NIS-2-Richtlinie umgesetzt: Große und umsatzstarke Praxen und MVZ verpflichtet

Mit dem novellierten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG) hat Deutschland die europäische NIS-2-Richtlinie für mehr Netzwerk- und Informationssicherheit aus dem Jahr 2022 in nationales Recht umgesetzt. NIS-2 steht für die zweite Richtlinie zur Netzwerk- und Informationssicherheit („Network and Information Security Directive 2“). Es handelt sich dabei um eine EU-Richtlinie zur Harmonisierung und Stärkung der Cybersicherheit. 

Im Gesundheitsbereich haben besonders große und umsatzstarke Einheiten den Vorgaben des BSIG zu entsprechen. Praxen und MVZ, die mindestens 50 Mitarbeitende beschäftigen (in oder annähernd in Vollzeit; Auszubildende und Angestellte im Mutterschutz zählen nicht mit) oder einen Umsatz bzw. eine Bilanzsumme von mindestens 10 Mio. Euro im Jahr haben, müssen in einem ersten Schritt eine NIS-2-Betroffenheitsprüfung durchführen, die online beim BSI absolviert werden kann. Ergibt die Prüfung, dass Praxen und MVZ als wichtige Unternehmen betroffen sind, ergeben sich für sie weitere Pflichten – beispielsweise sich beim BSI zu registrieren, Mindestanforderungen an die IT-Sicherheit und Risikomanagementmaßnahmen umzusetzen sowie erhebliche Sicherheitsvorfälle zu melden. Für besonders wichtige Unternehmen i. S. d. BSIG gelten noch einmal verschärfte Vorgaben.