Industries

/

MVZ & Praxisnetzwerke

Neu im NIS2-Scope · § 390 SGB V · TI-Anbindung

Cybersicherheit für MVZ & Praxisnetzwerke

Medizinische Versorgungszentren und Praxisnetzwerke sind seit dem NIS2UmsuCG erstmals direkt reguliert — parallel zur IT-Sicherheitsrichtlinie nach § 390 SGB V, zur TI-Anbindung und zu den gematik-Vorgaben für eRezept, eAU und ePA. Wir bündeln Awareness, Phishing-Simulation, Vulnerability Management und Managed SOC für standort-übergreifende Versorger.

Kostenloses Risk Assessment

Kostenloses Risk Assessment

Icon
Icon

DIE REALITÄT

Heterogene IT, wachsende Pflichten, harte Fristen.

MVZ und Praxisnetzwerke sind über Jahre historisch gewachsen: unterschiedliche Praxisverwaltungssysteme, verschiedene Internetzugänge, inkonsistente Passwort-Policies, verteilte TI-Konnektoren. Die regulatorische Landschaft hat sich parallel dazu verdichtet — und trifft jetzt auf IT-Strukturen, die für diese Anforderungen selten vorbereitet sind.

~1.000

MVZ in Deutschland fallen erstmals unter NIS2 als wichtige Einrichtungen — viele davon ohne bestehende Security-Strukturen.

7 Mio. €

Maximales NIS2-Bußgeld für wichtige Einrichtungen nach § 65 BSIG (oder 1,4 % des weltweiten Jahresumsatzes) — plus persönliche Haftung der Geschäftsleitung nach § 38 BSIG mit Privatvermögen.

1 Standort = alle

Bei gemeinsamer Domäne und zentraler Infrastruktur reicht ein kompromittierter Standort — innerhalb von Minuten sind alle anderen mit betroffen. Aus einem Vorfall werden zehn parallel ausgefallene Praxen.

Quellen: NIS2UmsuCG · § 28 BSIG · § 390 SGB V · KBV IT-Sicherheitsrichtlinie · gematik TI 2.0 Roadmap.

DIE REALITÄT

Heterogene IT, wachsende Pflichten, harte Fristen.

MVZ und Praxisnetzwerke sind über Jahre historisch gewachsen: unterschiedliche Praxisverwaltungssysteme, verschiedene Internetzugänge, inkonsistente Passwort-Policies, verteilte TI-Konnektoren. Die regulatorische Landschaft hat sich parallel dazu verdichtet — und trifft jetzt auf IT-Strukturen, die für diese Anforderungen selten vorbereitet sind.

~1.000

MVZ in Deutschland fallen erstmals unter NIS2 als wichtige Einrichtungen — viele davon ohne bestehende Security-Strukturen.

7 Mio. €

Maximales NIS2-Bußgeld für wichtige Einrichtungen nach § 65 BSIG (oder 1,4 % des weltweiten Jahresumsatzes) — plus persönliche Haftung der Geschäftsleitung nach § 38 BSIG mit Privatvermögen.

1 Standort = alle

Bei gemeinsamer Domäne und zentraler Infrastruktur reicht ein kompromittierter Standort — innerhalb von Minuten sind alle anderen mit betroffen. Aus einem Vorfall werden zehn parallel ausgefallene Praxen.

Quellen: NIS2UmsuCG · § 28 BSIG · § 390 SGB V · KBV IT-Sicherheitsrichtlinie · gematik TI 2.0 Roadmap.

REGULATORISCHER KONTEXT

Drei parallele Regelwerke — NIS2, KBV und gematik.

MVZ stehen seit Dezember 2025 unter einem Zusammenspiel aus drei Regelwerken, die unterschiedliche Schutzobjekte adressieren: NIS2 schützt die Versorgungssicherheit, § 390 SGB V die ambulante Gesundheitsversorgung, die gematik-Spezifikationen die Telematikinfrastruktur. Eine saubere Umsetzung deckt alle drei gleichzeitig ab.

