26. Februar 2026

NIS 2 – Eine Übersicht zu den Pflichten und Fristen

INHALT

Bis 6. März: Aktion erforderlich
Betroffenheit
Pflichten der Praxisleitung
Registrierung | How to
Sanktionen & Handlungsempfehlungen

Worum geht es? Warum der Aufwand?

Bereits seit zwei Jahren verweisen wir nachdrücklich auf die Folgen für vertragsärztliche Großpraxen aus der Einführung von NIS2. MVZ und Gemeinschafspraxen sind von der neuen Richtlinie, die auf die Cyber-Sicherheit wichtiger Unternehmen abzielt, betroffen, wenn sie mehr als 50 Mitarbeiter haben oder das Umsatz- oder Bilanzkriterium ( > 10 Mill. €) erfüllen. Durch die verschärfung der Anforderungen soll die Resilienz der europäischen Wirtschaft und Infrastruktur gestärkt werden.

Schon im Dezember 2024 hatten wir darum die branchenspezifische BMVZ-Arbeitshilfe ▷ NIS2-Richtlinie | Relevanz und Folgen der NIS2-Gesetzgebung für MVZ und Großpraxen veröffentlicht. Eine Übersicht, verfasst von den Rechtsanwälten Dr. Thomas Willaschek & Franz-Sebo Krubally, die für MVZ und andere komplexe Praxisstrukturen immer noch eine empfehlenswerte Lektüre darstellt, da die wesentlichen Grundlagen unverändert fortgelten.

Mit Verspätung ist nun am 6. Dezember 2025 die NIS2-Richtlinie in deutsches Recht überführt worden. Seit diesem Inkrafttreten ist der Handlungsdruck auf die verpflichteten Unternehmen stark erhöht. Eine erste wichtige, einzuhaltende Frist ist der 6. März 2026. Zudem sind inzwischen auch die Curricula für die verpflichtenden Weiterbildungen final.

Damit Verantwortliche in MVZ und Praxen abschätzen können, inwieweit sie betroffen sind, und was, wann zu tun ist, und wie das mit Haftung und Sanktionen aussieht, haben wir die wichtigsten Punkte übersichtlich zusammengefasst.

AKTION ERFORDERLICH

Frist für die Registrierung als wichtige Einrichtung: 6. März 2026

Unternehmen, die als ‚wichtige oder besonders wichtige Einrichtung‘ unter das neue BSI‑Gesetz nach NIS2 fallen, müssen sich bis spätestens 6. März 2026 im BSI‑Portal als „betroffene Einrichtung“ registrieren.

Das Gesetz selbst gilt bereits seit dem 6. Dezember 2025, räumt aber eine dreimonatige Frist ab Inkrafttreten für die Registrierung ein, die folglich am 6. März abläuft. Versäumnisse können haftungsrechtlich bereits seit Dezember relevant sein.

Da das Registrierungsportal vom BSI erst am 6. Januar 2026 eröffnet wurde, leiten einzelne Stimmen den 6. April 2026 als spätere Frist her. Rechtssicher ist es jedoch, sich an der klaren gesetzlichen Geltung ab dem 6. Dezember 2025 zu orientieren. Daraus ergibt sich unmissverständlich die Pflicht zur Registrierung betroffener Unternehmen bis zum 6. März 2026.

HINTERGRUND

Um Verwirrung zu vermeiden ist es relevant, die Begrifflichkeiten zu klären. Insbesondere bei der Eigenrecherche zum Thema und zu enstprechenden Schulungsangeboten trifft man auf unterschiedliche Benennungen für das hinlänglich als NIS2 bezeichnete Gesetz.

NIS2 steht für ‚Network and Information Security‘ Richtlinie 2. Es handelt sich dabei um eine EU-Richtlinie, die in Deutschland mit dem ‚Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung‘ oder kurz: NIS2UmsuCG umgesetzt wurde. Maßgeblich wurde durch das Umsetzungsgesetz das BSIG, also das BSI-Gesetz geändert, weshalb im Gesetzgebungsverfahren (und in einigen älteren Quellen) auch vom BSIG-neu die Rede ist.

