NIS-2 in Kraft: Neue Cybersicherheitspflichten für größere Praxen und MVZ

08.01.2026 - Seit dem 6. Dezember 2025 gelten durch die Umsetzung der europäischen NIS-2-Richtlinie strengere Vorgaben zur Cybersicherheit. Betroffen sind auch größere und umsatzstarke Praxen sowie MVZ. Die KBV informierte jüngst über die wichtigsten Pflichten und empfiehlt eine frühzeitige Prüfung der eigenen Betroffenheit.

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes wurden die Anforderungen an die Netzwerk- und Informationssicherheit deutlich verschärft. Ziel ist es, Unternehmen und Einrichtungen besser vor Cyberangriffen zu schützen und ein einheitlich hohes Sicherheitsniveau innerhalb der EU zu gewährleisten.

Die neuen Regelungen sind im novellierten BSI-Gesetz verankert und betreffen neben Krankenhäusern nun auch bestimmte ambulante Einrichtungen.

Welche Praxen und MVZ sind betroffen?

Von den neuen Vorgaben betroffen sind Praxen und Medizinische Versorgungszentren, die als „wichtige Unternehmen“ gelten. Das ist der Fall, wenn mindestens eines der folgenden Kriterien erfüllt ist:

• mindestens 50 Beschäftigte oder
• ein Jahresumsatz von mehr als 10 Millionen Euro

Für „besonders wichtige Unternehmen“ gelten nochmals verschärfte Anforderungen. Diese Einstufung greift bei:

• mindestens 250 Beschäftigten oder
• mehr als 50 Millionen Euro Umsatz und 43 Millionen Euro Jahresbilanzsumme

Nach Schätzungen fallen bundesweit rund 1.000 Praxen und MVZ unter die NIS-2-Regelungen.

© istock anyaberkut: Die NIS2-Richtlinie betrifft auch ca. 1000 größere Praxen bzw. MVZ.

Erster Schritt: Betroffenheit prüfen

Die KBV und das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen allen Praxisinhaberinnen und -inhabern, zunächst eine NIS-2-Betroffenheitsprüfung durchzuführen.
Diese ist online über das BSI möglich und hilft festzustellen, ob die eigene Einrichtung unter die neuen Pflichten fällt

Diese Pflichten gelten für betroffene Praxen

Wird eine Praxis oder ein MVZ als „wichtiges Unternehmen“ eingestuft, ergeben sich unter anderem folgende Verpflichtungen:

• Registrierungspflicht bei der zuständigen Meldestelle des BSI
• Meldepflicht bei IT-Sicherheitsvorfällen
• Erstmeldung innerhalb von 24 Stunden
• Bewertung innerhalb von 72 Stunden
• Abschlussmeldung innerhalb eines Monats
• Umsetzung von Mindestanforderungen an die IT-Sicherheit, z. B.:
• moderne Verschlüsselung
• Multi-Faktor-Authentifizierung
• regelmäßige Schulungen der Mitarbeitenden
• Verantwortung der Geschäftsleitung für Umsetzung, Überwachung und Schulung
• Bei Verstößen drohen empfindliche Bußgelder von bis zu 7 Millionen Euro

Für besonders wichtige Unternehmen gelten zusätzliche Aufsichts- und Durchsetzungsmaßnahmen sowie teilweise höhere Sanktionen.

Warum NIS-2 auch für Praxen relevant ist

Cyberangriffe auf medizinische Einrichtungen nehmen seit Jahren zu. Neben Datenschutzverstößen können IT-Ausfälle die Patientenversorgung unmittelbar gefährden. Mit NIS-2 sollen insbesondere größere Einrichtungen verpflichtet werden, präventiv in IT-Sicherheit zu investieren, Risiken systematisch zu bewerten und Vorfälle transparent zu melden.

Ihr IT-Team von daten-strom informiert Sie fortlaufend über aktuelle Sicherheitsthemen und unterstützt Praxen und Einrichtungen dabei, Cyberrisiken frühzeitig zu erkennen und abzuwehren.

Quellen: https://www.kbv.de | https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/kritis_node.html