01 · NIS2 · § 30 BSIG

Wichtige Einrichtung

MVZ ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz und Bilanzsumme gelten als wichtige Einrichtungen. Sie müssen die zehn Risikomanagement-Maßnahmen aus § 30 BSIG umsetzen, nach § 32 BSIG Vorfälle melden und sich beim BSI registrieren — die Erstregistrierungsfrist endete am 6. März 2026, säumige Einrichtungen sollten unverzüglich nachregistrieren. Die Geschäftsführung haftet persönlich nach § 38 BSIG.

02 · § 390 SGB V

KBV IT-Sicherheitsrichtlinie

Die KBV-Richtlinie gilt für alle Vertragsarztpraxen, einschließlich MVZ. Sie definiert abgestufte Mindestschutzmaßnahmen je nach Praxisgröße — Grundstufe, mittlere Stufe, hohe Stufe. Für mittelgroße und große Praxen umfasst die Pflicht auch Penetrationstests, Netzwerksegmentierung und strukturiertes Patch-Management.

03 · gematik / TI

Telematik & eHealth-Anwendungen

TI-Anbindung für eRezept, eAU, ePA und KIM-Kommunikation unterliegt den Spezifikationen der gematik. Der Übergang zur TI 2.0 — mit dezentralen Zugängen statt zentraler Konnektor-Hardware — verlagert Sicherheitsverantwortung zunehmend in die Praxis-IT. Wer TI-pflichtige Systeme betreibt, muss deren Sicherheit lückenlos nachweisen.

Rechtsquellen: NIS2UmsuCG · § 28, § 30, § 32, § 38 BSIG · § 390 SGB V · KBV IT-Sicherheitsrichtlinie · gematik-Spezifikationen (TI 2.0, eRezept, eAU, ePA).

REGULATORISCHER KONTEXT

Drei parallele Regelwerke — NIS2, KBV und gematik.

MVZ stehen seit Dezember 2025 unter einem Zusammenspiel aus drei Regelwerken, die unterschiedliche Schutzobjekte adressieren: NIS2 schützt die Versorgungssicherheit, § 390 SGB V die ambulante Gesundheitsversorgung, die gematik-Spezifikationen die Telematikinfrastruktur. Eine saubere Umsetzung deckt alle drei gleichzeitig ab.

01 · NIS2 · § 30 BSIG

Wichtige Einrichtung

MVZ ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz und Bilanzsumme gelten als wichtige Einrichtungen. Sie müssen die zehn Risikomanagement-Maßnahmen aus § 30 BSIG umsetzen, nach § 32 BSIG Vorfälle melden und sich beim BSI registrieren — die Erstregistrierungsfrist endete am 6. März 2026, säumige Einrichtungen sollten unverzüglich nachregistrieren. Die Geschäftsführung haftet persönlich nach § 38 BSIG.

02 · § 390 SGB V

KBV IT-Sicherheitsrichtlinie

Die KBV-Richtlinie gilt für alle Vertragsarztpraxen, einschließlich MVZ. Sie definiert abgestufte Mindestschutzmaßnahmen je nach Praxisgröße — Grundstufe, mittlere Stufe, hohe Stufe. Für mittelgroße und große Praxen umfasst die Pflicht auch Penetrationstests, Netzwerksegmentierung und strukturiertes Patch-Management.

03 · gematik / TI

Telematik & eHealth-Anwendungen

TI-Anbindung für eRezept, eAU, ePA und KIM-Kommunikation unterliegt den Spezifikationen der gematik. Der Übergang zur TI 2.0 — mit dezentralen Zugängen statt zentraler Konnektor-Hardware — verlagert Sicherheitsverantwortung zunehmend in die Praxis-IT. Wer TI-pflichtige Systeme betreibt, muss deren Sicherheit lückenlos nachweisen.

