen Blick
Patientendaten gehören zu den hoch sensiblen Informationen. Damit diese Daten sicher verarbeitet und gespeichert werden, hat der Gesetzgeber die IT-Sicherheitsrichtlinie § 390 SGB V ins Leben gerufen. 2025 wurde sie sowohl von der Kassenärztliche Bundesvereinigung (KBV) als auch von der Kassenzahnärztlichen Bundesvereinigung (KZBV) grundlegend überarbeitet und verschärft. Zusätzlich ist Ende 2025 das so genannte NIS-2-Umsetzungsgesetz in Kraft getreten, das für größere Einrichtungen weitere Pflichten mit sich bringt.
Achtung! Die Neuerungen betreffen alle Vertragsärzte, Psychotherapeuten und Vertragszahnärzte gleichermaßen – unabhängig von der Praxisgröße.
In diesem Beitrag erfahren Sie, was sich konkret geändert hat, welche Fristen gelten und wo die Unterschiede zwischen ärztlicher und zahnärztlicher Fassung liegen.
Was ist die IT-Sicherheitsrichtlinie?
Die IT-Sicherheitsrichtlinie legt verbindliche Mindestanforderungen für die IT-Sicherheit in Arzt- und Zahnarztpraxen fest. Sie regelt u. a., worauf die eingesetzten IT-Systeme, Programme, mobile Apps und Internetanwendungen zu überprüfen sind. Ziel ist es, die Vertraulichkeit, die Integrität und die Verfügbarkeit von Patientendaten zu gewährleisten und die Praxen vor IT-Sicherheitsrisiken zu schützen.
Erstellt wurde und wird die Richtlinie von der KBV und der KZBV – jeweils im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Richtlinie existiert bereits seit 2021 und wurde 2025 von beiden Organisationen aktualisiert.
Für wen gilt die Richtlinie?
Die IT-Sicherheitsrichtlinie richtet sich an alle niedergelassenen Vertragsärzte, Vertragspsychotherapeuten und Vertragszahnärzte in Deutschland. Betroffen ist jede Praxis, die an der vertragsärztlichen oder vertragszahnärztlichen Versorgung teilnimmt – von der Einzelpraxis bis zum MVZ.
Die konkreten Anforderungen hängen von der Praxisgröße ab. Als kleine Praxis gelten Einrichtungen mit ein bis fünf Personen, die ständig mit der Datenverarbeitung betraut sind. Mittlere Praxen beschäftigen sechs bis zwanzig Personen. Große Praxen umfassen mehr als zwanzig Personen oder sind in einem über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig. Dabei spielt es keine Rolle, ob Mitarbeitende in Voll- oder Teilzeit tätig sind – jede Person zählt gleichermaßen.
Unabhängig von der Praxisgröße gelten zusätzliche Anforderungen (Anlage 4) für Praxen, die medizinische Großgeräte wie CT, MRT oder PET einsetzen. Eine Einzelpraxis mit einem solchen Gerät bleibt also nach ihrer Personenzahl eine kleine Praxis, muss aber die Großgeräte-Anforderungen zusätzlich erfüllen.
Was hat sich 2025 geändert?
Sowohl KBV als auch KZBV haben ihre Fassung der IT-Sicherheitsrichtlinie 2025 grundlegend überarbeitet. Inhaltlich verfolgen beide Texte dasselbe Ziel und stellen im Kern dieselben Anforderungen. Der wesentliche Unterschied liegt im Zeitplan: Die KBV-Richtlinie für Ärzte und Psychotherapeuten trat bereits am 1. April 2025 in Kraft und muss seit 1. Oktober 2025 umgesetzt sein. Die KZBV-Richtlinie für Zahnärzte trat am 2. Juli 2025 in Kraft; mit einer Umsetzungsfrist bis zum 2. Januar 2026.
