Cybersicherheit / NIS-2 Richtlinie
Gesetzliche Vorgaben
Die EU‑Richtlinie NIS‑2 stärkt die Cyber‑ und IT‑Sicherheit auch im Gesundheitswesen.
Seit 6. Dezember 2025 gelten für besonders große oder umsatzstarke Praxen und MVZ (es arbeiten dort mindestens 50 Personen oder es wird ein Jahresumsatz von über 10 Millionen Euro ausgewiesen) strengere, verbindlichere Vorgaben für die Stärkung der Cybersicherheit – also für den Schutz vor Angriffen auf das eigene Netzwerk und die Informationssicherheit. Hintergrund ist die Umsetzung der europäischen NIS-2 Richtlinie aus dem Jahr 2022 zur Harmonisierung und Stärkung der Cybersicherheit in nationales Recht. Dieses Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz) ist am 6. Dezember 2025 in Kraft getreten.
Eine zentrale Vorgabe ist die Registrierung im Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI) bis zum 6. März 2026.
Registrierungspflicht nach NIS‑2 für betroffene Praxen und MVZ bis 6. März 2026!
Welche Praxen betroffen sind – und was die neuen Vorgaben bedeuten
Neue Vorgaben für Cybersicherheit: Hinweise für betroffene Praxen und MVZ (PDF - KBV Praxis Info)
Fällt meine Praxis unter die NIS‑2 Richtlinie?
Wir empfehlen allen Einrichtungen, in denen 50 oder mehr Personen tätig sind, und Einrichtungen mit einem Jahresumsatz von 10 Mio. Euro oder mehr, umgehend online über das BSI zu überprüfen, inwieweit sie von den neuen Regelungen betroffen sind:
BSI: NIS-2 Betroffenheitsprüfung
Es kann ratsam sein, sich bei Unklarheiten beraten zu lassen. Diese Rechtsberatung darf nur von Volljuristen durchgeführt werden.
BSI‑Portal: Anmeldung, Voraussetzungen und praktische Anleitung
Für die konkrete Umsetzung der Vorgaben durch das "Gesetz zur Umsetzung der NIS-2 Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" gibt das BSI Hilfestellung. Diese Regelungen gelten auch für größere Praxen und MVZ als "wichtige Unternehmen" oder "besonders wichtige Unternehmen" im Sinne der NIS-2 Richtlinie.
NIS-2 Registrierung: Fristen und Auswirkungen
Was bedeutet die Frist 6. März 2026?
Bis spätestens 6. März 2026 müssen alle Einrichtungen, die unter NIS‑2 fallen, im BSI‑Portal registriert sein. Diese Registrierung ist notwendig, um künftig erhebliche IT‑Sicherheitsvorfälle rechtskonform melden zu können.
Es handelt sich dabei nicht um eine Frist zur Meldung eines konkreten Vorfalls, sondern um eine einmalige gesetzliche Übergangsfrist für die Registrierung.
Warum ist die Registrierung wichtig?
Ohne Registrierung können Vorfälle nicht fristgerecht gemeldet werden.
Die Meldepflicht gilt ab 6. Dezember 2025 – die Übergangsfrist bis März 2026 ermöglicht eine rechtzeitige Vorbereitung.
Fehlende Registrierung kann zu Bußgeldern führen.
Was passiert nach der Registrierung?
Nach erfolgreicher Registrierung gelten die regulären NIS‑2 Meldefristen bei erheblichen IT‑Sicherheitsvorfällen:
24 Stunden: Erstmeldung
72 Stunden: Detailbericht
1 Monat: Abschlussbericht
Damit stellt die Registrierung sicher, dass Einrichtungen ihre gesetzlichen Pflichten erfüllen und im Ernstfall schnell reagieren können. mehr zur Meldepflicht (BSI)
Darüber hinaus müssen Einrichtungen Risikomanagement implementieren und dokumentieren. mehr unter #nis2know-Infopakte (BSI)
Cybersicherheit - wichtig auch für kleinere Einrichtungen
Generelle Hinweise zur Cybersicherheit bei der Anbindung von Clouds und Rechenzentren bietet diese Checkliste der KBV:
Darauf sollten Praxen bei Anbietern von Clouds und Rechenzentren achten
Die Transferstelle Cybersicherheit bietet einen kostenfreien Online-Check, über welchen Einrichtungen ihre Maßnahmen zur IT-Sicherheit überprüfen, Handlungsempfehlungen erhalten und zusätzliche Materialien herunterladen können:
Mitgliederportal "Meine KVB"
Über das KVB-Mitgliederportal können Sie in Ihrer Praxis und von außerhalb verschiedene Online-Services der KVB nutzen.