Cybersicherheit

NIS2 im Gesundheitswesen: Was Arztpraxen und Kliniken jetzt wissen müssen

11 Min. Lesezeitvon Sebastian GrundMärz 2025

Was ist NIS2?

NIS2 steht für die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Systems Directive 2). Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich.

In Deutschland wird NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Das Ziel: Mehr Organisationen sollen grundlegende Cybersicherheitsmaßnahmen umsetzen, um kritische Infrastrukturen besser zu schützen.

Zeitplan NIS2 in Deutschland

Oktober 2024Ursprüngliche EU-Umsetzungsfrist (Deutschland hat diese verpasst)
2025Erwartete Umsetzung durch NIS2UmsuCG in deutsches Recht
Nach InkrafttretenBetroffene Einrichtungen müssen sich beim BSI registrieren

NIS2 im Gesundheitswesen: Wer ist betroffen?

Das Gesundheitswesen zählt zu den sogenannten kritischen Sektoren nach NIS2. Allerdings gilt das nicht pauschal für jede Arztpraxis. Die Einstufung hängt von Größe und Art der Einrichtung ab.

NIS2 unterscheidet zwischen wesentlichen Einrichtungen (essential entities) undwichtigen Einrichtungen (important entities):

Wesentliche EinrichtungenSchwellenwert: Mehr als 250 Mitarbeiter ODER mehr als 50 Mio. € UmsatzBeispiele: Große Kliniken, Krankenhauskonzerne, große MVZ
Wichtige EinrichtungenSchwellenwert: Mehr als 50 Mitarbeiter ODER mehr als 10 Mio. € UmsatzBeispiele: Mittlere Kliniken, Reha-Zentren, größere MVZ

Für kleine Arztpraxen: Einzelpraxen und kleine Gemeinschaftspraxen mit weniger als 50 Mitarbeitern fallen in der Regel nicht unter NIS2. Dennoch empfehlen wir, grundlegende Cybersicherheitsmaßnahmen umzusetzen – nicht aus gesetzlicher Pflicht, sondern zum Schutz Ihrer Patientendaten.

Arztpraxen und NIS2: Konkrete Pflichten

Für Arztpraxen, die unter NIS2 fallen (mittlere bis große Praxen, MVZ), gelten folgende Kernpflichten:

  • Registrierung beim BSIBetroffene Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren.
  • Risikoanalyse und -managementSystematische Identifikation und Bewertung von IT-Risiken – mindestens einmal jährlich.
  • SicherheitskonzeptDokumentiertes Informationssicherheitskonzept nach dem Stand der Technik.
  • Incident ResponseVerfahren zur Erkennung und Meldung von Sicherheitsvorfällen. Meldepflicht an BSI binnen 24 Stunden bei schwerwiegenden Vorfällen.
  • Supply-Chain-SicherheitAuch Dienstleister und Lieferanten müssen Sicherheitsanforderungen erfüllen.
  • SchulungenRegelmäßige Schulungen aller Mitarbeiter zu Cybersicherheitsthemen.

Kliniken und MVZ: Weitergehende Anforderungen

Kliniken und große MVZ, die als wesentliche Einrichtungen eingestuft werden, unterliegen strengeren Anforderungen und höheren Bußgeldern. Zusätzlich zu den oben genannten Pflichten kommen hinzu:

  • Implementierung von Zugangskontrollen und Identitätsmanagement
  • Verschlüsselung von Patientendaten im Ruhezustand und bei der Übertragung
  • Business Continuity Management (Notfallpläne)
  • Regelmäßige Penetrationstests
  • Nachweis der Konformität gegenüber dem BSI auf Anfrage
  • Persönliche Haftung der Geschäftsführung bei Pflichtverletzung

Was muss konkret umgesetzt werden?

Auch wenn Ihre Praxis formal nicht unter NIS2 fällt – diese Basismaßnahmen schützen Ihre Patientendaten und sind heute für jede Praxis zu empfehlen:

Technische Maßnahmen

  • Firewalls und Antivirensoftware aktuell halten
  • Regelmäßige Software-Updates (Patch-Management)
  • Datensicherung mit offline/off-site Kopien
  • Starke Passwörter und Zwei-Faktor-Authentifizierung
  • Verschlüsselung von Patientendaten

Organisatorische Maßnahmen

  • Datenschutzbeauftragter (sofern pflichtend)
  • Mitarbeiterschulungen zu Phishing und Social Engineering
  • Zugriffsrechte nach dem Prinzip der minimalen Berechtigung
  • Dokumentierter Incident-Response-Plan
  • Regelmäßige Risikoanalyse

Was droht bei Nichteinhaltung?

Die Bußgelder nach NIS2 sind empfindlich:

Wesentliche Einrichtungenbis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungenbis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Zusätzlich können Geschäftsführer und Vorstände persönlich haftbar gemacht werden. Das ist eine wesentliche Neuerung gegenüber der alten NIS-Richtlinie.

Nächste Schritte für Ihre Praxis

Unabhängig davon, ob Ihre Praxis formal unter NIS2 fällt:

  1. 1
    Prüfen Sie, ob Ihre Praxis die Schwellenwerte für NIS2 erreicht
  2. 2
    Führen Sie eine einfache IT-Risikoanalyse durch
  3. 3
    Stellen Sie sicher, dass Basis-Sicherheitsmaßnahmen umgesetzt sind
  4. 4
    Sprechen Sie mit Ihrem IT-Dienstleister über NIS2-Konformität
  5. 5
    Schulen Sie Ihre Mitarbeiter zu Phishing und Passwortsicherheit
  6. 6
    Planen Sie eine jährliche Überprüfung Ihrer IT-Sicherheit ein

NIS2-Compliance für Ihre Praxis klären?

In einer Digital-Sprechstunde klären wir, ob und wie NIS2 Ihre Einrichtung betrifft, und welche Maßnahmen Sie mit welcher Priorität angehen sollten.