Das NIS2UmsuCG trat am 6. Dezember 2025 in Kraft.

Viele Worte für ein Gesetz

Aktuell werden die Begriffe NIS2, BSIG und BSI-Gesetz (neu) häufig synonym verwendet; sie beschreiben den gleichen Sachverhalt. Da Deutschland mit der Umsetzung allerdings lange brauchte, finden sich auch reichlich Quellen von 2024, die mit Rücksicht darauf, dass es im Beratungsprozess zwischen Sommer 2024 und Dezember 2025 im Detail noch Korrekturen gegeben hat, gelesen werden sollten.

Zu beachten ist ferner, dass in Anlehnung an die allgemeine Sicherheitslage ebenso das KRITIS-Dachgesetz häufig im NIS2-Kontext Erwähnung findet. Dies ist jedoch noch einmal ein anderes Paar Schuhe und der Adressatenkreis von NIS2 verschieden. Die BSI-Kritisverordnung spricht in den relevanten Anhängen (~ Anhang 5 BSI-KritisV) explizit Apotheken und Krankenhäuser an, nicht aber Strukturen der ambulanten Versorgung.

BETROFFENHEIT

MVZ und Praxen grundsätzlich erfasst

Arztpraxen, Berufsausübungsgemeinschaften (BAG) und Medizinische Versorgungszentren (MVZ) fallen dem Grunde nach in den Anwendungsbereich des neuen BSI‑Gesetzes, da das Gesundheitswesen im Gesamten zu den elf als kritisch eingestuften Branchen zählt. Allerdings hat der Gesetzgeber die Konsequenzen, die sich aus NIS2 für Unternehmen ergeben, nach Größe gestaffelt, und dabei für Einzel- und typische Zweier- oder Dreierpraxen grundsätzlich eine Ausnahme von der Betroffenheit vorgesehen.

Schwellenwerte nach NIS2 und KMU‑Definition

Als „wichtige Einrichtung“ wird eine Arztpraxis, bzw. ein MVZ eingestuft, wenn sie/es mindestens 50 Beschäftigte hat oder mehr als 10 Millionen Euro Jahresumsatz und eine Bilanzsumme von über 10 Millionen Euro erreicht. Als „besonders wichtige Einrichtungen“ gelten Unternehmen ab 250 Beschäftigten oder einem Jahresumsatz von mehr als 50 Millionen Euro und zusätzlich einer Bilanzsumme von mehr als 43 Millionen Euro. Diese Schwellenwerte ergeben sich aus dem NIS2-Gesetz.

Allerdings kann man sich über die Auslegung der Schwellenwerte auch anderweitig informieren. Denn die Grundlage für diese Schwellenwerte ist die EU‑Empfehlung 2003/361/EG zur Definition von Kleinstunternehmen sowie kleinen und mittleren Unternehmen (KMU), insbesondere Artikel 4 zur Größenklassifizierung. Eine praxisnahe Erläuterung der Berechnung und Zuordnung bietet darum der „Benutzerleitfaden zur Definition von KMU“.

Zählweise: Konzernstrukturen und Teilzeitkräfte

Für die Einstufung zählen die Beschäftigten im Jahresdurchschnitt nach Vollzeitäquivalenten (FTE/JAE), wobei Teilzeitkräfte anteilig berücksichtigt werden. Nach der EU‑Definition werden u. a. Auszubildende und Personen im Mutterschutz nicht mitgerechnet, sofern keine Arbeitsleistung erbracht wird. Wichtig ist zudem, dass verbundene Unternehmen (z. B. MVZ‑Ketten, Zweigpraxen, ausgelagerte Praxisräume) bei der Größenbestimmung zusammenzurechnen sind, auch wenn sie unterschiedliche Adressen haben. Wer hier an der Schwelle liegt oder komplexe Eigentümer‑ und Beteiligungsstrukturen hat, sollte unbedingt fachkundige Beratung einholen.