Rechtsquellen: NIS2UmsuCG · § 28, § 30, § 32, § 38 BSIG · § 390 SGB V · KBV IT-Sicherheitsrichtlinie · gematik-Spezifikationen (TI 2.0, eRezept, eAU, ePA).

TYPISCHE ANGRIFFSSZENARIEN

Warum MVZ besonders anfällig sind.

Verteilte Standorte mit unterschiedlicher Ausgangslage, gemeinsame Infrastruktur, hohe Integration über PVS und TI — ein erfolgreicher Angriff breitet sich schnell und standortübergreifend aus. Die typischen Muster sind dokumentiert und adressierbar.

Ungepatchte Praxisverwaltungssysteme

PVS-Updates werden oft verzögert oder ganz ausgelassen, weil jede Aktualisierung Praxistage blockieren kann. Bekannte Schwachstellen bleiben dadurch monatelang offen — mit direktem Zugriff auf Patient:innen-Stammdaten, Abrechnungsinformationen und TI-Zugänge.

Geteilte Credentials zwischen Standorten

In gewachsenen MVZ-Strukturen werden häufig Passwörter und Admin-Accounts über Standorte hinweg geteilt. Ein Phishing-Treffer an einem Standort öffnet damit sofort alle anderen. Fehlende MFA auf RDP, VPN und PVS ist ein Dauerbrenner in unseren Risk Assessments.

eRezept- und KIM-Account-Missbrauch

Mit einem kompromittierten Arzt-Account lassen sich eRezepte ausstellen, eAU-Bescheinigungen generieren oder KIM-Nachrichten versenden. Der Schaden betrifft nicht nur die Praxis, sondern Patient:innen, Apotheken und Krankenkassen — und wird als Identitätsmissbrauch im Gesundheitswesen besonders schwer verfolgt.

Standortübergreifende Ransomware

Weil MVZ-Standorte meist über eine gemeinsame Domäne, gemeinsame Datei-Shares und zentrale Server laufen, breitet sich Ransomware typischerweise innerhalb von Minuten auf alle Standorte aus. Aus einem Vorfall werden damit sehr schnell 10 oder 20 parallel ausgefallene Praxen — mit entsprechenden Versorgungs- und Meldekonsequenzen.

UNSERE LÖSUNGEN

Ein konsistentes Sicherheitsniveau über alle Standorte.

Vier aufeinander abgestimmte Services — zentral gesteuert, standortspezifisch ausgerollt. Der NIS2-, KBV- und gematik-Nachweis fällt als gemeinsames Nebenprodukt automatisch an.

KONTINUIERLICHES TRAINING

Phishing Simulation as a Service

Kampagnen mit praxisrealistischen Ködern — gefälschte KBV-Mitteilungen, Überweisungen, Labor-E-Mails, eRezept-Benachrichtigungen. Click- und Report-Rate je Standort, Trends über die Zeit — die einzige harte Effektivitätsmetrik der Awareness-Arbeit.

Zum Service

Zum Service

Icon
Icon

MITARBEITER-RESILIENZ

Security Awareness Training

Modular aufgebaute Trainings für MFA, eRezept-Sicherheit, TI-Konnektor-Schutz und Umgang mit kompromittierten Accounts. Für Ärzteschaft, MFA-Kräfte und Verwaltung differenziert. Nachweis einer NIS2-Art.-21-(g)- und KBV-konformen Schulung auf Knopfdruck.

Zum Service

Zum Service

Icon
Icon

ANGRIFFSFLÄCHE KENNEN

Schwachstellen-Management

Standortübergreifendes Asset-Inventar: welche PVS-Versionen, welche Betriebssysteme, welche offenen Ports pro Standort. Konsolidierter Patch-Plan statt 20 individueller Excel-Listen. Direkter Input in die KBV-Prüfung und das NIS2-Risikomanagement.