Anforderungen im Überblick
1. Schulung und Sensibilisierung (betrifft alle Praxisgrößen)
Die verpflichtende IT-Sicherheitsschulung für das gesamte Praxispersonal ist die markanteste Neuerung, unabhängig von Position oder Einsatzbereich. Das bedeutet konkret:
- Praxispersonal muss in den sicheren Umgang mit Ihrer Praxis-IT eingewiesen werden, soweit es für die jeweilige Arbeit relevant ist.
- Es müssen regelmäßige Schulungen stattfinden, insbesondere zur eingesetzten Technik und IT sowie zu Sicherheitsaspekten, beispielsweise in Form von Phishing-Simulationen.
- Diese regelmäßigen Schulungen müssen dokumentiert werden.
- Die Praxisleitung muss das Praxis-Team ausreichend für Sicherheitsfragen sensibilisieren.
2. Strukturierte Einarbeitung neuer Mitarbeitender
Neue Mitarbeitende müssen ebenfalls eine verpflichtende, strukturierte Einarbeitung mit dokumentierten Sicherheitsinstruktionen erhalten. Dazu gehört auch die Vorstellung aller Ansprechpartner zu Fragen der Informationssicherheit sowie die Erläuterung aller internen Regelungen und Vorschriften.
3. Datensicherung und Wiederherstellung
Es müssen Verantwortliche für die regelmäßige Datensicherung benannt werden. Darüber hinaus sind Wiederherstellungstests durchzuführen und zu dokumentieren, um sicherzustellen, dass Backups im Ernstfall schnell und sicher funktionieren.
4. Striktere Anforderungen an Updates und Softwarepflege
Updates müssen zeitnah(!) nach Veröffentlichung installiert werden. Betriebssysteme oder Software ohne verfügbare Sicherheitsupdates müssen abgeschaltet, ersetzt oder vom Netzwerk getrennt werden. Das betrifft beispielsweise Windows 10, dessen Support im Oktober 2025 ausgelaufen ist.
5. Technische Basisanforderungen (gelten seit 2021)
Darüber hinaus gelten weiterhin die bereits bestehenden technischen Basisanforderungen:
- verschlüsselte Internetverbindungen (z. B. HTTPS)
- aktuelle Virenschutzsoftware
- Firewall-Schutz
- Sperrcodes für Geräte
- eine aktuelle Netzwerkübersicht inklusive Netzplan
- Firewall-Absicherung für Webangebote wie Praxis-Websites oder Online-Terminvergabesysteme
NIS-2-Umsetzungsgesetz: Zusätzliche Pflichten für große Praxen und MVZ
Unabhängig von der IT-Sicherheitsrichtlinie ist seit 6. Dezember 2025 das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz in Kraft. Es setzt die EU-NIS2-Richtlinie zur Netzwerk- und Informationssicherheit in deutsches Recht um und betrifft Unternehmen im Gesundheitssektor, die mindestens 50 Mitarbeitende oder einen Jahresumsatz und eine Bilanzsumme von 10 Millionen Euro aufweisen. Das schließt auch große Arztpraxen und MVZ ein.
Die wesentlichen neuen Pflichten aus dem NIS-2-Gesetz umfassen:
- Einführung eines strukturierten Risikomanagements für die IT-Sicherheit
- Registrierung beim BSI innerhalb von drei Monaten nach Betroffenheit
- Meldepflicht bei erheblichen Sicherheitsvorfällen – unverzüglich innerhalb von 24 Stunden
- Verpflichtende Cybersicherheitsschulungen für die Geschäftsleitung
- Persönliche Haftung der Geschäftsführung bei Verstößen gegen die Cybersicherheitspflichten
Ob Ihre Praxis unter das NIS-2-Gesetz fällt, können Sie mit dem NIS-2-Checker des BSI prüfen. Die Anforderungen gehen über die IT-Sicherheitsrichtlinie hinaus und müssen unabhängig von dieser erfüllt werden.
Welche Fristen gelten aktuell?
Die IT-Sicherheitsrichtlinie der KBV gilt für Ärzte und Psychotherapeuten und muss seit dem 1. Oktober 2025 umgesetzt sein.
