Persönliche Haftung für IT-Sicherheit: Warum das „Weiter-so“ jetzt zur Existenzfrage wird veröffentlicht

Die Radiologie ist das digitalste Fach der Medizin. Doch genau diese Abhängigkeit wird nun zum größten rechtlichen Risiko für Inhaber und Geschäftsführer. Seit dem 6. Dezember 2025 gilt in Deutschland eine verschärfte Rechtslage: IT-Sicherheit ist undelegierbare Chefsache. Das Gesetz (§ 38 BSIG / NIS2) spricht eine harte Sprache: Wer die neuen Sicherheitsstandards ignoriert, handelt grob fahrlässig und haftet bei Schäden persönlich mit seinem Privatvermögen. Es reicht nicht mehr, „einen guten IT-Dienstleister“ zu haben. Sie müssen nachweisen, dass Ihre Praxis nach einem validierten Sicherheitsstandard arbeitet. Folgend stellen wir Ihnen einen Praxis-Leitfaden zur Verfügung.

Praxis-Leitfaden zur NIS2-Richtlinie (Network and Information Security Directive 2 - ein EU-Gesetz, das seit Anfang 2023 in Kraft ist und bis zum 6. Dezember 2025 in deutsches Recht umgesetzt wurde), sowie zu KBV-Vorgaben und IT-Sicherheit. (Von Jean-Marc Lempp, IT-Leiter Curagita)

Um rechtssicher zu bleiben, müssen wir zwei Regelwerke unterscheiden, die wie Zahnräder ineinandergreifen:

1. Die „gesetzliche Glocke“ (NIS2): Diese EU-Richtlinie zwingt die Geschäftsführung in die persönliche Verantwortung. Sie können sich bei einem Hack nicht mehr herausreden.
2. Der „Praxis-Standard“ (KBV-IT-Sicherheitsrichtlinie, Anlage 5): Dies ist die konkrete Bauanleitung für das Gesundheitswesen. Sie schreibt technisch exakt vor, wie z.B. MRTs, Server und Zugänge geschützt sein müssen.

Trifft nur eines der folgenden Kriterien auf Ihre Einrichtung zu, besteht sofortiger Handlungsbedarf:

• Kriterium 1: Personal. Beschäftigen Sie 50 oder mehr Mitarbeiter (gerechnet in Vollzeitstellen)?
• So zählen Sie richtig: Es zählen die „Vollzeitäquivalente“. Zwei Halbtagskräfte ergeben eine Vollzeitstelle.
• Kriterium 2: Umsatz. Erwirtschaftet Ihr Verbund mehr als 10 Mio. € Jahresumsatz?
• Achtung: Hier zählt die Summe aller Erlöse (KV, Privat, Selektivverträge, Kooperationen).
• Konsequenz bei 1 oder 2: Sie sind NIS2-betroffen und müssen sich bis zum 6. März 2026 beim BSI registrieren.

💡 Wichtiger Praxis-Tipp zur Registrierung: Die Meldung erfolgt über das BSI-Portal (MIP) via „Mein Unternehmenskonto“ (MUK). Achtung: Nutzen Sie dafür zwingend das ELSTER-Organisationszertifikat Ihrer Praxis (das auf die Steuernummer der GmbH/PartG läuft). Nutzen Sie nicht das private Zertifikat des Arztes! Nur so ist der Zugang rechtssicher der Firma zugeordnet.
 

• Kriterium 3: Geräte. Betreiben Sie ein MRT oder CT? Konsequenz: Unabhängig von Größe und Umsatz gelten Sie als „Großpraxis“. Die maximalen Sicherheitsauflagen der KBV sind für Sie bindend.

IT-Sicherheit ist kein einzelnes Produkt, sondern ein Prozess. Folgende Punkte müssen technisch erfüllt sein. Nutzen Sie diese Erklärungen, um Ihren IT-Dienstleister gezielt zu prüfen.

1 Die digitale Festung (Firewall & Fernwartung)

Viele Praxen nutzen einfache Router. Das ist heute unzulässig.

• Was ist eine „Next-Generation Firewall“? Stellen Sie sich vor, Sie kontrollieren Post. Ein einfacher Router schaut nur auf den Umschlag („Kommt aus Deutschland, darf rein“). Eine Next-Gen-Firewall öffnet den Brief und liest den Inhalt („Der Absender wirkt seriös, aber im Brief steckt ein Erpresserschreiben -> Blockieren!“). Sie brauchen Systeme, die den Inhalt des Datenverkehrs prüfen (Deep Packet Inspection).
• Das Problem „Fernwartung“ (Siemens/Philips/GE): Hersteller müssen regelmäßig auf Ihre Großgeräte zugreifen. Früher wurden dafür oft unsichere „Hintertüren“ geöffnet. Die neuen Standards fordern hochverschlüsselte Tunnel (VPN) mit aktuellen Sicherheitszertifikaten. Veraltete Einwahl-Methoden sind ein massives Risiko.
• Unsere Lösung:Mit CuraSEC liefern wir die Hochsicherheits-Schleuse, die genau diese verschlüsselten Wartungstunnel für die Hersteller bereitstellt und gleichzeitig Ihr internes Netz in Zonen unterteilt (VLAN), damit das MRT vom Internet getrennt bleibt.

2 Echter Schutz statt nur „Virenscanner“ – MDR & EDR

Viele Ärzte fragen: „Warum reicht mein Virenscanner nicht mehr?“ Hier liegt das größte Missverständnis. Das Gesetz fordert eine aktive Überwachung und Reaktion auf Sicherheitsvorfälle.

