68 | BEKANNTMACHUNGEN zm115 Nr. 13, 01.07.2025, (1142) Richtlinie nach § 390 SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit A Anforderungen zur Gewährleistung der IT-Sicherheit I. Präambel Die Kassenzahnärztliche Bundesvereinigung hat nach § 390 Sozialgesetzbuch (SGB) Fünftes Buch (V) den Auftrag, Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragszahnärztlichen Versorgung zu regeln. Sie hat damit den Auftrag, den Stand der Technik der technisch-organisatorischen Maßnahmen im Sinne des Artikel 32 Datenschutz-Grundverordnung (DSGVO) zu standardisieren. Die hier getroffene Richtlinie erfüllt diesen Auftrag und dient damit dem Zweck, die Handhabung der Vorgaben der Datenschutz-Grundverordnung im Zusammenhang mit der elektronischen Datenverarbeitung für die vertragszahnärztliche Praxis zu vereinheitlichen und zu erleichtern. Die Richtlinie adressiert die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme in der vertragszahnärztlichen Praxis. Die Richtlinie legt technische und organisatorische Anforderungen fest und beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die Anforderungen der IT-Sicherheit zu gewährleisten. Mit der Umsetzung der Anforderungen werden die Risiken der IT-Sicherheit minimiert. Bei der Umsetzung können Risiken auch an Dritte, wie IT-Dienstleister oder Versicherungen, übertragen oder durch den Verantwortlichen akzeptiert werden. II. Geltungsbereich 1. Diese Richtlinie legt die in einer vertragszahnärztlichen Praxis erforderlichen Anforderungen an die IT-Sicherheit fest. 2. Der/die Praxisinhaber ist/sind verantwortlich für die IT-Sicherheit der Praxis und für die Einhaltung der Anforderungen dieser Richtlinie. Dies umfasst insbesondere auch, die erforderlichen Festlegungen und Regelungen gemäß dieser Richtlinie vorzugeben. Der/die Praxisinhaber kann/können die Umsetzung der einzelnen Anforderungen delegieren. III. Praxisgrössen und Anforderungskategorien Die umzusetzenden Anforderungen richten sich nach der Größe der Praxis. Dabei gilt Folgendes: 1. Praxis: Eine Praxis ist eine vertragszahnärztliche Praxis mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen. 2. Mittlere Praxis: Eine mittlere Praxis ist eine vertragszahnärztliche Praxis mit 6 bis 20 ständig mit der Datenverarbeitung betrauten Personen. 3. Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Eine Großpraxis oder Praxis mit Datenverarbeitung im erheblichem Umfang ist eine vertragszahnärztliche Praxis mit über 20 ständig mit der Datenverarbeitung betrauten Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Groß-Labore). IV. Anforderungen zur Gewährleistung der IT-Sicherheit in Praxen 1. Praxen nach A. III. 1. haben die Anforderungen aus Anlage 1 und 5 umzusetzen, soweit die Zielobjekte in der Praxis genutzt werden. 2. Praxen nach A. III. 2. haben die Anforderungen aus Anlage 1, 2 und 5 umzusetzen, soweit die Zielobjekte in der Praxis genutzt werden. 3. Praxen nach A. III. 3. haben die Anforderungen aus Anlage 1, 2, 3 und 5 umzusetzen, soweit die Zielobjekte in der Praxis genutzt werden. 4. Sofern in der Praxis medizinische Großgeräte, wie medizinische Analysegeräte (IVD-Geräte) in Laboren, Computertomograph (CT), Magnetresonanztomograph(MRT, Dental-MRT), Positronenemissionstomograph (PET) und Linearbeschleuniger (LINAC), eingesetzt werden, sind ergänzend die Anforderungen aus Anlage 4 umzusetzen. Die in dieser Richtlinie formulierten Anforderungen unterliegen einem kontinuierlichen Verbesserungsprozess mit einer jährlichen Evaluationspflicht. Die erforderliche Evaluation richtet sich an der jeweiligen Informationssicherheitslage aus. Inkrafttreten und Geltung Diese Richtlinie ersetzt die bisher geltende Richtlinie nach § 75b SGB V vom 01.02.2021, veröffentlicht in Ausgabe Nr. 3/2021 der zm, und tritt vorbehaltlich des Satzes 2 am Tag nach ihrer Veröffentlichung in den zm in Kraft. Die folgenden mit dieser Richtlinie neu hinzugekommenen oder inhaltlich geänderten Anforderungen treten am 02.01.2026 in Kraft. Neue Anforderungen: A1) 1-7 Personal 8-10 Sensibilisierung und Schulung zur Informationssicherheit 14-17 Patch- und Änderungsmanagement 22-26 Endgeräte 40,41 E-Mail-Client und -Server 50 Cloud-Anwendungen A3) 1 Personal 2 Netzwerksicherheit 15-17 E-Mail-Client und -Server A5) 5 gehosteter Konnektor 6 TI-Gateway Geänderte Anforderungen: A3) 7,8 Mobile Device Management (MDM) 10-12 Mobile Device Management (MDM)
RkJQdWJsaXNoZXIy MjMxMzg=