· Mehdi Aroui · Medical IT  · Lesedauer von ca. 3 Min.

IT-Sicherheitsanforderungen für Ihre Arztpraxis: §390 SGB V und IT-SiG 2.0

Welche IT-Sicherheitspflichten Arztpraxen und MVZ seit 2025 erfüllen müssen: §390 SGB V, IT-Sicherheitsgesetz 2.0 und die Rolle der Telematikinfrastruktur. Medical IT und Netzleiter begleiten Praxen in Hamburg.

Welche IT-Sicherheitspflichten Arztpraxen und MVZ seit 2025 erfüllen müssen: §390 SGB V, IT-Sicherheitsgesetz 2.0 und die Rolle der Telematikinfrastruktur. Medical IT und Netzleiter begleiten Praxen in Hamburg.

Patientendaten sind besonders schutzwürdig, die Telematikinfrastruktur muss im laufenden Betrieb erreichbar sein, und Sicherheitslücken können Bußgelder oder Behandlungsunterbrechungen nach sich ziehen. Der Gesetzgeber hat die Anforderungen an die IT-Sicherheit in Arztpraxen deshalb in den letzten Jahren deutlich verschärft. Zwei Regelwerke sind dabei zentral: §390 SGB V und das IT-Sicherheitsgesetz 2.0.

§390 SGB V: Nachfolger der bekannten §75b-Richtlinie

Bis Ende 2024 regelte §75b SGB V die IT-Sicherheitspflichten für Vertragsarztpraxen. Seit 2025 gilt der Nachfolger §390 SGB V, der die Vorgaben der Kassenärztlichen Bundesvereinigung (KBV) fortschreibt und in Teilen verschärft. Grundlage bleibt die KBV-IT-Sicherheitsrichtlinie, die für alle Praxen mit Kassenzulassung verbindlich ist.

Die Anforderungen sind nach Praxisgröße und Einrichtungstyp gestaffelt. Kleinstpraxen haben ein schlankes Mindestprofil, MVZ und Praxen mit mehreren Standorten müssen darüber hinaus gehende Nachweise erbringen.

Was jede Praxis umsetzen muss

Unabhängig von Größe und Fachrichtung gelten folgende Mindestmaßnahmen:

  • Aktuelle Antivirensoftware auf allen Praxisrechnern und Servern
  • Firewall mit nachvollziehbarer, dokumentierter Konfiguration
  • Regelmäßige Datensicherung inklusive nachgewiesenem Wiederherstellungstest
  • Verschlüsselte Verbindungen für praxisrelevante Anwendungen
  • Sperrverfahren für verlorene oder gestohlene Diensthandys (SIM-Sperre)
  • Malware-Prüfung von Wechseldatenträgern vor dem Einsatz
  • Interne Netzwerkdokumentation
  • Zeitnahe Sicherheitsupdates für TI-Komponenten wie KocoBox und Secunet-Konnektoren

Eine Übersicht der zugehörigen Prüfkriterien finden Sie auf unserer Seite zur IT-Sicherheit und Expertise für Praxen.

Erweiterte Pflichten ab mittlerer Einrichtungsgröße

Praxen mit höherem Patientendurchsatz, mehreren Standorten oder MVZ-Struktur müssen zusätzlich nachweisen:

  • Eine schriftliche Regelung zur Nutzung mobiler Geräte mit Vorgaben zur App-Berechtigung
  • Dokumentierte Sicherheitsrichtlinien für alle Mitarbeitenden
  • Ein nachweisbares Patch-Management mit lückenlosem Protokoll

Diese Nachweispflichten sind keine Formalität. KBV-Prüfungen verlangen belastbare Unterlagen, nicht nur technische Einstellungen.

IT-Sicherheitsgesetz 2.0: was MVZ und größere Einrichtungen betrifft

Das IT-Sicherheitsgesetz 2.0 richtet sich an Betreiber kritischer Infrastrukturen (KRITIS). Größere MVZ und Krankenhäuser können in diese Kategorie fallen und unterliegen dann verschärften Meldepflichten gegenüber dem BSI, dem Einsatz von Systemen zur Angriffserkennung sowie einem erhöhten Nachweisstandard.

Für kleinere Praxen gilt das IT-SiG 2.0 nicht direkt. Sie müssen aber §390 SGB V vollständig erfüllen. Die TI-Komponenten Ihrer Praxis berühren dabei direkt die Anforderungen an sichere Verbindungen. Details zur Infrastruktur finden Sie auf unserer Seite zur Telematikinfrastruktur.

Wie Medical IT und Netzleiter Praxen absichern

Medical IT ist die auf Arztpraxen und MVZ spezialisierte Praxis-IT-Marke des Hamburger Systemhauses Netzleiter. Netzleiter ist nach §390 SGB V durch die KBV zertifiziert und Gematik-Partner für den KoCoBox-Konnektor. Das bedeutet: Wir dürfen die geforderten Maßnahmen nicht nur empfehlen, sondern nachweislich umsetzen.

Unser Leistungspaket für die praxiskonforme IT-Sicherheit umfasst:

  • ESET Endpoint Security mit zentraler Verwaltungskonsole
  • Veeam-Backup mit dokumentiertem Wiederherstellungstest
  • Firewall-Konfiguration und strukturiertes Patch-Management
  • KocoBox-Einrichtung und laufende TI-Betreuung
  • Dokumentation für KBV-Prüfungen und interne Audits

Sprechen Sie uns an, bevor ein Prüftermin oder ein Sicherheitsvorfall den Handlungsdruck erzeugt. Wir analysieren den aktuellen Stand Ihrer Praxis-EDV und benennen konkrete Maßnahmen. Erreichbar sind wir unter 040 20949767 oder über das Kontaktformular auf medical-it.org.

Häufige Fragen

Was unterscheidet §75b SGB V von §390 SGB V? §390 SGB V ist seit 2025 der gesetzliche Nachfolger von §75b. Die KBV-IT-Sicherheitsrichtlinie, die die konkreten Schutzmaßnahmen benennt, bleibt weiterhin die operative Grundlage. Inhaltlich wurden die Anforderungen fortgeschrieben und in Teilen erweitert.

Gilt das IT-Sicherheitsgesetz 2.0 für meine Praxis? Das IT-SiG 2.0 gilt unmittelbar für KRITIS-Betreiber. Kleinere Praxen fallen in der Regel nicht darunter, müssen aber §390 SGB V vollständig erfüllen. Größere MVZ sollten prüfen, ob sie die KRITIS-Schwellenwerte im Gesundheitssektor erreichen.

Brauche ich für die Umsetzung einen zertifizierten IT-Dienstleister? Die KBV-Richtlinie schreibt keinen zertifizierten Dienstleister vor, empfiehlt aber die Zusammenarbeit mit Fachleuten, die die Anforderungen nachweislich kennen. Ein KBV-zertifizierter Partner wie Netzleiter dokumentiert die Umsetzung so, dass sie bei einer Prüfung standhält.

Was passiert, wenn meine Praxis die Anforderungen nicht erfüllt? Praxen, die die KBV-IT-Sicherheitsrichtlinie nicht umsetzen, riskieren Beanstandungen bei Prüfungen und im Schadensfall eine erschwerte Rechtsposition. Das BSI kann bei KRITIS-Betreibern zusätzlich Sanktionen einleiten.

Weiterlesen aus unserem Praxis-IT-Blog:

Share:
Back to Blog

Related Posts

View All Posts »