Welche Bemessungsgrundlagen gibt es für NIS-2 ?
Es gibt grundsätzlich 2 Bemessungsgrundlagen: einerseits die Branchenzugehörigkeit und andererseits die Größenordnung des Unternehmens. Die Grundlage für die Definition "Gesundheitssektor" stellt die EU-Richtlinie 2011/24EU dar. Danach fallen alle Unternehmen unter diese Richtlinie die Gesundheitsdienstleistungen erbringen. Dazu zählen rechtmäßig und nicht nur gelegentlich selbst erbrachte (nicht nur vermittelte) Leistungen wie z. B.
• ärztliche Behandlung
• Heilmittel (Physio-, Ergo-, Logotherapie)
• stationäre oder ambulante Behandlungspflege (Medikamente, Injektionen, Infusionen, Wundversorgung)
• Palliativmedizin
• Arzneimittelabgabe (Apotheken)
Jedoch müsste die Erbringung dieser Dienstleistungen Hauptzweck der Dienstleistung sein und deutlich den Charakter der Einrichtung prägen. Daraus lassen sich Unternehmen aus folgenden Branchen als relevant für die Gültigkeit des neuen BSI-Gesetzes ableiten:
• Krankenhäuser
• MVZ / Arztpraxen
• stationäre Pflegeheime
• ambulante Pflegedienste (sofern sie überwiegend Gesundheitsdienstleistungen erbringen)
• stationäre Hospize
• spezialisierte ambulante Pflegedienste (SAPV, Intensivpflege)
Das schließt in der Regel Unternehmen im Bereich Behinderthilfe und Jugendhilfe aus.
Im nächsten Schritt ist die Größe des Unternehmens zu prüfen. Dabei gilt die Regel, dass die zusätzlichen Sicherheitsvorschriften für Unternehmen gelten, die
• mehr als 50 Mitarbeiter oder
• mehr als 10 Mio Jahresumsatz/Bilanzsumme
haben.
Ab wann ist das neue BSI-Gesetz gültig?
Da Deutschland die Pflicht zur Umsetzung der NIS-2-Richtlinie der EU versäumt hat und die Übergangsfrist verstrichen ist, gelten alle Vorschriften also folgerichtig mit Inkrafttreten des BSI-Gesetzes, also mit der Veröffentlichung im Bundesgesetzblatt am 5.12.2025. Auch gelten ab diesem Datum keine Übergangsfristen mehr, alle Vorschriften sind also sofort umzusetzen.
Welche Pflichten aus dem BSI-Gesetz sind nun neuerdings zu erfüllen?
IT-Sicherheit wird Chefsache
Geschäftsführung und Vorstand müssen künftig:
• IT-Sicherheitsmaßnahmen billigen
• deren Umsetzung überwachen
• sich regelmäßig schulen
⇒ Eine vollständige Delegation an IT oder externe Dienstleister reicht nicht mehr aus.
Pflicht zu strukturiertem Risikomanagement
Betroffene Unternehmen müssen ein nachweisbares IT-Sicherheitsniveau etablieren, u. a.:
• Risikoanalysen
• Schutz der Verfügbarkeit (Backups, Notfallkonzepte)
• Zugriffskontrollen & Patch-Management
• klare Zuständigkeiten und Prozesse
⇒ Ein „informelles Sicherheitsverständnis“ genügt nicht mehr.
Neue Meldepflichten bei IT-Sicherheitsvorfällen
Bei erheblichen Sicherheitsvorfällen (z. B. Ransomware, Systemausfall):
• Frühmeldung innerhalb von 24 Stunden
• Zwischenmeldung nach erster Analyse
• Abschlussmeldung mit Ursachen & Maßnahmen
⇒ Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Registrierungspflicht beim BSI
Betroffene Unternehmen müssen sich:
• aktiv beim BSI registrieren
• eine offizielle Kontaktstelle benennen
• Angaben aktuell halten
⇒Diese Pflicht besteht unabhängig davon, ob bereits ein Vorfall eingetreten ist.
Mehr Verantwortung für IT-Dienstleister & Cloud-Anbieter
Unternehmen müssen künftig auch Risiken in der Lieferkette berücksichtigen:
• IT-Dienstleister
• Cloud-Services
• Software- und Systemanbieter
⇒ Verträge, SLAs und Sicherheitskonzepte sollten überprüft und ggf. angepasst werden.
Was droht bei Nichteinhaltung der BSI-Vorschriften?
Bei Verstößen sind u. a. möglich:
• empfindliche Bußgelder
• behördliche Anordnungen
• Haftungsrisiken für die Geschäftsleitung
• Reputationsschäden
⇒ Ein bloßes „Nichtwissen“ schützt nicht.
Welches Vorgehen zur NIS-2-Umsetzung ist jetzt ratsam?
-
Einordnung prüfen:
Fallen Sie unter die neuen Regelungen? -
Status-Check durchführen:
Wo stehen Sie aktuell in der IT-Sicherheit? -
Prioritäten festlegen:
Welche Maßnahmen sind kurzfristig erforderlich? -
Leitungsebene einbinden:
Schulung & Verantwortlichkeiten klären
Was müssen Arztpraxen und MVZs zusätzlich beachten?
Die Kassenärztliche Bundesvereinigung hat im Vorgriff auf die Inkraftsetzung des neuen BSI-Gesetzes die schon seit 2020 verbindliche KBV-Richtlinie (Richtlinie nach § 390 SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit) angepasst, diese ist mit Wirkung seit 1.4.2025 in Kraft.
Wir haben die Anforderungen der KBV-Richtlinie in Form einer Checkliste zusammengefasst, die wir Ihnen im Rahmen einer Beratung zur Verfügung stellen können.
Wie können wir Ihnen bei der NIS-2-Umsetzung helfen?
Wir unterstützen Sie bei:
• der rechtssicheren Einordnung Ihrer Einrichtung,
• einem NIS-2-Scoping (kompakt & praxisnah),
• der Umsetzung angemessener Maßnahmen ohne Überregulierung,
• der Vorbereitung auf BSI-Anforderungen.
⇒ Sprechen Sie uns gern an.