• Das Problem: Moderne EDR Software(Endpoint Detection & Response Software) erkennt zwar verdächtiges Verhalten, generiert aber tausende Meldungen. Wenn Sie diese Software nur installieren, aber niemanden haben, der die Meldungen nachts und am Wochenende prüft, verletzen Sie Ihre Sorgfaltspflicht. Eine Praxis kann diese 24/7-Analyse intern nicht leisten.
• Unsere Lösung (MDR – Managed Detection & Response): Wir liefern nicht nur die Software, sondern den Wachdienst. Ein Team aus Sicherheits-Experten (Sophos SOC) überwacht Ihre Systeme rund um die Uhr. Wir übernehmen die gesetzliche Pflicht zur "Reaktion", bewerten Alarme und stoppen Angreifer, während Sie schlafen. Das ist der einzige Weg zur echten Rechtssicherheit!

3 Lückenloses Patch-Management

Veraltete Software ist das Einfallstor Nr. 1.

• Die Pflicht: Sicherheitslücken in Windows oder Anwendungen müssen zeitnah und nachweislich geschlossen werden. Manuelle Updates („Ich klicke drauf, wenn ich Zeit habe“) reichen nicht mehr aus.
• Unsere Lösung: CuraAID sorgt dafür, dass Ihre Server und Clients automatisiert und überwacht auf dem aktuellen Sicherheitsstand bleiben.

4 Das Überlebens-Backup: Warum Sie beides brauchen (WORM & Offsite)

Viele Praxen fragen: „Müssen wirklich auch die riesigen Bilddaten (15-50 TB) extern gesichert werden?“ Die Antwort ist ein klares Ja. Das Strahlenschutzgesetz verpflichtet Sie zur Aufbewahrung. Verbrennen diese Daten, verlieren Sie Ihre Betriebserlaubnis.

• Szenario A: Der Hacker (Verschlüsselung).
• Die Lösung: CuraWORM (Inhouse). Wir stellen einen speziellen Speicher in Ihre Praxis. Daten, die dort landen, sind „unlöschbar“ (write once, read many). Selbst ein Hacker mit Admin-Rechten kann diese Sicherung nicht zerstören. Der
• Vorteil: Im Ernstfall stellen wir Ihre Terabytes an Daten lokal in Stunden wieder her. Das ist Ihr Turbo für den Neustart.
• Szenario B: Die Katastrophe (Feuer/Wasser).
• Der Standard (Best Practice): Um die gesetzlich geforderte Verfügbarkeit auch bei einem Brand sicherzustellen, gilt die 3-2-1-Regel (eine Kopie außerhalb des Gebäudes/Offsite) als anerkannter Stand der Technik. Wer darunter bleibt, riskiert im Schadensfall den Versicherungsschutz.
• Unsere Antwort (In Umsetzung): Da diese Anforderung gerade bei großen Bilddatenmengen am freien Markt oft extrem teuer ist, arbeiten wir aktuell an einer kosteneffizienten Branchenlösung. Wir finalisieren derzeit ein Modul, das diese BSI-Empfehlungen erfüllt, ohne Ihr Budget zu sprengen. Wir kommen hierzu zeitnah auf Sie zu.

5 Identität & Zutritt (Der Faktor Mensch)

• Die Pflicht: Schluss mit Sammel-Logins wie „Anmeldung“! Jeder Mitarbeiter benötigt einen persönlichen Benutzer-Account. Der Serverraum muss verschlossen sein, der Zutritt muss protokolliert werden (Zutrittsliste).
• Die Umsetzung: Wir unterstützen Sie bei der Einrichtung der Rechtevergabe und liefern die Vorlagen für die Zutrittsdokumentation.

6 Dokumentation & Organisation

Hier scheitern die meisten Prüfungen. Technik allein reicht nicht – es muss aufgeschrieben sein.

• Die Pflicht: Notfallhandbuch, Inventarlisten, Mitarbeiter-Schulungen, Verhaltensrichtlinien.
• Die neue Curagita-Dienstleistung: Wir starten in Kürze mit unserem spezialisierten Compliance-Modul (CurAware). Wir liefern Ihnen die fertigen Dokumentenvorlagen und führen Sie durch den Bürokratie-Dschungel der BSI-Meldung.

Viele lokale IT-Dienstleister müssen jetzt hektisch nachrüsten. Wir nicht.

Wir haben diese Probleme schon gelöst, bevor sie Gesetz wurden. Produkte wie CuraWATCH, CuraAID oder CuraSEC haben wir nicht erst für NIS2 erfunden. Wir haben sie schon vor langer Zeit entwickelt, weil wir die spezifischen Sicherheitslücken in radiologischen Großpraxen täglich gesehen haben. Diese Module sind keine „Beta-Versionen“, sondern bewährte Standards, die bereits in zahlreichen Praxen erfolgreich laufen.

Die neue Gesetzeslage ist für uns keine Überraschung, sondern die rechtliche Bestätigung unserer Strategie. Wenn Sie sich heute für uns entscheiden, sind Sie keine Versuchskaninchen. Sie nutzen ausgereifte Systeme, die von Radiologen für Radiologen optimiert wurden.

Handeln Sie jetzt. Die Frist für die BSI-Registrierung endet am 6. März 2026.
Sprechen Sie uns an – wir bringen Ihre IT-Sicherheit auf den geforderten „Stand der Technik“.

Mehr lesen

BSI zu NIS2

KBV-Richtlinie