Praxisabläufe optimieren: 5 Schritte für effiziente Ordinationen
Die meisten Leitungen von Primär-Versorgungszentren, mit denen wir sprechen, haben von NIS 2 gehört – aber nur wenige wissen, ob sie tatsächlich betroffen sind. Und noch weniger haben konkret gehandelt. Das ist verständlich: Die Richtlinie ist komplex, die Kommunikation darüber oft abstrakt, und der Alltag in einem PVZ lässt wenig Raum für Themen, die nicht unmittelbar brennen.
Dieser Beitrag gibt Ihnen eine direkte Einschätzung, was NIS 2 für Ihr Zentrum bedeutet, wo die wirklich kritischen Punkte liegen und warum Geschäftsfortführung das Herzstück der ganzen Übung ist.
Was ist NIS 2 – und bin ich als PVZ betroffen?
NIS 2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit, in Österreich seit 2026 durch das NISG 2026 in nationales Recht überführt. Das Österreichische Bundesamt für Cybersicherheit ist die zuständige nationale Behörde für die Umsetzung und Überwachung. Der Gesundheitssektor gehört zu den ausdrücklich erfassten Bereichen – und das aus gutem Grund: Nirgendwo sonst sind die Folgen eines Cyberangriffs so unmittelbar spürbar wie dort, wo laufend Patienten versorgt werden müssen.
Ob ein PVZ konkret unter die Richtlinie fällt, hängt von der Größe ab. Als Faustregel gilt: Ab 50 Mitarbeiterinnen und Mitarbeitern oder einem Jahresumsatz über 10 Millionen Euro gilt eine Einrichtung als „wichtige Einrichtung“. Größere PVZ oder solche, die Teil einer entsprechend großen Trägerorganisation sind, können auch als wesentliche Einrichtung eingestuft werden. Ein Punkt, der häufig übersehen wird: Auch wer unterhalb dieser Schwellen liegt, kann über die Lieferkette in die Pflicht genommen werden – nämlich dann, wenn man Dienstleistungen für eine betroffene Einrichtung erbringt.
Haben Sie einen Plan B – oder nur ein Backup?
Montagmorgen, volles Wartezimmer. Und plötzlich reagiert kein System mehr. Die elektronische Patientenakte ist nicht erreichbar, die Terminverwaltung steht, das Praxispersonal schaut sich ratlos an. Was jetzt? In diesem Moment entscheidet sich, ob Ihr Zentrum eine Stunde verliert oder einen Tag – und ob die Patientenversorgung gefährdet wird oder nicht.
Genau das ist der Kern von NIS 2: nicht Formulare ausfüllen, sondern Handlungsfähigkeit sicherstellen. Ein Backup hilft nichts, wenn niemand weiß, wie es eingespielt wird und wie lange das dauert. Ein Notfallplan hilft nichts, wenn er nur auf dem Server liegt, der gerade nicht erreichbar ist. Was zählt, sind Abläufe, die funktionieren – auch ohne IT. Auch ohne den IT-Leiter, der gerade im Urlaub ist. Auch unter Druck.
Was muss ich konkret angehen?
NIS 2 schreibt keinen starren Katalog technischer Maßnahmen vor. Verlangt wird ein risikobasierter Ansatz: Einrichtungen müssen selbst analysieren, wo ihre größten Schwachstellen liegen, und daraus Prioritäten ableiten. Was konkret darunter fällt, zeigen die folgenden sechs Punkte.
1. Risikoanalyse und Sicherheitskonzept
Der Ausgangspunkt ist eine systematische Risikoanalyse: Welche Systeme sind geschäftskritisch? Welche Daten besonders schutzwürdig? Was passiert bei einem Ausfall? Diese Fragen müssen nicht nur gestellt, sondern schriftlich beantwortet werden. Das Ergebnis ist ein Sicherheitskonzept – kein hundert Seiten starkes Dokument, aber ein nachvollziehbares, das regelmäßig aktualisiert wird.
