Neue Regeln zur Cybersicherheit: Für große Arztpraxen und MVZ verpflichtend

Der Gesetzgeber verlangt jetzt, dass Unternehmen ihre IT-Systeme besser absichern. Deutschlandweit sind davon auch etwa 1.000 Arztpraxen und Medizinische Versorgungszentren (MVZ) betroffen. 

Falls Sie sich als MFA um das Praxismanagement kümmern, prüfen Sie bitte im ersten Schritt, ob die neue Richtlinie auch für Sie gilt. Das ist der Fall, wenn: 

• in der Praxis oder im MVZ mindestens 50 Personen arbeiten 

• oder der Jahresumsatz bei mindestens 10 Millionen Euro liegt 

Ab 250 Mitarbeitenden oder 50 Millionen Euro Jahresumsatz (43 Millionen Euro Jahresbilanzsumme) erfolgt sogar eine Einstufung als „besonders wichtiges Unternehmen“, was mit noch strengeren Vorgaben verbunden ist. Wer sich nicht daran hält, muss mit hohen Geldbußen rechnen. 

Registrierung der Praxis 

Ergibt diese sogenannte Betroffenheitsprüfung, dass Sie unter die neue Regelung fallen, registrieren Sie Ihre Praxis beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde stellt hierfür eine Schritt-für-Schritt-Anleitung zur Verfügung. Zudem ist es nötig, dass Praxisdaten verschlüsselt und Beschäftigte entsprechend geschult werden müssen. 

Die KBV unterstützt Praxen bei der Umsetzung der neuen Richtlinie. Sie stellt Informationen und Serviceangebote bereit. Dazu gehört zum Beispiel die zertifizierte Online-Fortbildung zur IT-Sicherheit im Fortbildungsportal. Auch gibt es Schulungsmaterial für Sie als MFA im KBV-Hub zur IT-Sicherheit.

Wichtig: Erhebliche IT-Sicherheitsvorfälle fristgerecht melden 

Falls in Ihrer Praxis oder in Ihrem MVZ erhebliche IT-Sicherheitsvorfälle auftreten sollten, müssen Sie diese dem Bundesamt melden. Das Gesetz definiert einen Vorfall als erheblich, wenn er den Betrieb stört oder Verluste verursacht. Gleiches gilt, wenn durch den Vorfall Menschen zu Schaden kommen.

Kriminelle könnten zum Beispiel das Praxisnetzwerk angreifen und Server lahmlegen. Patientinnen und Patienten werden abgewiesen, weil die Praxis schließen muss. Das schränkt natürlich die Versorgung ein. Hacker manipulieren womöglich ein MRT-Gerät. Das System arbeitet daraufhin falsch, was die Sicherheit von Patientinnen und Patienten gefährdet. Ein weiteres Beispiel: Hacker stehlen Stammdaten, Diagnosen, Befunde oder Medikationslisten. Sie drohen mit Erpressung oder Veröffentlichung der sensiblen Daten. 

Falls es zu solchen oder ähnlichen Vorfällen kommt, müssen Sie diese binnen 24 Stunden melden. Nach zweiundsiebzig Stunden schicken Sie einen ausführlichen Bericht. Nach 30 Tagen machen Sie entweder eine Folgemeldung oder schließen den Vorgang ab. Das sollten Hand in Hand mit dem IT-Beauftragten der Praxis erfolgen. 

So schützen Sie Ihre Praxis im Alltag 

Praxisleitungen und verantwortliche MFA können Maßnahmen umsetzen, damit Hacker keine Chance haben, zum Beispiel: 

Sprechen Sie im Team über Risiken aus dem Internet.

• Schulen Sie alle Mitarbeitenden, sodass sie Gefahren wie etwa betrügerische E-Mails erkennen.

• Sichern Sie Praxisdaten regelmäßig auf externen Speichermedien.

• Vergeben Sie Zugriffsrechte nur an Personen, die diese für die Arbeit in der Praxis benötigen.

• Aktualisieren Sie Ihre Software sowie Betriebssysteme, sobald neue Versionen verfügbar sind.

• Nutzen Sie Passwörter, die Sie in kurzen Zeitabständen ändern.

• Erstellen Sie einen Notfallplan. Damit wissen alle Mitarbeiterinnen und Mitarbeiter, was sie tun müssen, falls Kriminelle versuchen, auf die Praxisrechner zuzugreifen.