Ein Teil der in den Anlagen zur IT-Sicherheitsrichtlinie festgelegten Maßnahmen gilt bereits recht kurzfristig ab dem 01. April 2021. Für andere Maßnahmen ergeben sich etwas längere Umsetzungszeiten, sodass diese Maßnahmen ab dem 01. Januar 2022 verbindlich werden. Bei einigen Maßnahmen ergeben sich auch davon abweichende Umsetzungsfristen.
Inhaltlich betreffen die Umsetzungsmaßnahmen insbesondere zwei Kernbereiche. Dabei handelt es sich um:
- Software:
Rechner-Programme, mobile Apps und Internetanwendungen sowie
- Hardware:
Endgeräte und IT-Systeme
Im Rahmen der Umsetzung der IT- Sicherheitsrichtlinie empfiehlt es sich, die erforderlichen Maßnahmen aufzulisten und Stück für Stück durchzugehen und den Umsetzungsstand zu dokumentieren. Dabei kann insbesondere die von der KBV geschaffene Online-Plattform eine wertvolle Hilfe bieten. Hier finden sich neben verschiedenen Mustervorlagen auch konkrete Praxis- und Auslegungshinweise. Bei einigen Maßnahmen werden Praxen jedoch auch auf die Hilfe der IT- und EDV-Betreuung angewiesen sein, welche in den meisten Fällen durch externe Dienstleister übernommen wird. Eine interdisziplinäre Besprechung kann dabei sehr aufschlussreich sein und eine sinnvolle Aufgabenverteilung im Rahmen der Umsetzung der IT-Sicherheitsrichtlinie bewirken.
Im Ergebnis ist die Etablierung der IT- Sicherheitsrichtlinie für medizinische Einrichtungen sehr zu begrüßen. Auch wenn sich die Vorfreude bei einigen Ärztinnen und Ärzten aufgrund der knappen zeitlichen Umsetzung sowie der damit verbundenen Aufwände in Grenzen halten sollte, so verfügen Praxen damit allerdings über verlässliche Standards zur konkreten Umsetzung von IT-Sicherheitsmaßnahmen. Im Übrigen könnten sich daraus auch hilfreiche Ableitungen und Orientierungshilfen für andere im Gesundheitswesen tätige Einrichtungen, zum Beispiel Apotheken, ergeben.
Gleichwohl sei darauf hingewiesen, dass es sich bei den in der derzeitigen IT-Sicherheitsrichtlinie genannten Anforderungen um Mindest- anforderungen handelt. Die Richtlinie wird in regelmäßigen Abständen überprüft und ggf. überarbeitet. Aus diesem Grund sollten Praxen die für sie geltenden Anordnungen der IT- Sicherheitsrichtlinie stets im Blick behalten.