NIS2 für MVZ und Praxisnetzwerke: Pflichten, Schwellenwerte, Roadmap

Rund 1.000 MVZ sind seit 2026 erstmals NIS2-pflichtig. Schwellenwerte, Pflichten nach § 30 BSIG, Geschäftsführerhaftung, Meldewesen — und eine 8-Wochen-Roadmap für niedergelassene Strukturen.

NIS2 für MVZ und Praxisnetzwerke: Wer betroffen ist und was bis wann zu tun ist

Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft. Für Krankenhäuser ist Cybersicherheit als Pflichtdisziplin nichts Neues — KRITIS-Häuser arbeiten seit Jahren mit dem branchenspezifischen Sicherheitsstandard B3S, größere Klinika haben ISMS und CISO-Funktionen. Für ambulante Strukturen sieht die Lage anders aus: Schätzungen aus dem Referentenentwurf zum NIS2UmsuCG gehen davon aus, dass rund 1.000 Medizinische Versorgungszentren erstmals direkt unter den Anwendungsbereich fallen — und damit unter ein Pflichtenregime, das in dieser Form bisher nicht existierte.

Dieser Guide ist für Geschäftsführende, IT-Verantwortliche und Datenschutzbeauftragte in MVZ und Praxisverbünden gedacht. Ziel: Klarheit, ob Ihre Einrichtung betroffen ist, was die Pflichten konkret bedeuten und welche Reihenfolge in der Umsetzung sinnvoll ist — ohne das Projekt zur 18-Monats-Hängepartie aufzublähen.

Vorab eine wichtige Einordnung: NIS2 macht ambulante Versorgungszentren nicht zu kleinen Krankenhäusern. Die meisten technischen und organisatorischen Anforderungen sind operativ schlanker zu erfüllen als in einer KRITIS-Klinik. Aber: Der Zehn-Maßnahmen-Katalog nach § 30 BSIG, die Meldepflichten nach § 32 BSIG und die persönliche Haftung der Geschäftsführung nach § 38 BSIG gelten unverändert. Wer hier 2026 ohne Vorbereitung steht, hat ein operatives und ein juristisches Problem.

Wer ist betroffen? Schwellenwerte und Einstufung

NIS2 unterscheidet zwei Kategorien von Pflichtadressaten — beide sind für MVZ und Praxisverbünde relevant:

  • Wichtige Einrichtung: mittleres Unternehmen nach EU-KMU-Definition (50–249 Mitarbeitende, mit Umsatz bis 50 Mio. € oder Bilanzsumme bis 43 Mio. €) in einem NIS2-Sektor. Bußgeldobergrenze: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (der jeweils höhere Wert).

  • Besonders wichtige Einrichtung: großes Unternehmen (mindestens 250 Mitarbeitende oder mehr als 50 Mio. € Umsatz und mehr als 43 Mio. € Bilanzsumme) in einem NIS2-Sektor. Bußgeldobergrenze: 10 Mio. € oder 2 %.

Konkrete Beispiele aus der MVZ-Praxis:

  • MVZ mit drei Standorten und 60 Vollkräften plus 15 Teilzeit: wichtige Einrichtung. Mitarbeitende werden in Köpfen gerechnet — 75 Personen, klar über der 50er-Schwelle.

  • Praxisnetzwerk mit 220 Mitarbeitenden und 28 Mio. € Umsatz: wichtige Einrichtung — die Mitarbeiterschwelle liegt im mittleren Bereich, der Umsatz ebenfalls.

  • Klinikkonzern mit MVZ-Tochter: Hier wird es differenziert. Ist das MVZ rechtlich als eigene GmbH organisiert, zählen die eigenen Kennzahlen. Ist es integrierter Teil einer NIS2-pflichtigen Klinik, wird es über den Mutterkonzern erfasst.

  • Großpraxis-MVZ mit krankenhausähnlichen Strukturen (Labor, Bildgebung, OP-Trakt): unabhängig von der Mitarbeiterzahl möglicherweise als „Praxis mit Datenverarbeitung im erheblichen Umfang" klassifiziert — diese Definition stammt aus § 75b SGB V (jetzt § 390 SGB V) und ist ein starker Indikator für die NIS2-Einstufung.

Wer unsicher ist, ob die Einstufung greift, nutzt die offizielle BSI-NIS2-Betroffenheitsprüfung. Sie führt durch die Schwellenlogik und liefert eine erste Einschätzung. In Zweifelsfällen empfiehlt sich juristische Klärung — die Einstufung wirkt direkt auf Bußgeldhöhe und Aufsichtsdichte.

