IT-Sicherheitsrichtlinie seit April 2025: Was (Zahn) Arztpraxen jetzt konkret tun sollten

Die überarbeitete IT-Sicherheitsrichtlinie der KBV ist seit dem 1. April 2025 in Kraft und verlangt von allen Praxen neue verbindliche Schritte zur Absicherung ihrer IT-Systeme. Spätestens bis zum 1. Oktober 2025 müssen diese Anforderungen umgesetzt sein – andernfalls drohen nicht nur Sicherheitslücken, sondern möglicherweise auch Honorarabzüge oder Sanktionen. Für Praxisinhaberinnen und -inhaber ist jetzt Handeln angesagt. In diesem Beitrag erfährst du, was konkret zu tun ist und wie du dabei strukturiert vorgehst.

Schritt 1: Schulungsteam und Verantwortlichkeiten festlegen

Als Praxisinhaber trägst du die Gesamtverantwortung. Bestimme klar, wer für IT-Themen zuständig ist. Auch wenn du einen externen IT-Dienstleister beauftragst: Du musst intern Verantwortlichkeiten definieren – insbesondere für die Datensicherung, Schulungen und Updates.

Schritt 2: Mitarbeiterschulungen planen

Organisiere noch im Sommer 2025 verpflichtende Schulungen zum Thema Informationssicherheit für dein gesamtes Team. Nutze dabei praxisnahe Inhalte: Wie erkenne ich Phishing-E-Mails? Wie schütze ich mich im Umgang mit mobilen Endgeräten oder USB-Sticks? Dokumentiere jede Schulung, um bei Prüfungen nachweisen zu können, dass du deine Pflicht erfüllt hast.

Schritt 3: Datensicherungen überprüfen

Mach keine Kompromisse bei Backups! Stelle sicher, dass täglich gesichert wird – und übe mindestens einmal im Quartal die Wiederherstellung. Nur so kannst du im Ernstfall Patientendaten wiederherstellen. Definiere klare Verfahren, benenne eine zuständige Person und dokumentiere alles schriftlich.

Schritt 4: Software auf den Prüfstand stellen

Welche Betriebssysteme und Programme laufen bei dir? Gibt es Alt-Software, für die es keine Sicherheitsupdates mehr gibt? Diese muss ersetzt oder strikt vom Praxisnetz getrennt werden. Sorge dafür, dass Updates nicht nur geplant, sondern auch tatsächlich installiert werden.

Schritt 5: Cloud-Dienste prüfen

Falls du Cloud-Anwendungen nutzt (z. B. für Bildarchivierung, Kommunikation oder Backup), kontrolliere unbedingt, ob der Anbieter ein aktuelles C5-Testat des BSI vorweisen kann. Nur dann ist der Einsatz im Gesundheitswesen zulässig.

Schritt 6: Dokumentation vorbereiten

Erstelle ein IT-Sicherheitskonzept, das alle Punkte umfasst. Die KBV stellt dafür Musterunterlagen zur Verfügung. Halte darin Prozesse, Zuständigkeiten und Kontrollen fest. So bist du für eine Prüfung durch die Kassenärztliche Vereinigung bestens gerüstet.

Schritt 7: Externe IT-Partner einbinden

Viele Aufgaben – etwa die Absicherung des Praxisnetzes, die Pflege des Virenschutzes oder das Patchmanagement – kannst du an Profis übergeben. Achte aber darauf, dass auch Verträge zur Auftragsverarbeitung bestehen und dass der IT-Dienstleister nachweislich datenschutzkonform arbeitet.

Fazit: Jetzt aktiv werden

Die neue Richtlinie bedeutet mehr Verantwortung, aber auch die Chance, deine Praxis krisenfest aufzustellen. Nutze die kommenden Monate für eine strukturierte Umsetzung. Wenn du dir unsicher bist, ziehe frühzeitig fachkundige Unterstützung hinzu. Denn: Wer im Oktober 2025 noch nichts unternommen hat, wird es schwer haben.

Weitere Informationen, Schulungsvorlagen und technische Checklisten findest du direkt bei der KBV: https://hub.kbv.de/display/itsrl