Neue Sicherheitsanforderungen für Großpraxen und Medizinische Versorgungszentren (MVZ)

Für einige Großpraxen und MVZ gelten seit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 06. Dezember 2025 strengere Regelungen für die die Stärkung der Cybersicherheit. Die neuen Regelungen wurden im novellierten BSI-Gesetz aufgenommen (§§ 30 ff. BSI-Gesetz).

Der europäische Gesetzgeber hatte bereits 2022 mit der Network-and-Information-Security-Richtlinie 2.0 (sog. NIS-2-Richtlinie) auf die erhöhte Bedrohungslage durch Cyberangriffe und die damit verbundenen Risiken für kritische Infrastrukturen reagiert. Die Richtlinie wurde nunmehr in nationales Recht umgesetzt.

Hiervon betroffen sind alle Einrichtungen im Gesundheitsbereich, die mindestens 50 Beschäftigte haben oder einen Jahresumsatz von mehr als 10 Mio. EUR erzielen. Für Praxen oder MVZ, die entsprechend der Richtlinie als „besonders wichtiges Unternehmen“ gelten (mit mindestens 250 Beschäftigte oder einem Jahresumsatz von über 50 Mio. Euro und einer Jahresbilanzsumme von 43 Mio. EUR), greifen sogar noch strengere bzw. zusätzliche Regelungen. Bei Verstößen gegen die Regelungen der Richtlinie drohen empfindliche Geldstrafen. Schätzungsweise sind etwa 1.000 Praxen und MVZ betroffen (laut Bundesverband Medizinische Versorgungszentren).

Unternehmen und Institutionen sind demnach verpflichtet, adäquate und verhältnismäßige technische, operative sowie organisatorische Maßnahmen zu ergreifen, um die Gefahren für die Integrität ihrer Netz- und Informationssysteme zu minimieren. Die Verantwortung des obersten Managements für die Gewährleistung der Cybersicherheit wird betont, was im Einzelfall zu persönlicher Haftung in Fällen von Sicherheitsverletzungen führen kann.

Großpraxen und MVZ, die unter das neue Recht fallen könnten, müssen zunächst eine Betroffenheitsprüfung durchführen (dies ist online auf der Internetseite beim Bundesamt für Sicherheit in der Informationstechnik möglich). Sofern sie unter den Anwendungsbereich fallen ist eine Registrierung beim Bundesamt für Sicherheit in der Informationstechnik erforderlich. 

Die Betroffenen haben eine Vielzahl von Maßnahmen zum Schutz ihrer Netz- und Informationssysteme zu implementieren. Hierzu zählen u.a.:

• Risikobewertungen und -management: Die Identifizierung und Analyse potenzieller Risiken ist unabdingbar.
• Incident-Response-Pläne: Notfallstrategien müssen entwickelt werden, um schnell und effizient auf Sicherheitsvorfälle zu reagieren.
• Sicherheitsüberwachung und -protokollierung: Ein ständiges Monitoring der Systeme ist notwendig, um Auffälligkeiten frühzeitig zu erkennen.
• Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen: Sensibilisierung und kontinuierliche Fortbildung sind unverzichtbar.
• Mindestanforderungen an die IT-Sicherheit: hierzu zählen u.a. der Einsatz moderner Verschlüsselungstechniken, Multi-Faktor-Authentifizierung sowie regelmäßige Mitarbeiterschulungen zu Cybersicherheit.
• Meldepflicht bei erheblichen Sicherheitsvorfällen: Offene Kommunikationskanäle zu Regulierungsbehörden sind essenziell. Gesundheitseinrichtungen müssen außerdem Sicherheitsvorfälle innerhalb von 24 Stunden nach Kenntnisnahme eines Vorfalls an die Meldestelle des Bundesamt für Sicherheit in der Informationstechnik melden (Erstmeldung) und innerhalb von 72 Stunden die Bewertung von Schwere und Auswirkungen melden sowie binnen eines Monats eine Abschlussmeldung vornehmen.

Für die Beratung zu diesem Thema stehen Ihnen unsere Experten gerne zur Verfügung.