Zum Service

Zum Service

Icon
Icon

24/7 MANAGED SOC

Incident Detection & Response

Monitoring über alle Standorte hinweg mit Fokus auf auffällige Muster in PVS-Zugriffen, eRezept-Aktivität und KIM-Verkehr. Schnelle Isolation einzelner Standorte, bevor sich Ransomware ausbreitet. Fertige NIS2-Meldedokumente, wenn es dennoch ernst wird.

Zum Service

Zum Service

Icon
Icon

WARUM ENTROPY CS

Multi-Standort-Security, ohne IT-Abteilung aufzublähen.

MVZ-Geschäftsführungen brauchen einen Partner, der die gesamte Klaviatur aus Cybersicherheit und ambulanter Healthcare-Regulatorik im Blick hat — nicht drei einzelne Dienstleister mit je eigenem Tunnelblick.

Multi-Standort als Grunddesign

Unsere Architektur ist von Anfang an auf verteilte Organisationen ausgelegt. Standortspezifische Metriken, konsolidierte Konzernsicht, einheitliche Nachweisstruktur — ohne dass Sie selbst Reporting-Arbeit leisten müssen.

Regulatorik aus einer Hand

NIS2, § 390 SGB V und gematik-Anforderungen adressieren wir gebündelt. Die Evidenz produzieren wir einmal und liefern sie in den Formaten, die BSI, KBV-Prüfung und Wirtschaftsprüfer jeweils erwarten.

Praxistaugliche Implementierung

Wir wissen, dass ein Standort nicht mal „eben schnell" für einen Rollout schließen kann. Alle Maßnahmen werden im laufenden Betrieb integriert, mit minimalem Störpotenzial für Sprechstunde und Abrechnung.

Antworten speziell für MVZ & Praxisnetzwerke.

Antworten speziell für MVZ & Praxisnetzwerke.

Die Fragen, die wir regelmäßig von MVZ-Geschäftsführungen, Ärztlichen Leitungen und IT-Verantwortlichen in Praxisverbünden hören.

Gilt NIS2 wirklich für uns als MVZ?

Gilt NIS2 wirklich für uns als MVZ?

Reicht die Erfüllung der KBV-IT-Sicherheitsrichtlinie nicht aus?

Reicht die Erfüllung der KBV-IT-Sicherheitsrichtlinie nicht aus?

Was ist mit der TI-Anbindung — übernehmen Sie das?

Was ist mit der TI-Anbindung — übernehmen Sie das?

Wie gehen Sie mit unterschiedlichen PVS an unterschiedlichen Standorten um?

Wie gehen Sie mit unterschiedlichen PVS an unterschiedlichen Standorten um?

Was kostet das bei mehreren Standorten?

Was kostet das bei mehreren Standorten?

Wir haben bereits einen IT-Dienstleister. Konkurriert das?

Wir haben bereits einen IT-Dienstleister. Konkurriert das?

KOSTENLOSES RISK ASSESSMENT

30 Minuten. Ein ehrliches Bild Ihrer Sicherheitslage.

Jedes Gespräch beginnt mit einem kostenlosen Risk Assessment — 30 Minuten, keine Verpflichtung. Sie erhalten im Anschluss einen schriftlichen Report mit Ihrem Cybersecurity-Reifegrad, Risikobereichen und Sofortmaßnahmen.

Assessment jetzt buchen

Assessment jetzt buchen

Anrufen: +49 30 863283641

Anrufen: +49 30 863283641

KOSTENLOSES RISK ASSESSMENT

30 Minuten. Ein ehrliches Bild Ihrer Sicherheitslage.

Jedes Gespräch beginnt mit einem kostenlosen Risk Assessment — 30 Minuten, keine Verpflichtung. Sie erhalten im Anschluss einen schriftlichen Report mit Ihrem Cybersecurity-Reifegrad, Risikobereichen und Sofortmaßnahmen.

Assessment jetzt buchen

Assessment jetzt buchen

Anrufen: +49 30 863283641

Anrufen: +49 30 863283641