Suche

Login

Anzeige für das PTA IN LOVE-Quiz „Phytohustil®“ - der Link führt zum Quiz, bei dem 1 von 3 Rituals®-Gutscheinen im Wert von je 40 € gewonnen werden kann.
Anzeige für das PTA IN LOVE-Quiz „Phytohustil®“ - der Link führt zum Quiz, bei dem 1 von 3 Rituals®-Gutscheinen im Wert von je 40 € gewonnen werden kann.
previous arrow
next arrow

Cybersicherheit-Richtlinie: Auch Apotheken betroffen

Vom 7. Januar 2026 NadineNadine
Cybersicherheit-Richtlinie: Auch Apotheken betroffen Foto: James Thew/stock.adobe.com
Politik

Das Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) ist am 6. Dezember in Kraft getreten. Das Ziel: Die Cybersicherheit erhöhen und kritische sowie wichtige Einrichtungen vor IT-Sicherheitsvorfällen schützen. Betroffen sind auch Apotheken, denn die Richtlinie schließt den Gesundheitssektor ein.

NIS2UmsuCG bezieht sich auch auf den Gesundheitssektor. Apotheken sollten deshalb prüfen, ob sie von den Vorgaben der EU-Richtlinie betroffen sind. Entscheidend ist die Größe der Apotheke und/oder der Jahresumsatz – die Schwellenwerte liegen für eine „wichtige Einrichtung“ bei mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mindestens zehn Millionen Euro – bezogen auf das Gesamtunternehmen also inklusive der Filialen. Apotheken, die die Schwellenwerte nicht erreichen, sollten trotzdem aktiv werden und die Betroffenheitsprüfung nach NIS2 für Apotheken durchführen. 

Betroffenheitsprüfung nach NIS 2

Bei der Betroffenheitsprüfung sind verschiedene Fragen zu beantworten. Los geht es mit: Ist das Unternehmen Betreiber einer kritischen Anlage? Das sind unter Umständen auch kleinere Apotheken, weil sie zum Gesundheitssektor gehören. Es gilt jedoch die Vorgabe für eine „kritische Anlage“, dass mindestens 4.650.000 verschreibungspflichtige Arzneimittelpackungen pro Jahr abgegeben werden müssen. Erreichen Apotheken den Wert, gelten folgende Pflichten: 

  • Kontaktstelle für die betriebene kritische Infrastruktur benennen
  • IT-Störungen oder erhebliche Beeinträchtigungen melden
  • IT-Sicherheit auf dem Stand der Technik umsetzen.

Darüber ist alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Nachweis zu erbringen. 

Erreichen Apotheken den Wert an abgegebenen Rx-Packungen nicht, geht es weiter zur nächsten Frage: Bietet das Unternehmen entgeltlich Waren oder Dienstleistungen an und ist einer der in Anlage 1 des BSIG bestimmten Einrichtungsarten zuzuordnen? Dies ist mit Ja zu beantworten. Die nächste Frage lautet: Beschäftigt das Unternehmen mindestens 250 Mitarbeitende? Bei der Berechnung der Zahl der Angestellten müssen Inhaber:innen alle Mitarbeitenden in ihren Apotheken berücksichtigen, und zwar unabhängig von der Funktion. Entscheidend sind Vollzeitäquivalente, daher werden Teilzeitkräfte anteilig berechnet. Es zählt die Gesamtanzahl der Mitarbeitenden aller unter einem Inhaber/einer Inhaberin oder einer OHG geführten Apotheken. 

Bei weniger als 250 Mitarbeitenden sind der Jahresumsatz und die Jahresbilanzsumme entscheidend. Hier gelten Schwellenwerte von einem Jahresumsatz von mehr als 50 Millionen Euro und eine Jahresbilanzsumme von mehr als 43 Millionen Euro.

Liegen Apotheken unter den Schwellenwerten, gilt es die Frage zu beantworten, ob mindestens 50 Mitarbeitende beschäftigt werden. Auch hier sind wieder alle Mitarbeitenden in allen eigenen Apotheken zu berücksichtigen. Apotheken mit kleinerem Team, die die Schwellenwerte von zehn Millionen Euro Jahresumsatz und Jahresbilanzsumme zehn Millionen Euro unterschreiten, sind nicht von NIS 2 betroffen – Sonderfälle wie beispielsweise Zytostatikaherstellung oder Heimversorgung gibt es nicht.

Apotheken, die einen Jahresumsatz von mehr als 50 Millionen Euro und eine Jahresbilanzsumme von mehr als 43 Millionen Euro haben oder mehr als 50 Mitarbeitende beschäftigen oder im weiteren Verlauf der Betroffenheitsprüfung die Frage nach dem Jahresumsatz von mehr als von zehn Millionen Euro und der Jahresbilanzsumme von mehr als zehn Millionen Euro mit Ja beantworten, sind von NIS 2 betroffen und müssen die entsprechenden Pflichten erfüllen. Das sind die Vorgaben:

  • Registrierung beim BSI nach § 33 BSIG – innerhalb von drei Monaten nach Feststellung der Betroffenheit; Apotheken müssen ein zentrales digitales Unternehmenskonto für Verwaltungs- und Meldeprozesse erstellen (Mein Unternehmenskonto/MUK). Mit diesem registrieren sich Apotheken im nächsten Schritt im BSI-Portal. Achtung, die Portalfreischaltung erfolgt erst ab dem 6. Januar. Für die Registrierung sind folgende Angaben zu machen:
    • Name der Einrichtung und Rechtsform
    • Handelsregisternummer
    • Anschrift
    • Kontaktdaten (E-Mail, Telefonnummer, öffentliche IP-Adressbereiche (Dynamische IP-Adressen – wie bei DSL-Anschlüssen – müssen nicht angegeben werden, es sei denn, sie stammen aus einem fest zugeordneten IP-Adressbereich der Einrichtung. In diesem Fall wäre dieser Bereich anzugeben.))
    • relevanter Sektor oder Branche
    • Auflistung der EU-Mitgliedsstaaten, in denen Dienste nach Anlage 1 und 2 erbracht werden
    • zuständige Aufsichtsbehörde des Bundes und/oder der Länder
  • Cybersicherheitsrisikomanagementmaßnahmen nach § 30 BSIG umsetzen
  • erhebliche Sicherheitsvorfällen gemäß § 32 BSIG melden

Auch wenn Apotheken die IT komplett ausgelagert haben, liegt die Verantwortung beim Inhaber/der Inhaberin. Die Apotheke muss dafür sorgen, dass der Dienstleister die nötigen NIS-2-Vorgaben umsetzt, diese regelmäßig überprüft werden und dass Vorfälle ordnungsgemäß gemeldet werden.


Nadine
Post vom

Nadine

Nadine Tröbitscher ist PTA. Nach Jahren in der Apotheke und einem Abstecher in den Außendienst hat sie Offizin und Rezeptur gegen die Redaktion getauscht und gehört seit 2016 zum Team von APOTHEKE ADHOC. Von dort wechselte Nadine 2019 zur Redaktion von PTA IN LOVE und ist seit 2020 Chefredakteurin – und seit 2023 gemeinsam mit Patrick Hollstein von APOTHEKE ADHOC. Der Apotheke hat sie nie ganz den Rücken gekehrt und steht noch immer im Handverkauf.





Share

Share stories you like to your friends