Mehr Cybersicherheit für Ärzte & Praxen
Vorgaben zur IT-Sicherheit
seit dem 1. Oktober 2025 sind alle Praxen verpflichtet, die IT-Sicherheitsrichtlinie
der KBV einzuhalten. Ziel ist der Schutz sensibler Patientendaten vor
Hackern.
Wer die Vorgaben nicht erfüllt, riskiert Honorarkürzungen,
Bußgelder und im Ernstfall auch Reputationsschäden.
Unsere Kompetenz ist zertifiziert
Richtlinie nach § 390 SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit
Vorgaben zur IT-Sicherheit
Die IT-Sicherheitsrichtlinie der KBV gemäß § 390 SGB V verpflichtet Arzt- und Psychotherapiepraxen, den Schutz sensibler Patientendaten nach klar definierten Sicherheitsstandards zu gewährleisten. Sie beschreibt verbindliche Anforderungen an IT-Sicherheit in der Arztpraxis, darunter Netzwerkschutz, Zugriffskontrollen, Datensicherung, Patchmanagement und den sicheren Betrieb der Telematikinfrastruktur (TI).
Ziel ist es, Cyberangriffe zu verhindern, Systemausfälle zu vermeiden und das Vertrauen in digitale Gesundheitsprozesse zu stärken.
Apollon Security unterstützt Praxen und medizinische Einrichtungen dabei, die KBV-IT-Sicherheitsanforderungen effizient und praxisnah umzusetzen – von der Analyse und technischen Härtung bis zur auditfähigen Dokumentation. So entsteht echte Informationssicherheit, die schützt, statt zu überfordern.
Praxisgrößen und Anforderungskategorien
Kleine Praxis
Einzelpraxis oder kleine Berufsausübungsgemeinschaft mit wenigen Beschäftigten (i.d.R. 1–5 Personen).
- Einzelarztpraxis für Allgemeinmedizin
- Einzelpraxis für Psychotherapie
- Kleine Facharztpraxis mit minimalem IT-Betrieb
Mittlere Praxis
Berufsausübungsgemeinschaften oder größere Praxen mit mehreren Ärztinnen und Ärzten (6–20 Beschäftigte).
- Gemeinschaftspraxis mit mehreren Fachrichtungen
- MVZ mit mehreren Standorten
- Praxis mit eigenem Praxisverwaltungssystem (PVS) und mehreren Netzwerkkomponenten
Große Praxis / Medizinisches Versorgungszentrum (MVZ)
Größere medizinische Einrichtungen oder MVZ mit mehr als 20 Beschäftigten und komplexer IT-Infrastruktur.
- Großes MVZ mit Laboranbindung
- Radiologiezentrum mit eigener IT
- Fachkliniken mit ambulanter Versorgung
Referenzbeispiele zur Absicherung gemäß KBV Vorgaben zur IT-Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Bronze Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Silber Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Bronze Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Silber Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Bronze Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Bronze Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Gold Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Silber Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Bronze Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Silber Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Silber Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Branche:
Medizin
Funktion:
Service zur Sicherstellung der IT-Sicherheit - Silber Paket
Verantwortungsbereiche:
- Analyse gemäß KBV Vorgaben der vorhandenen IT-Sicherheitsmaßnahmen
- Etablierung eines Cyber Awareness Schulungsprogramms
- Einführung einer professionellen Anti-Virus Software inkl. Monitoring durch Cyber Security Experten
- Definition und Implementierung von Incident Management Prozessen
- Erstellung von Templates für die IT-Sicherheit, Onboarding, Offboarding usw.
- Backup Richtlinien & Prozesse
- Etablierung von Patch-Management Prozessen
- Smartphone, Tablet Sicherheit
- E-Mail Sicherheit
Wo stehen die Anforderungen?
Links & Infos zu den Anforderungen
- Liste zertifizierter Anbieter des KBV (LINK)
- Anforderungen der IT-Sicherheit an kleine Praxen (LINK)
- Anforderungen an mittlere Praxen (LINK)
- Anforderungen an große Praxen (LINK)
- Anforderungen an medizinische Großgeräte (LINK)
- Anforderungen für dezentrale Komponenten der Telematik Infrastruktur (LINK)
- Fortbildungen (LINK)
- Musterdokumente (LINK)
FAQs
Die Richtlinie gilt für alle an die Telematikinfrastruktur angeschlossenen Arzt- und Psychotherapiepraxen – unabhängig von Fachrichtung oder Praxisgröße. Die Anforderungen sind gestaffelt nach Praxisgröße (klein, mittel, groß), um eine praxisgerechte Umsetzung zu ermöglichen.
Zu den wichtigsten Maßnahmen zählen Firewall-Schutz, aktuelle Virensoftware, regelmäßige Datensicherung, sichere Passwörter, Patchmanagement, Verschlüsselung sensibler Daten und Zugriffskontrollen. Auch organisatorische Prozesse wie Notfallmanagement und Schulungen sind verpflichtend.
Die Praxisinhaberin oder der Praxisinhaber ist verantwortlich für die Umsetzung der KBV-Vorgaben. Die operative Betreuung kann jedoch an externe IT-Dienstleister oder Informationssicherheitsbeauftragte ausgelagert werden – die Gesamtverantwortung bleibt aber in der Praxis.
Fehlende oder unzureichende Schutzmaßnahmen können zu Datenschutzverstößen, Systemausfällen und im schlimmsten Fall zu Bußgeldern nach DSGVO führen. Darüber hinaus kann die KBV bei schwerwiegenden Verstößen Maßnahmen zur Nachbesserung einfordern.
Praxen müssen ihre IT-Sicherheitsmaßnahmen regelmäßig – mindestens einmal jährlich – überprüfen und dokumentieren. Bei größeren Änderungen in der Infrastruktur (z. B. Serverumzug, neue Software) ist eine sofortige Neubewertung erforderlich.
Die Einstufung richtet sich nach der Anzahl der Beschäftigten und der Komplexität der IT-Struktur:
- Kleine Praxen: bis 5 Mitarbeitende
- Mittlere Praxen: 6–20 Mitarbeitende
- Große Praxen / MVZ: mehr als 20 Mitarbeitende
Je größer die Praxis, desto umfangreicher die IT-Sicherheitsanforderungen.
Die TI ist das digitale Rückgrat der medizinischen Versorgung. Praxen müssen den sicheren Betrieb und Schutz dieser Anbindung gewährleisten – inklusive Zugriffsmanagement, physischer Sicherheit und aktueller Konnektoren. Verstöße können den TI-Zugang gefährden.
Apollon Security begleitet Praxen bei der vollständigen Umsetzung der KBV-IT-Sicherheitsrichtlinie – von der Erstanalyse über technische Absicherung bis zur auditfähigen Dokumentation. Dabei liegt der Fokus auf praxisnahen, effizienten Lösungen, die Schutz bieten, ohne den Alltag zu behindern.
Die Verantwortung für die Einhaltung der NIS2-Anforderungen liegt beim Unternehmen selbst. Neu ist jedoch die ausdrückliche Pflicht der Geschäftsleitung, für eine wirksame Umsetzung der Sicherheitsmaßnahmen zu sorgen. Bei Pflichtverletzungen können Führungskräfte persönlich haftbar gemacht werden. Dies umfasst sowohl zivilrechtliche als auch ggf. strafrechtliche Konsequenzen. Insbesondere bei nachweisbarer Fahrlässigkeit oder unterlassener Compliance.