Wichtig: Die Selbsteinstufung ist Pflicht. Niemand wird vom BSI angeschrieben und höflich gefragt, ob er betroffen ist. Wer sich nicht selbst registriert, riskiert nicht nur das Bußgeld bei einem späteren Vorfall — die Geschäftsführung steht im Vorfall-Fall ohne dokumentierten Schutzschirm bezüglich der persönlichen Haftung nach § 38 BSIG da.

§ 75b SGB V (§ 390 SGB V) und NIS2 — kein Entweder-Oder

Das größte Missverständnis in der Beratungspraxis 2026: „Wir haben doch die KBV-IT-Sicherheitsrichtlinie umgesetzt — das reicht doch für NIS2." Es reicht nicht.

Die IT-Sicherheitsrichtlinie nach § 75b SGB V (seit Oktober 2025 verankert in § 390 SGB V) gilt seit 1. Januar 2021 für alle vertragsärztlichen und vertragspsychotherapeutischen Praxen. Sie unterscheidet drei Praxisgrößen — kleine, mittlere und große Praxen — sowie Sonderfälle bei medizinischen Großgeräten und Datenverarbeitung in erheblichem Umfang. Die Richtlinie ist strukturiert wie ein operativer Maßnahmenkatalog: Konkrete technische und organisatorische Maßnahmen pro Praxisgröße, mit Mustertexten und Checklisten der KBV.

NIS2 (umgesetzt durch das BSIG in der neuen Fassung) ist generischer aufgebaut. Das Gesetz definiert zehn Risikomanagement-Bereiche (§ 30 BSIG), eine dreistufige Meldepflicht (§ 32 BSIG) und persönliche Pflichten der Geschäftsführung (§ 38 BSIG). Den Detailgrad der Umsetzung überlässt das Gesetz der Einrichtung — Stand der Technik ist das Maß.

Praktisch ergeben sich drei Konstellationen für ein NIS2-pflichtiges MVZ:

1. Identische Anforderungen. Backup, Virenschutz, Multi-Faktor-Authentifizierung, Netzwerktrennung, Zugriffsmanagement — was die KBV-Richtlinie bereits fordert, deckt NIS2 mit ab. Wer § 75b/§ 390 SGB V sauber umgesetzt hat, hat 60 bis 70 Prozent der NIS2-Basismaßnahmen bereits.

2. NIS2-Lücken im Vergleich zur KBV-Richtlinie. Die KBV-Richtlinie kennt kein dreistufiges Meldewesen mit 24-Stunden-Frühwarnung. Sie verankert keine persönliche Geschäftsführerhaftung mit Schulungspflicht. Sie verlangt keine BSI-Registrierung. Sie schreibt kein systematisches Lieferantenmanagement vor. Sie definiert keine Bußgelder in Millionenhöhe.

3. KBV-Anforderungen, die NIS2 in dieser Tiefe nicht hat. Die spezifischen Vorgaben zur Telematikinfrastruktur, zu medizinischen Großgeräten und zum Patientendatenschutz sind in der KBV-Richtlinie konkreter ausformuliert. Wer ein NIS2-Compliance-Projekt aufsetzt, sollte die KBV-Richtlinie nicht über Bord werfen — sondern beide Regelwerke parallel pflegen.

Die pragmatische Konsequenz: Eine gemeinsame Informationssicherheits-Richtlinie als Klammer, ein operativer Maßnahmenkatalog auf Basis von § 75b/§ 390 SGB V und ein NIS2-spezifisches Ergänzungsdokument für die Lücken (Meldewesen, Lieferkette, Geschäftsführer-Schulungsnachweis, Registrierung).

Die zehn Pflichten nach § 30 BSIG — übersetzt für MVZ

§ 30 BSIG listet zehn verpflichtende Risikomanagement-Bereiche. In MVZ-Sprache:

  1. Risikoanalyse und Sicherheitskonzept. Welche Systeme verarbeiten welche Daten? Wo liegen die kritischen Punkte? Ein einseitiges Risikoregister mit 15 bis 25 Risiken reicht für den Anfang.

  2. Bewältigung von Sicherheitsvorfällen. Wer wird wann alarmiert? Wer entscheidet über Systemtrennung? Welche Behörden werden informiert? Ein zweiseitiger Incident-Response-Plan ist Pflicht.

  3. Aufrechterhaltung des Betriebs (Business Continuity). Fällt das Praxisverwaltungssystem oder der Konnektor aus — wie läuft die Patientenversorgung weiter? Manuelle Formulare, Notfall-Telefonliste, alternative Befundwege.

