Im Digitale-Versorgung-Gesetz von Ende 2019 wurde die Kassenärztliche Bundesvereinigung (KBV) dazu verpflichtet, eine IT-Sicherheitsrichtlinie für Arztpraxen zu verfassen, in Absprache mit dem BSI. Auch eine Zertifizierungsrichtlinie für die Zertifizierung der IT-Dienstleister im Hinblick auf die Sicherheitsrichtlinie durch die KBV war vorgesehen. Das sollte eigentlich bis Mitte 2020 erledigt sein, doch die KBV ließ die Frist verstreichen – unter anderem mit Verweis auf eine unklare Finanzierung und obwohl bis dahin die Sprachregelung galt, dass IT-Sicherheit „diesseits“ des TI-Konnektor zur vertragsärztlichen Versorgung gehöre und damit mit der normalen EBM-Vergütung abgedeckt sei.
Tatsächlich war die Sache wohl komplizierter, und es ging nicht nur ums Geld: Es scheint im Sommer eine von der KBV entwickelte und mit dem BSI abgestimmte Richtlinie auf Basis des BSI Grundschutz gegeben zu haben, die die Kassenzahnärztliche Bundesvereinigung (KZBV) von vornherein als zu kompliziert abgelehnt hatte. Die KZBV hat im Gefolge dann ihre eigene Sicherheitsrichtlinie, „Kochbuch“ genannt, veröffentlicht und sich aus dem gemeinsamen Prozess erst einmal ausgeklinkt. Auch die KBV machte dann aber und damals überraschend den erwähnten Rückzieher.
Industrieunternehmen und Sicherheitsexperten sehen Verbesserungsbedarf
Die KBV hat in der Folge eine abgespeckte Form der IT-Sicherheitsrichtlinie entwickelt. Diese Kurzform der KBV-Richtlinie wurde den IT-Verbänden am 25. November mit Frist bis 2. Dezember zur Kommentierung vorgelegt. Die Verbände haben diese kurzfristige Kommentierung zumindest teilweise abgelehnt, unter anderem hat der Bundesverband Gesundheits-IT (BVITG) keine Kommentierung durchgeführt. Nach einem Bericht des zahnärztlichen Branchenmagazins zm-online ist die Kurzform der Richtlinie auch vom BSI abgelehnt worden.
Vertreter unterschiedlicher IT-Unternehmen haben gegenüber E-HEALTH-COM deutliche Kritik an der zur Kurzform der Sicherheitsrichtlinie geübt. Die Umsetzungsfristen der einzelnen Maßnahmen seien teilweise wesentlich zu lang, auch seien viele Maßnahmen zu unkonkret formuliert, andere teilweise trivial. Wiederholt wurde geäußert, dass interne Sicherheitsrichtlinien der Hersteller über das, was die KBV jetzt vorschlägt, deutlich hinausgingen. Kritik kam einem Bericht des Handelsblatts zur Folge auch von dem unabhängigen IT-Sicherheitsexperten Martin Tschirsich.
Kommt die Sicherheitsrichtlinie auf den Gabentisch?
In jedem Fall hat die KBV auf ihrer virtuellen Vertreterversammlung vom 4. Dezember diese Kurzform der IT-Sicherheitsrichtlinie sowie eine entsprechende Zertifizierungsrichtlinie zur Abstimmung gestellt. Das Ergebnis der Abstimmung ist noch nicht klar, da wegen der virtuellen Veranstaltung im Nachgang schriftlich abgestimmt wird. Kurz vor Weihnachten könnte es so weit sein.
Aber es bleiben Unklarheiten: KBV-Vorstand Thomas Kriedel sagte nach einem Bericht des Deutschen Ärzteblatts, dass es gelungen sei, „einen mit dem BSI konsentierten Vorschlag für die IT-Sicherheitsrichtlinie sowie einen Vorschlag für die Zertifizierungsrichtlinie in Form eines Antrags zur schriftlichen Abstimmung“ zu stellen. Das widerspricht den anderen Darstellungen. Hat das BSI also doch noch eingelenkt, mit oder ohne Druck aus dem Bundesgesundheitsministerium? Vom BSI erhielt E-HEALTH-COM hierzu keine Stellungnahme.
Weitere Informationen
https://www.zm-online.de/news/politik/kzbv-will-eigene-it-sicherheitsrichtlinie-vorlegen/