Neue Vorgaben für Cybersicherheit in Deutschland – Auch große Praxen können betroffen sein

Hintergrund der neuen Vorgaben ist das novellierte BSI-Gesetz, das am 6. Dezember in Kraft getreten ist. Mit ihm hat Deutschland die europäische NIS-2-Richtlinie für mehr Netzwerk- und Informationssicherheit aus dem Jahr 2022 in nationales Recht umgesetzt.

NIS-2 steht für die zweite Richtlinie zur Netzwerk- und Informationssicherheit („Network and Information Security Directive 2“). Es handelt sich um eine EU-Richtlinie zur Harmonisierung und Stärkung der Cybersicherheit. Im Vergleich zur ersten Richtlinie von 2016 umfasst sie weitere Bereiche und bei den bestehenden Bereichen weitere Unternehmen.

Schwellenwert: 50 Mitarbeiter oder 10 Millionen Euro Umsatz im Jahr

Tätig werden müssen nur Praxen und MVZ, die mindestens 50 Mitarbeiter beschäftigen oder einen Umsatz von mindestens 10 Millionen Euro im Jahr haben. Hier ist vorgegeben, dass sie in einem ersten Schritt die NIS-2-Betroffenheitsprüfung durchführen.

Ergibt die Prüfung, dass sie betroffen sind, schließen sich weitere Schritte an. Dazu gehört beispielsweise die Pflicht, sich bei einem Online-Portal des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu registrieren, erhebliche Sicherheitsvorfälle dem BSI zu melden und Risikomanagementmaßnahmen umzusetzen.

Der Bundesverband Medizinische Versorgungszentren schätzt, dass insgesamt etwa 1.000 Praxen und MVZ betroffen sein könnten.

PraxisInfo fasst alles Wissenswerte zusammen

Was Praxen und MVZ, die den Schwellenwert erreichen, jetzt tun sollten, fasst die KBV in einer PraxisInfo zusammen. Die PraxisInfo „Neue Vorgaben für Cybersicherheit: Hinweise für betroffene Praxen und MVZ“ steht kostenfrei zum Download bereit.