  4. Lieferkettensicherheit. Welche IT-Dienstleister haben Zugriff auf Patientendaten? Konnektor-Anbieter, PVS-Hersteller, MFA-Wartungsfirma. AVV nach Art. 28 DSGVO ist Pflicht, ergänzt um konkrete Sicherheitsvereinbarungen und ein Mindestmaß an Auditrechten.

  5. Sicherheit beim Erwerb, der Entwicklung und Wartung. Patch-Management, Schwachstellen-Behandlung, sichere Konfiguration von Neuanschaffungen. Hier liegt in vielen MVZ die größte Lücke — niemand fühlt sich strukturell zuständig.

  6. Bewertung der Effektivität der Maßnahmen. Funktioniert das, was Sie eingerichtet haben? Quartalsweise interne Reviews, jährliche Überprüfung kritischer Systeme.

  7. Cyberhygiene und Schulungen. Phishing-Awareness ist hier explizit verankert. Die Belegschaft muss regelmäßig geschult werden, die Schulungen sind zu dokumentieren. Art. 21 Abs. 2(g) der NIS2-Richtlinie verlangt das ausdrücklich.

  8. Kryptographie. Verschlüsselung im Transport (TLS), at-rest (Festplatten, Backups), bei E-Mail-Kommunikation mit Patientendaten. KIM und ePA bringen Teile davon mit, aber nicht die gesamte Bandbreite.

  9. Personalsicherheit, Zugangskontrolle und Asset-Management. Wer hat welchen Systemzugriff? Werden Berechtigungen beim Mitarbeiteraustritt entzogen? Existiert ein vollständiges Inventar der eingesetzten Systeme?

  10. Multi-Faktor-Authentifizierung und gesicherte Sprach- und Videoverbindungen. MFA für alle administrativen Konten und Fernzugriffe ist die wirksamste Einzelmaßnahme. Punkt.

In der Praxis sind die Punkte 1, 2, 5 und 7 die häufigsten Schwachstellen — hier sollte der Implementierungsfokus liegen.

Spezifische Risiken in MVZ-Strukturen

MVZ haben eine andere Bedrohungslage als reine Akutkliniken. Vier wiederkehrende Muster:

Telematikinfrastruktur als Angriffsflanke. KIM, ePA, eRezept und eAU laufen über Konnektoren und gematik-Komponenten. Diese sind in der Regel zertifiziert — aber der lokale Zugang dazu (PVS-Workstations, Smartcards, eHBA) ist es nicht automatisch. Ein erfolgreicher Phishing-Angriff auf eine MFA-Mitarbeiterin kann zu manipulierten eRezept-Verordnungen oder unautorisiertem ePA-Zugriff führen.

Verteilte Standorte mit zentraler IT. Praxisverbünde mit drei oder mehr Standorten betreiben oft eine zentrale Server-Infrastruktur — VPN-Anbindungen, gemeinsamer Active Directory, geteilte Backup-Strategie. Ist der zentrale Server kompromittiert, sind alle Standorte betroffen. Das ist nicht hypothetisch — der Cyberangriff auf das MVZ Tirschenreuth/Kemnath im Herbst 2025 folgte genau diesem Muster und führte zur vorübergehenden Schließung beider Standorte.

Hohe Personalfluktuation, viele Endgeräte. Im niedergelassenen Bereich wechseln Pflegekräfte, MFA und ärztliche Mitarbeitende häufiger als in Klinikstrukturen. Onboarding und Offboarding sind oft IT-seitig nicht systematisiert — ehemalige Mitarbeitende behalten Wochen oder Monate Systemzugriffe. Tablets, Smartphones und mobile Endgeräte erweitern die Angriffsfläche zusätzlich.

Abrechnung als Wirtschaftsziel. Niedergelassene Strukturen sind interessant für gezielte CEO-Fraud-Angriffe und manipulierte Rechnungen — der Geldfluss ist im Vergleich zur Klinik einfacher zu kapern. Eine mittelgroße MVZ-Kette mit fünf Standorten verarbeitet schnell siebenstellige monatliche Erstattungen.

Meldewesen nach § 32 BSIG — 24/72/30 in der Praxis

§ 32 BSIG schreibt eine dreistufige Meldepflicht vor:

  • Erstmeldung innerhalb 24 Stunden nach Kenntnis des erheblichen Sicherheitsvorfalls: knappe Beschreibung des Vorfalls, betroffene Systeme, vermuteter Ursprung.

  • Bewertungsmeldung innerhalb 72 Stunden: detaillierte Bewertung der Auswirkungen, ergriffene Maßnahmen, Schweregrad-Einstufung.

  • Abschlussbericht nach einem Monat: vollständige Aufarbeitung, Ursache, Konsequenzen, Lerneffekte und Anpassungen am Sicherheitskonzept.

Die Meldung erfolgt über das BSI-Meldeportal, das über das Mein-Unternehmenskonto (MUK) angesteuert wird. Dort werden sowohl die Registrierung als auch die Vorfall-Meldungen abgewickelt.

Operativ bedeutet das für ein MVZ drei Vorbereitungspunkte:

1. MUK-Konto vor dem ersten Vorfall einrichten. Wer im Krisenfall erst noch Zugangsdaten organisieren muss, verliert Stunden. Der Zugang sollte bei Geschäftsführung und IT-Verantwortlichem hinterlegt sein, mit klar definierter Stellvertretung.

2. Eskalationskette dokumentieren. Wer bei einem Vorfall die Meldung auslöst, sollte vorher klar sein. Übliche Kette: IT-Leitung erkennt → Geschäftsführung entscheidet → Datenschutzbeauftragte:r prüft parallel die DSGVO-Meldepflicht.

3. Templates für die drei Meldungen vorhalten. Die 24-Stunden-Erstmeldung passiert oft im Krisenmodus. Ein vorbereiteter Textbaustein, in den nur Fall-Spezifika eingefügt werden, spart Zeit und reduziert Fehler.

Wichtig: Die NIS2-Meldung ersetzt nicht die DSGVO-Meldepflicht nach Art. 33 DSGVO bei Patientendaten-Verlust. Bei klassischen Ransomware-Vorfällen müssen beide Meldewege gleichzeitig aktiviert werden — das BSI-Portal nach § 32 BSIG, die zuständige Datenschutzaufsicht nach DSGVO.

§ 38 BSIG — die persönliche Haftung der Geschäftsführung

Der vielleicht ungemütlichste Teil von NIS2: Die Geschäftsführung haftet persönlich für die Umsetzung und Einhaltung der Risikomanagement-Maßnahmen. Das BSIG verankert in § 38 ausdrücklich:

  • Die Geschäftsleitung muss die Umsetzung der § 30-Maßnahmen überwachen.

  • Die Geschäftsleitung muss regelmäßig an Cybersecurity-Schulungen teilnehmen.

  • Bei Pflichtverletzung haftet die Geschäftsleitung persönlich auf Schadensersatz.

Das Gesetz lässt offen, in welchem Format und welcher Häufigkeit „regelmäßig" stattfindet. Bewährt hat sich eine jährliche dokumentierte Schulung mit Agenda und Teilnahmenachweis, ergänzt um schriftliche Quartalsberichte zur Sicherheitslage.

In MVZ-Strukturen mit mehreren Geschäftsführenden gilt die Pflicht für alle. Eine Delegation „an die IT" ist rechtlich nicht möglich — die operative Verantwortung kann übertragen werden, die Aufsichts- und Überwachungspflicht nicht.

8-Wochen-Roadmap für ein typisches MVZ

In der Praxis hat sich folgender Ablauf bewährt — kompakter als die Krankenhaus-Roadmap, weil ambulante Strukturen in der Regel weniger komplex sind und seltener mehrere Hundert versorgungskritische Systeme parallel betreiben.

Wochen 1 bis 2: Bestandsaufnahme. Scope-Klärung (welche Standorte, welche Tochtergesellschaften, welche Praxisbereiche), Asset-Inventar (Server, Workstations, Konnektoren, mobile Endgeräte), Lieferanten-Mapping (PVS-Hersteller, IT-Dienstleister, Cloud-Anbieter). Ein einfaches Excel reicht — wichtig ist die Vollständigkeit.

Wochen 3 bis 4: Quick Wins. MFA auf allen administrativen Accounts (Active Directory, PVS, Backup-System, VPN, RDP, Microsoft 365). Backup-Strategie auf 3-2-1 prüfen, mindestens eine Kopie offline oder immutable. Phishing-Awareness-Auftakt für die gesamte Belegschaft — kurzes Kick-off-Format mit Dokumentation.

Wochen 5 bis 6: Dokumentation aufbauen. Informationssicherheits-Richtlinie als gemeinsame Klammer für § 75b/§ 390 SGB V und NIS2. Risikoregister mit 15 bis 25 Risiken. Notfallplan über zwei Seiten. Lieferantenregister mit AVV-Status und Risikoeinschätzung. Incident-Response-Ablaufdiagramm mit Eskalationskette und Meldevorlagen.

Woche 7: Schulung der Geschäftsführung. Dokumentierte Sitzung zur Cybersecurity-Lage, Einführung in die Pflichten nach § 38 BSIG, Übersicht über das Sicherheitskonzept. Mit Agenda und Teilnehmerliste zur Akte.

Woche 8: Registrierung beim BSI. Über das Mein-Unternehmenskonto (MUK), mit Stammdaten, Einstufung und 24/7-Kontaktstelle. Bei guter Vorbereitung dauert das Portalverfahren 30 bis 60 Minuten.

Danach: Keine Projekt-Phase ist „fertig". Quartalsweises Update von Risikoregister und Notfallplan, jährliche Phishing-Simulation, Tabletop-Übung mindestens einmal pro Jahr, zweijährliche externe Bewertung der Maßnahmen.

Häufige Fallstricke

„Unser IT-Dienstleister kümmert sich um alles." Das ist keine NIS2-konforme Antwort. Die Verantwortung kann nicht ausgelagert werden — der Dienstleister setzt Maßnahmen um, aber Aufsicht, Risikobewertung und Geschäftsführer-Haftung bleiben beim MVZ.

„Wir warten erst mal ab, ob das BSI prüft." Bußgelder greifen nicht erst bei BSI-Audits, sondern bei Vorfällen ohne dokumentierte Schutzmaßnahmen. Und im Vorfall-Fall sind 24/72/30-Stunden-Fristen unerbittlich.

„Phishing-Simulation? Da macht der Betriebsrat nicht mit." Korrekt — und auch in MVZ-Strukturen. Aber mit einer sauberen Betriebsvereinbarung, die Anonymisierung, Zwecksetzung und das Nutzungsverbot für Personalmaßnahmen klar regelt, ist Mitbestimmung kein Stopper, sondern ein Beschleuniger.

„Wir machen erst die Doku, dann die Maßnahmen." Falsch herum. Dokumentation entsteht aus gelebter Praxis — Maßnahmen umsetzen, dabei dokumentieren, dann zur Quartalsstruktur verdichten.

Fazit

NIS2 für MVZ und Praxisnetzwerke ist 2026 keine Option mehr, sondern Pflicht. Die operative Umsetzung ist machbar — acht Wochen reichen für ein belastbares Grundgerüst, wenn Scope, Priorisierung und Ressourceneinsatz von Anfang an stimmen.

Die größten Hebel: MFA auf alle administrativen Konten, ein dokumentierter Notfallplan, eine durchdachte Lieferantenliste und eine jährliche Schulung der Geschäftsführung mit Nachweis. Vieles vom Rest folgt aus der bereits umgesetzten KBV-IT-Sicherheitsrichtlinie nach § 75b/§ 390 SGB V.

Wo es typisch klemmt: Lieferantenmanagement (oft komplett ungeordnet), Awareness-Programme (selten systematisch betrieben) und das Meldewesen mit 24-Stunden-Logik (in den seltensten Fällen aufgesetzt). Genau hier setzen Managed Services für Phishing-Simulation, Awareness-Training, Vulnerability Management und Incident Detection & Response an — sie liefern die operativen Bausteine, die § 30 BSIG fordert, ohne dass MVZ ein eigenes Security-Team aufbauen müssen.

Bei Entropy CS unterstützen wir MVZ und Praxisnetzwerke mit genau diesen Managed Services — die operativen Säulen einer NIS2-konformen Sicherheitsarbeit. Unser kostenloses Risk Assessment dauert 30 Minuten und liefert eine ehrliche Standortbestimmung für Ihre Einrichtung — inklusive konkreter nächster Schritte.

Weitere Beiträge

Alle Beiträge ansehen

Alle Beiträge ansehen

Phishing-Simulation rechtssicher: BetrVG, DSGVO, Betriebsrat

Phishing-Simulation rechtssicher: BetrVG, DSGVO, Betriebsrat
ransomware,-cybersecurity,-cyber,-security,-computer,-technology,-hacker,-intern - katielwhite91 (pixabay)

Ransomware in der Klinik: Notfallplan für 24h, 72h und 30 Tage
ransomware,-cybersecurity,-cyber,-security,-computer,-technology,-hacker,-intern - katielwhite91 (pixabay)

Ransomware in der Klinik: Notfallplan für 24h, 72h und 30 Tage
cyber-brain,-computer,-brain,-the-internet,-web3,-0,-blockchain,-cyber,-artifici - deltaworks (pixabay)

Awareness-Training und Vulnerability Management nach § 30 BSIG
cyber-brain,-computer,-brain,-the-internet,-web3,-0,-blockchain,-cyber,-artifici - deltaworks (pixabay)

Awareness-Training und Vulnerability Management nach § 30 BSIG