Wissen · Pflichten
IT-Sicherheitspflichten: Was Unternehmen wirklich haben müssen
Welche IT-Sicherheits- und Datenschutzregeln verpflichtend sind, hängt von Branche und Größe ab. Dieser Überblick ordnet DSGVO, §390 SGB V, NIS2, ISO 27001 und TI/ePA ein, damit Sie wissen, was für Sie gilt, was sinnvoll ist und wo Sie offiziell nachlesen können.
Pflicht oder Kür?
Ich trenne verbindliche Vorgaben klar von freiwilligen Standards.
Mit offiziellen Quellen
Jeder Block verlinkt auf Gesetz/Behörde zum Selbst-Nachlesen.
Keine Rechtsberatung
Ich gebe Orientierung und setze technisch um. Verbindlich ist der Gesetzestext.
Was gilt für wen?
Die wichtigsten Regelwerke im Überblick
Mehrere Vorgaben können gleichzeitig gelten. Die DSGVO gilt praktisch immer, branchenspezifische Regeln kommen hinzu.
Wer personenbezogene Daten verarbeitet, braucht angemessene technische und organisatorische Maßnahmen (Art. 32) und ein Verarbeitungsverzeichnis (Art. 30). Datenpannen sind binnen 72 Stunden zu melden (Art. 33). Gesundheitsdaten sind besonders geschützt (Art. 9). Ab 20 ständig mit automatisierter Verarbeitung betrauten Personen ist ein Datenschutzbeauftragter Pflicht (§38 BDSG). Bußgeld: bis 20 Mio. € oder 4 % des Jahresumsatzes.
Die IT-Sicherheitsrichtlinie der KBV/KZBV verpflichtet Praxen zu gestaffelten Maßnahmen je nach Praxisgröße (Anlagen 1-3), plus Vorgaben für medizinische Großgeräte (Anlage 4) und TI-Komponenten (Anlage 5). Verantwortlich ist die Praxisinhaberin/der Praxisinhaber. Bei Lücken drohen Honorarkürzung und DSGVO-Bußgeld.
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Betroffen sind i. d. R. Unternehmen ab 50 Beschäftigten oder 10 Mio. € Umsatz in einem von 18 Sektoren (u. a. Energie, Produktion, Logistik, Chemie, Abfall, IT-Dienste). Die typische kleine Arztpraxis fällt i. d. R. nicht darunter. Pflichten: BSI-Registrierung, Meldepflichten (24 h / 72 h / 1 Monat), Risikomanagement in zehn Bereichen, Geschäftsleitungs-Haftung. Bußgeld: bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Für die Umsetzung: NIS2-Beratung.
Der internationale, zertifizierbare Standard für ein Informationssicherheits-Managementsystem (ISMS). Keine gesetzliche Pflicht, wird aber zunehmend von Kunden, Auftraggebern und in Lieferketten verlangt.
Die Anbindung an die Telematikinfrastruktur (TI) ist für die meisten Praxen verpflichtend. Die elektronische Patientenakte („ePA für alle“) ist im Praxisalltag seit 1. Oktober 2025 verpflichtend. Beides muss sicher angebunden und betrieben werden (siehe §390, Anlage 5).
Pflicht oder Kür?
Verbindliche Vorgaben gelten je nach Branche und Größe. Freiwillige Standards sind oft sinnvoll, aber nicht gesetzlich erzwungen. So lassen sich beide Seiten auf einen Blick trennen.
Was Sie ohnehin haben sollten
Der gemeinsame Nenner: solide IT-Basis-Hygiene
Egal welche Vorgabe greift, diese Maßnahmen tauchen überall auf. Wer sie sauber umsetzt, erfüllt einen Großteil von DSGVO, §390 und NIS2 zugleich. Das BSI bündelt sie in seiner Basis-Absicherung, die sich besonders für KMU eignet.
Backup mit getestetem Restore
Sicherung ist nicht gleich Wiederherstellung. Der Restore muss erprobt sein.
Patch- & Update-Management
Bekannte Lücken zeitnah schließen, automatisiert wo möglich.
Endpoint-Schutz & Firewall
Aktueller Virenschutz, Firewall und, wo sinnvoll, Netzsegmentierung.
MFA & Zugriffskonzept
Mehr-Faktor-Authentifizierung und Berechtigungen nach dem Prinzip der minimalen Rechte (nur so viel Zugriff wie nötig).
Mitarbeiter-Awareness
Regelmäßige Schulung. Der Mensch ist das häufigste Einfallstor.
Notfallplan & Dokumentation
Wer macht was im Ernstfall? Netzplan und Notfallkarte griffbereit.
So finden Sie heraus, was für Sie gilt
Einordnung
Branche, Größe, Datenarten. Daraus ergibt sich, welche Regelwerke greifen.
Kurz-Check (Ampel-Report)
Ich gleiche Ihren Ist-Stand mit den relevanten Vorgaben ab.
Priorisierter Plan
Pflicht zuerst, dann sinnvolle Ergänzungen, transparent und planbar.
Umsetzung & Doku
Ich setze um und dokumentiere prüfsicher, aus einer Hand.
FAQ
Häufige Fragen
Gilt NIS2 für mein Unternehmen?
Meist ab 50 Beschäftigten oder 10 Mio. € Umsatz und Tätigkeit in einem der 18 Sektoren. Kleinere Betriebe sind oft nicht direkt betroffen, aber häufig als Zulieferer mittelbar gefordert. Ich gebe Orientierung. Die rechtliche Einordnung trifft Ihre Rechtsberatung.
Reicht es, „die DSGVO zu erfüllen“?
Die DSGVO ist die Basis und gilt fast immer. Branchenregeln wie §390 (Praxen) oder NIS2 (größere Betriebe) kommen zusätzlich hinzu.
Brauche ich ISO 27001?
Gesetzlich nein. Sinnvoll oft ja, wenn Kunden, Auftraggeber oder Lieferketten einen Nachweis verlangen. Ich baue das ISMS anschlussfähig auf.
Was ist der schnellste erste Schritt?
Ein kostenloses Erstgespräch mit kurzer Ersteinschätzung. Es zeigt unverbindlich, wo Sie stehen und was Pflicht ist. Der vollständige Check mit Ampel-Report folgt dann zum Festpreis.
Zum Nachlesen
Offizielle Quellen & weiterführende Links
Ich gebe die offiziellen Anforderungen verständlich wieder. Verbindlich ist der jeweilige Gesetzes- bzw. Normtext. Das ersetzt keine Rechtsberatung. Externe Links öffnen in neuem Tab.
Stand der Recherche: Juli 2026. NIS2-Umsetzungsgesetz seit dem 6. Dezember 2025 in Kraft.
Klären wir, was für Sie Pflicht ist.
Unverbindliches Erstgespräch oder kurzer Ampel-Check. Per Telefon oder E-Mail an mail@jabi-it.de.
