Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

NIS-2: Cybersicherheits-Pflichten für größere Praxen und MVZ

News

Das deutsche Umsetzungsgesetz zur europäischen NIS-2-Richtlinie ist seit 6. Dezember 2025 in Kraft. Die neuen Vorgaben sind im novellierten BSI-Gesetz geregelt und verschärfen die Anforderungen an die IT- und Informationssicherheit erheblich.

Die Regelungen betreffen nicht nur Krankenhäuser, sondern ausdrücklich auch größere und umsatzstarke Arztpraxen sowie Medizinische Versorgungszentren (MVZ).

  1. Wer ist betroffen?

Eine Praxis oder ein MVZ gilt als „wichtiges Unternehmen“, wenn mindestens eines der folgenden Kriterien erfüllt ist:

  • mindestens 50 Beschäftigte
    oder
  • mehr als 10 Mio. Euro Jahresumsatz

Nur wenn diese Schwellenwerte erreicht werden, greifen die erweiterten gesetzlichen Pflichten. Kleinere Praxen ohne Erreichen der Schwellenwerte sind nicht unmittelbar betroffen, können als Dienstleister einer größeren Einrichtung ggf. dennoch betroffen sein.

  1. Empfohlener erster Schritt: Betroffenheitsprüfung

Wir empfehlen dringend, die offizielle NIS-2-Betroffenheitsprüfung über das Bundesamt für Sicherheit in der Informationstechnik (BSI) durchzuführen.

Das Ergebnis sollte intern dokumentiert und im Qualitäts- bzw. Risikomanagement hinterlegt werden. Diese Dokumentation ist im Zweifel gegenüber Aufsichtsbehörden nachweisrelevant.

  1. Welche Pflichten gelten bei Betroffenheit?

Wird Ihre Einrichtung als „wichtig“ oder „besonders wichtig“ eingestuft, bestehen insbesondere folgende Verpflichtungen:

A) Registrierungspflicht

Betroffene Einrichtungen müssen sich beim BSI registrieren.

B) Meldepflicht bei Sicherheitsvorfällen

Erhebliche IT-Sicherheitsvorfälle sind dem BSI verpflichtend zu melden:

  • innerhalb von 24 Stunden: Erstmeldung
  • innerhalb von 72 Stunden: Bewertung der Auswirkungen
  • innerhalb eines Monats: Abschlussbericht

Meldepflichtig können u. a. sein:

  • Ransomware-Angriffe
  • längere Systemausfälle
  • Datenabfluss
  • erhebliche Störungen der Praxis-IT oder Telematikinfrastruktur

C) Umsetzung von Mindestanforderungen an die IT-Sicherheit

Erforderlich sind angemessene technische und organisatorische Maßnahmen, z. B.:

• Risikoanalyse und Risikomanagement
• Notfall- und Wiederanlaufkonzepte
regelmäßige Datensicherungen
• Multi-Faktor-Authentifizierung
Awareness-Schulung des Personals im Bereich Cybersicherheit
• Dokumentation eines Informationssicherheitsmanagements

D) Verantwortung der Geschäftsleitung

Die Praxisinhaber bzw. die Geschäftsführung eines MVZ sind ausdrücklich verpflichtet, die Einhaltung der Anforderungen zu überwachen. Anders als bei Datenschutzvorfällen, wird nach dem NIS2UmsuCG die Geschäftsleitung persönlich in Anspruch genommen. Eine vollständige Delegation auf IT-Dienstleister ist rechtlich nicht ausreichend.

  1. Aufsicht und Bußgelder

Die Aufsichtsbehörden erhalten erweiterte Kontroll- und Durchsetzungsbefugnisse.
Bei Verstößen drohen erhebliche Bußgelder.

  1. Unsere Empfehlung

Betroffene Einrichtungen sollten strukturiert vorgehen:

  1. Durchführung und Dokumentation der Betroffenheitsprüfung
  2. Registrierung beim BSI (falls erforderlich)
  3. IT-Sicherheitsaudit bzw. Bestandsaufnahme
  4. Erstellung eines Maßnahmenplans
  5. Einrichtung klarer Meldeprozesse
  6. Awareness-Schulung der Mitarbeitenden
  7. Prüfung der Organhaftung und internen Verantwortlichkeiten

Je nach Gesellschaftsform und Haftungsstruktur kann zusätzlich eine rechtliche Beratung sinnvoll sein. Diese Rechtsberatung darf nur von Volljuristen durchgeführt werden.

Gerne unterstützen wir Sie bei der Einordnung Ihrer individuellen Situation, bei der Bewertung Ihrer IT-Strukturen sowie bei der Umsetzung der erforderlichen organisatorischen Maßnahmen.

Bitte sprechen Sie uns an, wenn Sie eine individuelle Prüfung oder Begleitung wünschen.