2‑Jahres‑Regel an der Schwelle: Überschreitet oder unterschreitet ein Unternehmen die KMU‑Grenzwerte nur in einem einzelnen Geschäftsjahr, ändert sich sein Status noch nicht. Erst wenn die Schwellenwerte in zwei aufeinanderfolgenden Jahren über- bzw. unterschritten werden, gilt es dauerhaft als „drüber“ oder „drunter.“ Das ist für NIS2‑Pflichten besonders relevant, wenn man knapp an der Grenze liegt.

Benutzerleitfaden zur Definition von KMU
Ausführungen zu Artikel 4, ab Seite 44 | Bundesamt für Wirtschaft und Kontrolle v. 25.02.2026
Wie die Umsetzung der Europäischen NIS-2-Richtlinie im Healthcare-Sektor gelingt
PwC v. 19.08.2025

PFLICHTEN DER PRAXISLEITUNG

NIS2 rückt die Unternehmensleitung ausdrücklich in die Verantwortung für Cybersicherheit. Darunter fallen nicht nur Geschäftsführer, sondern auch andere Personen, die maßgebliche Leitungsfunktionen ausüben. Diese Leitungsorgane müssen Cybersicherheitsmaßnahmen billigen, überwachen und dafür sorgen, dass angemessene Ressourcen und Prozesse bereitstehen. Es ist von entscheidender Bedeutung, sich über den begrifflichen Unterschied zur Unternehmensführung klarzuwerden und zu evaluieren, welche Mitarbeiter zum Verantwortungskreis hinzuzugehören und geschult werden müssen.

Schulungspflicht der Leitungsebene

Für wichtige und besonders wichtige Einrichtungen besteht eine gesetzliche Pflicht, dass die Geschäftsleitung regelmäßig an Schulungen zu IT Sicherheitsrisiken und Risikomanagement teilnimmt (§ 38 BSIG). Solche Schulungen sollen sicherstellen, dass Leitungsverantwortliche Risiken erkennen, bewerten und geeignete Maßnahmen entscheiden können. Als Richtwert nennt die Fachpresse Schulungen mindestens alle drei Jahre mit mehreren Stunden Umfang, angepasst an Risikolage, Unternehmensgröße und Vorwissen.

Die Schulungen sind in drei Stufen aufgebaut und umfassen insgesamt 4-8 Stunden. Neben Grundlagen zur Cybersicherheit, den allgemeinen Anforderungen aus dem Gesetz werden im dritten Teil konkretere Maßnahmen für die beschulten Unternehmen besprochen. Die Teilnahme muss dokumentiert werden, um die Erfüllung der Pflichten im Streitfall nachweisen zu können.

Haftung und Enthaftung unter NIS2

Die NIS2‑Richtlinie verschärft die persönliche Verantwortung der Leitungsorgane und will klassische Enthaftungsmechanismen deutlich begrenzen. Auch wenn die deutsche Umsetzung im BSI‑Gesetz stärker an die bekannte Organhaftung im Gesellschaftsrecht anknüpft, bleibt der Kern: Wer NIS2‑Pflichten (z. B. Registrierungs‑, Organisations‑, Schulungs‑ und Meldepflichten) fahrlässig verletzt, kann für daraus entstehende Schäden persönlich in Anspruch genommen werden – bis zum Zugriff auf das Privatvermögen. D&O‑Versicherungen und interne Freistellungsklauseln bleiben zwar grundsätzlich möglich, ersetzen aber keine wirksame NIS2‑Compliance, denn im Schadensfall müssten betroffene Verantwortliche auch dem Versicherer darlegen, dass sie nicht fahrlässig gehandelt haben.

Fahrlässigkeit und persönliche Haftungsrisiken

Fahrlässigkeit kann bereits vorliegen, wenn gesetzlich geforderte Mindestmaßnahmen – wie Registrierung, Schulungen oder Meldepflichten – nicht oder verspätet umgesetzt werden. Bedenken Sie als Beispiel, wie schnell eine Weiterbildungsfrist ‚untergehen‘ kann, wenn ein neuer Geschäftsführer in das Unternehmen hinzukommt. Es gibt nach unserer Kenntnis noch keine konkreten Angaben, welcher zeitliche Verzug zwischen Einstellung und Weiterbildung vertretbar und juristisch argumentierbar sind.

Gerade im Gesundheitswesen führen Cyberangriffe häufig zu Vorfällen mit Patientendaten, weshalb die Pflicht zur Meldung an Aufsichtsbehörden mit hoher Wahrscheinlichkeit ausgelöst wird. Wird dann festgestellt, dass Leitung und Organisation ihre NIS2 Pflichten klar verletzt haben, drohen Bußgelder in Millionenhöhe und im Extremfall auch eine Inanspruchnahme mit Privatvermögen, insbesondere bei grober Fahrlässigkeit.

Im Fall des Falles:
Meldepflichten und 24-Stunden-Frist

NIS2 sieht eine sehr kurze Frist für Erstmeldungen im Falle eines erheblichen Sicherheitsvorfalls vor. So muss die erste Meldung innerhalb von 24 Stunden an das BSI über dessen Webseite erfolgen. IT-Sicherheitsexperte Jörg Asma von PwC betont, dass viele Einrichtungen aktuell bisher nicht über Prozesse verfügen, um in dieser Zeit eine belastbare Ersteinschätzung vorzunehmen, Ansprechpartner zu benennen und die Meldekette mit ihren Folgen korrekt einzuhalten.

Um Sanktionen zu vermeiden, sollten deshalb Meldewege, 24/7 Notfallkontakte und interne Entscheidungsprozesse vorab klar definiert und bestenfalls geübt werden. Was dabei grundsätzlich zu beachten ist und welche Spezifika für das eigene Unternehmen gelten, sind Bestandteil der Schulungen.

NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen
proliance v. 17.12.2025

NIS2 und persönliche Haftung: Was Entscheider jetzt wissen und umsetzen müssen
Live-Webcast am 14.4.2026 um 11 Uhr; heise live business service

Meldepflichten
BSIG v. 25.02.2026

REGISTRIERUNG

Die Registrierung als betroffene Einrichtung erfolgt in der Praxis in drei Schritten: interne Vorbereitung, Einrichtung von „Mein Unternehmenskonto“ (MUK) und die eigentliche Anmeldung im BSI-Portal. Auf Nachfrage gab uns Johannes Vakalis von Ecclesia Cyber die Auskunft, dass der Zeitaufwand insgesamt zwischen rund einer Stunde und mehreren Stunden läge, je nachdem, ob die zur Registrierung benötigten Daten, Kennzahlen und Zugänge bereits vorliegen.

Schritt 1: Interne Vorarbeiten und Einstufung

Zunächst sollten Einrichtungen prüfen, ob sie nach NIS2 als „wichtige“ oder „besonders wichtige“ Einrichtung gelten (NIS2 Einstufung, KRITIS Prüfung, Größen und Umsatzkennzahlen). Dazu gehört das Zusammenstellen der relevanten Unternehmensdaten, der Mitarbeiterzahlen (FTE), Umsätze und Bilanzsummen sowie das Festlegen der internen Verantwortlichkeiten für IT Sicherheit und Meldungen.

Schritt 2: „Mein Unternehmenskonto“ (MUK) einrichten

Als technische Voraussetzung für den Zugang zum BSI Portal muss ein Unternehmenskonto bei „Mein Unternehmenskonto“ (MUK) eingerichtet werden. Liegt ein Organisationszertifikat bereits vor, lässt sich das MUK in der Regel in etwa 15–30 Minuten anlegen. Bei Neubeantragung fällt zusätzlicher Aufwand plus behördliche Bearbeitungszeit an. „Mein Unternehmenskonto“ dient dabei als zentrale digitale Identität des Unternehmens gegenüber Behörden und wird künftig auch über NIS2 hinaus genutzt werden.

Schritt 3: Registrierung im BSI Portal

Im letzten Schritt erfolgt die eigentliche NIS2 Registrierung im BSI Portal über den MUK Zugang. Dabei sind u. a. Unternehmensdaten, Sektorzuordnung, Einstufung (wichtig/besonders wichtig) sowie eine Liste von 24/7 Kontaktstellen zu hinterlegen. Bei guter Vorbereitung ist dieser Schritt nach Einschätzung von IT-Fachbetreuer Johannes Vakalis innerhalb von 20–40 Minuten zu bewältigen. Das BSI stellt öffentlich verfügbare Schritt für Schritt Informationen und Hilfetexte zur Registrierung bereit.

SANKTIONEN

Sanktionen bei Nichtregistrierung

Wie aktiv das BSI ab dem 6. März 2026 Versäumnisse bei der Registrierung verfolgen wird, ist derzeit nicht absehbar. Experten weisen darauf hin, dass durch die Vernetzung der Behörden es schon jetzt möglich ist, dass das BSI erkennen könne, welche Unternehmen betroffen sind.

Zumindest geht der Gesetzgeber davon aus, dass sich rund 30.000 Unternehmen anmelden müssten, obgleich dies bis Anfang Februar nur ein Bruchteil getan hatte. BSI-Präsidentin Plattner gab damals an, dass sich drei Wochen nach der Live-Schaltung des Meldeportals erst 1.900 Unternehmen, und damit weniger als jedes zehnte, das dazu verpflichtet wäre, registriert hätten. (~ Quelle)

Für „wichtige Einrichtungen“ können bei Verstößen Bußgelder von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes, für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 % des Umsatzes als Strafe verhängt werden.

Die Meldepflicht muss proaktiv wahrgenommen werden. D.h. es gibt keine Aufforderung von Amts wegen und verpflichtete Unternehmen erhalten auch keine gesonderten Informationen über diesen Status. Im Ergebnis gilt: „Wer diese Fristen versäumt, riskiert Bußgelder. Und das BSI ist nicht zimperlich: Wer nicht registriert ist, kann auch nicht melden. Wer nicht melden kann, verstößt gegen Meldepflichten. Das zieht Kreise.“ (~ Quelle)

Entsprechend stellt sich die eigentliche Frage:
Inwiefern wollen die Verantwortlichen in MVZ oder Praxis die persönlichen Haftungsrisiken tragen?

Handlungs-empfehlung

Das Wichtigste als Take-Home-Messages

Für erhebliche Sicherheitsvorfälle gilt schon seit Dezember 2025 eine enge 24‑Stunden‑Frist für die Erstmeldung an das BSI, daher sind klare Notfall‑ und Meldeprozesse mit 24/7‑Kontakten zwingend nötig.

Die Leitungsebene (Geschäftsführung, Praxisinhaber, ärztliche Leitung) trägt die Gesamtverantwortung für Cybersicherheit

Leitungen müssen alle 3 Jahre geschult werden; reine Delegation an IT oder Dienstleister genügt nicht zur Enthaftung.

Bei Pflichtverstößen (z. B. fehlende Registrierung, keine oder verspätete Meldung von Vorfällen) drohen hohe Bußgelder und im Extremfall persönliche Haftung mit Privatvermögen.

Die Registrierung als betroffene Einrichtung läuft über „Mein Unternehmenskonto“ (MUK) und das BSI‑Portal. Die Frist der Betroffenheitsmeldung ist der 6. März. Es ist nicht klar, ob das BSI eine Nichtregistrierung umgehend ahndet.

Empfehlung für Praxen, BAG und MVZ

Verpflichtete Praxen und MVZ sollten NIS2 nicht als reines IT‑Projekt, sondern als Management‑Aufgabe verstehen. Es ist sinnvoll, Schulungen, Registrierungsprozesse und Notfallorganisation so zu planen, dass sie in den Praxisalltag integrierbar sind und bei den regelmäßigen Schulungen ggf. Skaleneffekte nutzen.

Das BMVZ-Netzwerk kann sich hier wieder als zuverlässiger Partner für den Austausch über gute Angebote und Best-Practice erweisen.

NIS-2 Richtlinie:Umsetzung im Gesundheitswesen
Tilmann Dietrich

BMVZ e.V.
Schumannstr. 18
10117 Berlin

Tel.: 030 / 270 159 50
Fax: 030 / 270 159 49
Mail: buero@bmvz.de
Web: www.bmvz.de

BMVZ Global
Raum Schumann