Wissen · Pflichten

IT-Sicherheitspflichten: Was Unternehmen wirklich haben müssen

Welche IT-Sicherheits- und Datenschutzregeln verpflichtend sind, hängt von Branche und Größe ab. Dieser Überblick ordnet DSGVO, §390 SGB V, NIS2, ISO 27001 und TI/ePA ein, damit Sie wissen, was für Sie gilt, was sinnvoll ist und wo Sie offiziell nachlesen können.

Pflicht oder Kür?

Ich trenne verbindliche Vorgaben klar von freiwilligen Standards.

Mit offiziellen Quellen

Jeder Block verlinkt auf Gesetz/Behörde zum Selbst-Nachlesen.

Keine Rechtsberatung

Ich gebe Orientierung und setze technisch um. Verbindlich ist der Gesetzestext.

Was gilt für wen?

Die wichtigsten Regelwerke im Überblick

Mehrere Vorgaben können gleichzeitig gelten. Die DSGVO gilt praktisch immer, branchenspezifische Regeln kommen hinzu.

DSGVO: für (fast) alle

Wer personenbezogene Daten verarbeitet, braucht angemessene technische und organisatorische Maßnahmen (Art. 32) und ein Verarbeitungsverzeichnis (Art. 30). Datenpannen sind binnen 72 Stunden zu melden (Art. 33). Gesundheitsdaten sind besonders geschützt (Art. 9). Ab 20 ständig mit automatisierter Verarbeitung betrauten Personen ist ein Datenschutzbeauftragter Pflicht (§38 BDSG). Bußgeld: bis 20 Mio. € oder 4 % des Jahresumsatzes.

§390 SGB V: Arzt- & Zahnarztpraxen

Die IT-Sicherheitsrichtlinie der KBV/KZBV verpflichtet Praxen zu gestaffelten Maßnahmen je nach Praxisgröße (Anlagen 1-3), plus Vorgaben für medizinische Großgeräte (Anlage 4) und TI-Komponenten (Anlage 5). Verantwortlich ist die Praxisinhaberin/der Praxisinhaber. Bei Lücken drohen Honorarkürzung und DSGVO-Bußgeld.

NIS2: größere Betriebe in 18 Sektoren

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Betroffen sind i. d. R. Unternehmen ab 50 Beschäftigten oder 10 Mio. € Umsatz in einem von 18 Sektoren (u. a. Energie, Produktion, Logistik, Chemie, Abfall, IT-Dienste). Die typische kleine Arztpraxis fällt i. d. R. nicht darunter. Pflichten: BSI-Registrierung, Meldepflichten (24 h / 72 h / 1 Monat), Risikomanagement in zehn Bereichen, Geschäftsleitungs-Haftung. Bußgeld: bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Für die Umsetzung: NIS2-Beratung.

ISO 27001: freiwillig, aber oft gefordert

Der internationale, zertifizierbare Standard für ein Informationssicherheits-Managementsystem (ISMS). Keine gesetzliche Pflicht, wird aber zunehmend von Kunden, Auftraggebern und in Lieferketten verlangt.

TI & ePA: Praxen und Heilberufe

Die Anbindung an die Telematikinfrastruktur (TI) ist für die meisten Praxen verpflichtend. Die elektronische Patientenakte („ePA für alle“) ist im Praxisalltag seit 1. Oktober 2025 verpflichtend. Beides muss sicher angebunden und betrieben werden (siehe §390, Anlage 5).

Pflicht oder Kür?

Verbindliche Vorgaben gelten je nach Branche und Größe. Freiwillige Standards sind oft sinnvoll, aber nicht gesetzlich erzwungen. So lassen sich beide Seiten auf einen Blick trennen.

VerpflichtendDSGVO (Art. 32)§390 SGB V (Praxen)NIS2 (größere Betriebe)TI-AnbindungFreiwillig, oft gefordertISO 27001 (ISMS)Kunden-AuditsLieferketten-NachweisBranchenstandardsvs

Was Sie ohnehin haben sollten

Der gemeinsame Nenner: solide IT-Basis-Hygiene

Egal welche Vorgabe greift, diese Maßnahmen tauchen überall auf. Wer sie sauber umsetzt, erfüllt einen Großteil von DSGVO, §390 und NIS2 zugleich. Das BSI bündelt sie in seiner Basis-Absicherung, die sich besonders für KMU eignet.

Backup mit getestetem Restore

Sicherung ist nicht gleich Wiederherstellung. Der Restore muss erprobt sein.

Patch- & Update-Management

Bekannte Lücken zeitnah schließen, automatisiert wo möglich.

Endpoint-Schutz & Firewall

Aktueller Virenschutz, Firewall und, wo sinnvoll, Netzsegmentierung.

MFA & Zugriffskonzept

Mehr-Faktor-Authentifizierung und Berechtigungen nach dem Prinzip der minimalen Rechte (nur so viel Zugriff wie nötig).

Mitarbeiter-Awareness

Regelmäßige Schulung. Der Mensch ist das häufigste Einfallstor.

Notfallplan & Dokumentation

Wer macht was im Ernstfall? Netzplan und Notfallkarte griffbereit.

So finden Sie heraus, was für Sie gilt

Einordnung

Branche, Größe, Datenarten. Daraus ergibt sich, welche Regelwerke greifen.

Kurz-Check (Ampel-Report)

Ich gleiche Ihren Ist-Stand mit den relevanten Vorgaben ab.

Priorisierter Plan

Pflicht zuerst, dann sinnvolle Ergänzungen, transparent und planbar.

Umsetzung & Doku

Ich setze um und dokumentiere prüfsicher, aus einer Hand.

FAQ

Häufige Fragen

Gilt NIS2 für mein Unternehmen?

Meist ab 50 Beschäftigten oder 10 Mio. € Umsatz und Tätigkeit in einem der 18 Sektoren. Kleinere Betriebe sind oft nicht direkt betroffen, aber häufig als Zulieferer mittelbar gefordert. Ich gebe Orientierung. Die rechtliche Einordnung trifft Ihre Rechtsberatung.

Reicht es, „die DSGVO zu erfüllen“?

Die DSGVO ist die Basis und gilt fast immer. Branchenregeln wie §390 (Praxen) oder NIS2 (größere Betriebe) kommen zusätzlich hinzu.

Brauche ich ISO 27001?

Gesetzlich nein. Sinnvoll oft ja, wenn Kunden, Auftraggeber oder Lieferketten einen Nachweis verlangen. Ich baue das ISMS anschlussfähig auf.

Was ist der schnellste erste Schritt?

Ein kostenloses Erstgespräch mit kurzer Ersteinschätzung. Es zeigt unverbindlich, wo Sie stehen und was Pflicht ist. Der vollständige Check mit Ampel-Report folgt dann zum Festpreis.

Klären wir, was für Sie Pflicht ist.

Unverbindliches Erstgespräch oder kurzer Ampel-Check. Per Telefon oder E-Mail an mail@jabi-it.de.