- Für Zahnärzte gilt die IT-Sicherheitsrichtlinie der KZBV seit dem 2. Januar 2026. Zusätzlich ist seit dem 6. Dezember 2025 das NIS-2-Umsetzungsgesetz für große Praxen und MVZ mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz ab 10 Millionen Euro verbindlich. Die technischen Basisanforderungen aus 2021 gelten weiterhin dauerhaft und ohne Unterbrechung für alle Praxen.
- Vertragsärzte und Psychotherapeuten: Die neuen Anforderungen der KBV-Richtlinie müssen seit dem 1. Oktober 2025 umgesetzt sein.
- Vertragszahnärzte: Neu eingeführte oder geänderte Anforderungen der KZBV-Richtlinie müssen seit dem 2. Januar 2026 umgesetzt sein.
- Große Praxen und MVZ, die unter das NIS-2-Gesetz fallen: Die Anforderungen gelten seit dem 6. Dezember 2025. Die Registrierung beim BSI muss innerhalb von drei Monaten nach Feststellung der Betroffenheit erfolgen.
Grundsätzlich wird die IT-Sicherheitsrichtlinie jährlich überprüft und alle zwei Jahre an den aktuellen Stand der Technik angepasst. Es ist also ratsam, das Thema 'IT-Sicherheit' als fortlaufenden Prozess zu verankern.
... und wenn Sie die Vorgaben nicht einhalten?
Bei der IT-Sicherheitsrichtlinie selbst sieht § 390 SGB V derzeit keine eigenen Sanktionen vor. Das ist jedoch keine Entwarnung! Denn: Die DSGVO (insbesondere Art. 32 und Art. 24) bleibt als eigenständige Rechtsgrundlage bestehen. Wer keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz von Patientendaten nachweisen kann, riskiert datenschutzrechtliche Sanktionen. Darüber hinaus können auch straf- und berufsrechtliche Konsequenzen drohen. Bei unzureichender IT-Sicherheit steigt zudem das Risiko für tatsächliche Sicherheitsvorfälle erheblich – mit allen Konsequenzen für den Praxisbetrieb und das Vertrauen der Patienten.
Deutlich schärfer sieht es beim NIS-2-Gesetz aus: Hier drohen Bußgelder von bis zu 10 Millionen Euro bzw. 2 Prozent des Jahresumsatzes für wesentliche Einrichtungen, und die Geschäftsleitung haftet persönlich für die Einhaltung der Cybersicherheitspflichten.
Zusatzwissen: Wie ist die Richtlinie aufgebaut?
Die IT-Sicherheitsrichtlinie besteht aus fünf Anlagen, die sich nach Praxisgröße sowie eingesetzten Geräten und Komponenten gliedern. Die konkreten technischen Anforderungen sind auf der Online-Plattform der KBV (dem sogenannten „HUB zur IT-Sicherheitsrichtlinie“) abrufbar. Dort finden Sie auch zahlreiche Musterdokumente, die Ihnen bei der praktischen Umsetzung helfen.
Für die zahnärztliche Seite stellt die KZBV ebenfalls entsprechende Praxisinformationen und Hilfsmittel bereit, darunter eine BSI-Notfallkarte, Mustervorlagen zur Inventarisierung, Beispiel-Netzpläne und persönliche Checklisten für jede Anlage
Unser Tipp: Handeln Sie jetzt
IT-Sicherheit im Gesundheitswesen ist keine Option – sie ist Pflicht. Die Umsetzungsfristen für alle Praxen sind bereits abgelaufen. Mit dem NIS-2-Gesetz kommen für größere Einrichtungen zusätzliche, deutlich schärfere Vorgaben hinzu.
Wir helfen Ihnen gern bei der Umsetzung!
Ihre Ansprechpartnerin
Dipl.-Ing. Ines Lipinski
Vertriebsleitung Medizinische Systeme
Tel.: +49 381 24 29 242
EHl8eWB5fmN7eVBjZX49fXV0PnR1@nospam
