NIS2-Richtlinie in der Radiologie: IT-Sicherheit wird zur Voraussetzung für den Praxisbetrieb

NIS2-Richtlinie in der Radiologie: IT-Sicherheit wird zur Voraussetzung für den Praxisbetrieb

Radiologische und nuklearmedizinische Einrichtungen gehören zu den am stärksten digitalisierten Bereichen der Medizin. Befundung, Bildverarbeitung und Archivierung sind vollständig von IT-Systemen wie RIS, PACS und modalitätsnahen Netzwerken abhängig.

Mit der Umsetzung der NIS2-Richtlinie hat sich die Bewertung dieser Abhängigkeit grundlegend verändert:

IT-Sicherheit ist heute Voraussetzung für einen stabilen und rechtssicheren Praxisbetrieb.

Gesetzliche Grundlage: NIS2 und das BSI-Gesetz

Die europäische NIS2-Richtlinie wurde in Deutschland durch das überarbeitete BSI-Gesetz (BSIG) umgesetzt. Damit entstehen erstmals verbindliche Anforderungen an die IT-Sicherheit auch für größere Praxen und MVZ.

Zentrale gesetzliche Verpflichtungen sind:

• § 38 BSIG: Umsetzungs-, Überwachungs-, und Schulungspflicht für Geschäftsleitungen

• § 32 BSIG: Meldepflicht bei erheblichen Sicherheitsvorfällen

• § 33 BSIG: Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI)

Entscheidend ist dabei: Die Verantwortung liegt rechtlich bei der Geschäftsführung.

Ein externer IT-Dienstleister entbindet nicht von dieser Verpflichtung.

Wann radiologische Praxen und MVZ betroffen sind

Radiologische Einrichtungen fallen unter die NIS2-Regelung, wenn sie als „wichtige Unternehmen“ eingestuft werden. Das ist in der Regel der Fall bei:

• mindestens 50 Mitarbeitenden (Vollzeitäquivalente) oder

• mehr als 10 Mio. € Jahresumsatz

Diese Schwellenwerte werden gerade in überörtlichen Praxisstrukturen oder MVZ häufig erreicht.

Warum Radiologie und Nuklearmedizin besonders betroffen sind

Im Gegensatz zu klassischen Facharztpraxen bestehen in der Radiologie spezifische IT-Risiken:

• Hohe Datenvolumina: bildgebende Verfahren erzeugen große Datenmengen mit langfristiger Aufbewahrungspflicht

• Geräteintegration: CT-, MRT- und PET-Systeme sind direkt in die IT-Infrastruktur eingebunden

• Herstellerzugriffe: regelmäßige Fernwartung stellt zusätzliche Angriffsflächen dar

• Systemabhängigkeit: ein Ausfall einzelner Komponenten kann den gesamten Betrieb stoppen

IT-Sicherheitsvorfälle wirken sich daher unmittelbar auf die Versorgungsfähigkeit aus.

Zusammenspiel von NIS2 und KBV-IT-Sicherheitsrichtlinie

Neben NIS2 gilt weiterhin die IT-Sicherheitsrichtlinie der KBV als verbindlicher Standard für den Praxisbetrieb.

Die Unterschiede sind klar:

NIS2

• Gesetzliche Pflicht

• Fokus auf Organisation & Haftung

• branchenübergreifend

KBV-Richtlinie

• Branchenspezifischer Standard

• Konkrete technische Vorgaben 

• speziell für Praxen 

In der Praxis bedeutet das: NIS2 verpflichtet zur Umsetzung – die KBV beschreibt die konkrete Ausgestaltung im Gesundheitswesen.

Was sich konkret verändert hat

Der zentrale Unterschied zur bisherigen Situation liegt in der Erwartungshaltung:

IT-Sicherheit muss nicht nur vorhanden sein, sondern nachweisbar organisiert werden.

Das betrifft insbesondere:

• strukturierte Risikoanalyse

• definierte Sicherheitsmaßnahmen

• dokumentierte Prozesse

• nachvollziehbare Verantwortlichkeiten

Ein reiner „IT-Betrieb“ ohne Systematik erfüllt diese Anforderungen nicht mehr.

Zentrale Handlungsfelder für radiologische Einrichtungen

Für Praxen und MVZ ergeben sich daraus klare operative Anforderungen:

1. Netzwerk- und Systemarchitektur

• Trennung von medizinischen Systemen, Verwaltungs-IT und externen Zugriffen

• kontrollierte Anbindung von Großgeräten

2. Überwachung und Reaktion

• kontinuierliche Erkennung von Sicherheitsvorfällen

• definierte Prozesse zur Reaktion und Meldung

3. Patch- und Schwachstellenmanagement

• zeitnahe Aktualisierung aller Systeme

• dokumentierte Prozesse zur Schließung von Sicherheitslücken

4. Backup- und Wiederherstellungsstrategien

• Sicherstellung der Datenverfügbarkeit

• Schutz vor Verschlüsselung und Datenverlust

5. Benutzer- und Berechtigungsmanagement

• individuelle Benutzerkonten

• rollenbasierte Zugriffskonzepte

6. Dokumentation und Organisation

• vollständiges IT-Inventar

• Notfallhandbuch

• Schulung und Sensibilisierung der Mitarbeitenden

Die größte Herausforderung: Nachweis und Struktur

In der Praxis zeigt sich, dass weniger die Technik als vielmehr die Struktur das Problem darstellt.

Für eine Prüfung oder im Schadensfall muss klar belegbar sein:

• welche Systeme eingesetzt werden

• welche Risiken bestehen

• welche Maßnahmen umgesetzt wurden

Ohne eine strukturierte Vorgehensweise lassen sich diese Anforderungen nicht erfüllen.

Hier setzen etablierte Methoden wie der BSI IT-Grundschutz an.

Fazit: IT-Sicherheit als Bestandteil der Praxisführung

Für radiologische und nuklearmedizinische Einrichtungen gilt heute:

• IT-Sicherheit ist betriebsrelevant

• IT-Sicherheit ist haftungsrelevant

• IT-Sicherheit ist regulatorisch überprüfbar

Ein stabiler Praxisbetrieb setzt daher nicht nur funktionierende Systeme voraus, sondern eine strukturierte und nachweisbare IT-Sicherheitsorganisation.

Handlungsbedarf erkennen

Viele Praxen und MVZ verfügen bereits über funktionierende IT-Strukturen, erfüllen jedoch nicht die neuen Anforderungen an Nachweisbarkeit und Systematik.

Ein strukturierter Erstcheck zeigt:

• ob eine NIS2-Betroffenheit vorliegt

• welche Maßnahmen fehlen

• wo konkreter Handlungsbedarf besteht

Unverbindliche Ersteinschätzung:

Wir prüfen Ihre aktuelle IT-Struktur im Kontext von NIS2 und KBV und zeigen Ihnen konkret auf, wo Anpassungen erforderlich sind.