Ab 2026 gelten für Arztpraxen verschärfte IT-Sicherheitsanforderungen: Die europäische NIS2-Richtlinie und das deutsche Umsetzungsgesetz betreffen auch Einrichtungen im Gesundheitswesen, und die KBV-Sicherheitsrichtlinie schreibt konkrete technische Maßnahmen für alle Vertragsarztpraxen vor.
Hintergrund
Die KBV-Sicherheitsrichtlinie nach §75b SGB V verpflichtet alle Vertragsarztpraxen unabhängig von ihrer Größe zu Mindeststandards in der IT-Sicherheit: Firewall, Virenschutz, regelmäßige Updates und verschlüsselte Kommunikation über die Telematikinfrastruktur (TI) sind Pflicht. Für größere Praxen und MVZ mit mehr als fünf Ärzten gelten zusätzliche Anforderungen, darunter ein IT-Sicherheitsbeauftragter und regelmäßige Audits. Cyberangriffe auf Arztpraxen haben in den letzten Jahren stark zugenommen, daher wurde der Regulierungsrahmen 2026 weiter verschärft.
Wann gilt das nicht?
Rein privatärztliche Praxen ohne Kassenzulassung unterliegen nicht der KBV-Sicherheitsrichtlinie, müssen aber DSGVO-Anforderungen erfüllen. Kleine Praxen unterhalb definierter Schwellenwerte sind von einzelnen NIS2-Anforderungen ausgenommen.
Ärzteversichert empfiehlt, einen auf Arztpraxen spezialisierten IT-Dienstleister hinzuzuziehen und die Anforderungen der KBV-Sicherheitsrichtlinie systematisch umzusetzen, um Bußgelder und Haftungsrisiken zu vermeiden.
Ab 2026 gelten verschärfte IT-Sicherheitspflichten für Arztpraxen durch NIS2 und die aktualisierte KBV-Sicherheitsrichtlinie. Alle Vertragsarztpraxen müssen Mindeststandards für Firewall, Virenschutz und TI-Sicherheit erfüllen.
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →