Praxen und MVZ mit mehr als 50 Mitarbeitern oder mehr als zehn Millionen Euro Jahresumsatz haben zu ihrer IT-Sicherheit schon bald neue Regeln zu beachten: Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit soll noch in diesem Herbst in nationales Recht umgesetzt werden.

Technisch, so beschreibt es Dr. Patrick Grosmann im „ÄrzteTag“-Podcast, sei die neue Richtlinie weniger spezifisch als die bisher bereits geltende IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung. Es gehe eher um organisatorische Maßnahmen, um Risikomanagement und um „geeignete technische Maßnahmen“, die zu ergreifen seien, um den Anforderungen gerecht zu werden.

Im Podcast geht der Rechtsanwalt und zertifizierte Datenschutzbeauftragte aus Frankfurt am Main darauf ein, wie die Betroffenheitsgrenzen zu verstehen sind, wie MVZ-Verbünde, die in einer GmbH zusammengeschlossen sind, gewertet werden, welche Mitarbeiterinnen und Mitarbeiter möglicherweise nicht mitgezählt werden müssten – und warum sich Gesundheitseinrichtungen generell immer wieder mit den Problemen der Cybersicherheit befassen müssen.

Großpraxen und MVZ, die unter das neue Recht fallen könnten, müssten zunächst eine Betroffenheitsprüfung machen und, falls sie betroffen sind, sich dann beim Bundesamt für Sicherheit in der Informationstechnik registrieren, so Grosmann weiter im Gespräch. Zu beachten seien auch neue Meldepflichten bei Hackerangriffen, die zu den Meldepflichten beim Datenschutzbeauftragten aus der Datenschutzgrundverordnung hinzukommen, berichtet der Rechtsanwalt.

Er führt auch weiter aus, was unter einem angemessenen Risikomanagement und unter „geeigneten technischen Maßnahmen“ zu verstehen sei; er erklärt zudem, welche Bedeutung die NIS-2-Richtlinie in der Lieferkette einer BAG oder eines MVZ in diesem Zusammenhang hat, und er schätzt ab, wie hoch der Aufwand für eine MVZ-Gruppe sein könnte – und warum es sich am Ende dennoch lohnen könnte, den zusätzlichen bürokratischen Aufwand zu betreiben: Denn wer sich gut gegen Angriffe schützt, spart am Ende jedenfalls die weit höheren Kosten der Schadensbeseitigung ein. Das hätten die vergangenen Jahre zur Genüge gezeigt bei Hackerangriffen auf Einrichtungen im Gesundheitswesen. (Dauer: 29:43 Minuten)