NIS-2-Richtlinie Cybersicherheit
Die EU‑Richtlinie NIS‑2 stärkt die Cyber‑ und IT‑Sicherheit auch im Gesundheitswesen. Seit 6. Dezember 2025 gelten für besonders große oder umsatzstarke Praxen und MVZ (es arbeiten dort mindestens 50 Personen oder es wird ein Jahresumsatz von über 10 Millionen Euro ausgewiesen) strengere, verbindlichere Vorgaben für die Stärkung der Cybersicherheit – also für den Schutz vor Angriffen auf das eigene Netzwerk und die Informationssicherheit.
Hintergrund ist die Umsetzung der europäischen NIS-2 Richtlinie aus dem Jahr 2022 zur Harmonisierung und Stärkung der Cybersicherheit in nationales Recht. Dieses Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz) ist am 6. Dezember 2025 in Kraft getreten.
Eine zentrale Vorgabe ist die Registrierung im Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Registrierungspflicht nach NIS‑2 für betroffene Praxen und MVZ
Welche Praxen betroffen sind und was die neuen Vorgaben bedeuten
Neue Vorgaben für Cybersicherheit: Hinweise für betroffene Praxen und MVZ
Fällt meine Praxis unter die NIS‑2-Richtlinie?
Wir empfehlen allen Einrichtungen, in denen 50 oder mehr Personen tätig sind, und Einrichtungen mit einem Jahresumsatz von 10 Mio. Euro oder mehr, umgehend online über das BSI zu überprüfen, inwieweit sie von den neuen Regelungen betroffen sind:
BSI: NIS-2-Betroffenheitsprüfung
Es kann ratsam sein, sich bei Unklarheiten beraten zu lassen. Diese Rechtsberatung darf nur von Volljuristen durchgeführt werden.
BSI‑Portal: Anmeldung, Voraussetzungen und praktische Anleitung
Für die konkrete Umsetzung der Vorgaben durch das "Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" gibt das BSI Hilfestellung. Diese Regelungen gelten auch für größere Praxen und MVZ als "wichtige Unternehmen" oder "besonders wichtige Unternehmen" im Sinne der NIS-2-Richtlinie.
Hilfe zur Umsetzung der NIS-2-Vorgaben
Die Transferstelle Cybersicherheit bietet digitale Hilfestellung zur Umsetzung der NIS-2 Vorgaben.
NIS-Registrierung: Fristen und Auswirkungen
Besteht auch nach Ende der Übergangsfrist am 6. März 2026 eine Registrierungspflicht?
Es müssen alle Einrichtungen, die unter NIS-2 fallen, im BSI Portal registriert werden. Diese Registrierung ist notwendig, um künftig erhebliche IT‑Sicherheitsvorfälle rechtskonform melden zu können.
Warum ist die Registrierung wichtig?
Ohne Registrierung können Vorfälle nicht fristgerecht gemeldet werden.
Die Meldepflicht gilt seit 6. Dezember 2025.
Fehlende Registrierung kann zu Bußgeldern führen.
Was passiert nach der Registrierung?
Nach erfolgreicher Registrierung gelten die regulären NIS‑2-Meldefristen bei erheblichen IT‑Sicherheitsvorfällen:
24 Stunden: Erstmeldung
72 Stunden: Detailbericht
1 Monat: Abschlussbericht
Damit stellt die Registrierung sicher, dass Einrichtungen ihre gesetzlichen Pflichten erfüllen und im Ernstfall schnell reagieren können. mehr zur Meldepflicht (BSI)
Darüber hinaus müssen Einrichtungen Risikomanagement implementieren und dokumentieren. mehr unter #nis2know-Infopakte (BSI)
Cybersicherheit - wichtig auch für kleinere Einrichtungen
Generelle Hinweise zur Cybersicherheit bei der Anbindung von Clouds und Rechenzentren bietet diese Checkliste der KBV:
Darauf sollten Praxen bei Anbietern von Clouds und Rechenzentren achten
Die Transferstelle Cybersicherheit bietet einen kostenfreien Online-Check, über welchen Einrichtungen ihre Maßnahmen zur IT-Sicherheit überprüfen, Handlungsempfehlungen erhalten und zusätzliche Materialien herunterladen können:
Mitgliederportal "Meine KVB"
Über das KVB-Mitgliederportal können Sie in Ihrer Praxis und von außerhalb verschiedene Online-Services der KVB nutzen.