In der Praxis stellt sich dabei oft heraus, dass Abhängigkeiten bestehen, die vorher niemandem bewusst waren: Software, die seit Jahren nicht mehr aktualisiert wurde, Geräte, die noch über veraltete Protokolle kommunizieren, oder Prozesse, die vollständig auf ein einziges System angewiesen sind. Die Risikoanalyse macht das sichtbar – das allein ist schon wertvoll.
2. Sicherheit bei Beschaffung und Betrieb
Viele Sicherheitsprobleme entstehen nicht durch Angriffe von außen, sondern durch Entscheidungen, die intern getroffen wurden: eine Software, die günstig war, aber nie auf Sicherheit geprüft wurde; ein Cloud-Dienst, der bequem ist, dessen Datenschutzbedingungen aber niemand gelesen hat; ein Medizingerät, das per Netzwerk erreichbar ist, obwohl das nie bewusst so geplant wurde. NIS 2 verlangt, dass Sicherheitsanforderungen künftig ein Auswahlkriterium sind – vor der Entscheidung, nicht danach.
Genauso wichtig ist der laufende Betrieb. Systeme, die keine Updates mehr bekommen, sind offene Einladungen für Angreifer. Das klingt technisch, ist aber eine Managemententscheidung: Wer entscheidet, wann ein System abgelöst wird? Und wer trägt die Verantwortung, wenn es nicht passiert?
3. Zugangs- und Berechtigungsmanagement
Wer in Ihrem Zentrum hat Zugriff auf welche Daten – und warum? In vielen Einrichtungen haben deutlich mehr Personen Zugang zu sensiblen Patientendaten, als es für ihre tägliche Arbeit notwendig wäre. Das ist ein Datenschutzproblem und ein Sicherheitsrisiko zugleich. NIS 2 fordert ein klares, dokumentiertes Berechtigungskonzept, das regelmäßig überprüft wird.
Zur konkreten Umsetzung gehören starke Passwörter und Mehrfaktor-Authentifizierung (MFA) für alle kritischen Systeme sowie geregelte Prozesse für Ein- und Austritte. Letzteres klingt selbstverständlich – aber in der Praxis haben ehemalige Mitarbeiterinnen und Mitarbeiter erschreckend oft noch aktive Zugänge, lange nachdem sie die Einrichtung verlassen haben.
4. Backups, Notfallplanung und Geschäftsfortführung
Das ist der Punkt, den wir für den wichtigsten halten – und der in der Praxis am häufigsten unterschätzt wird. Backups sind vorhanden, ja. Aber wie lange dauert die Wiederherstellung? Wer führt sie durch? Was tut das Team in der Zwischenzeit? Und was passiert, wenn der Ausfall nicht die eigene IT betrifft, sondern einen Cloud-Anbieter oder einen externen Dienstleister?
Ein Business-Continuity-Plan (BCP) gibt auf all diese Fragen konkrete Antworten: Er legt fest, welche Prozesse bei einem IT-Ausfall manuell weiterlaufen können, wer welche Entscheidungen trifft, und wie lange ein Ausfall maximal dauern darf, bevor die Patientenversorgung gefährdet ist. Dieser Plan muss getestet werden – mindestens einmal jährlich, und zwar so, dass das Ergebnis tatsächlich bewertet wird, nicht nur abgehakt.
5. Schulungen und Awareness
Der Großteil erfolgreicher Cyberangriffe beginnt nicht mit einer ausgeklügelten technischen Attacke, sondern mit einer Phishing-Mail, die jemand in einem unaufmerksamen Moment öffnet. Technische Schutzmaßnahmen können das Risiko reduzieren, aber nicht eliminieren. NIS 2 schreibt deshalb regelmäßige Schulungen vor – für alle Mitarbeiterinnen und Mitarbeiter, ausdrücklich auch für die Leitungsebene.
Wirksame Awareness-Programme gehen über eine jährliche Pflichtschulung hinaus. Simulierte Phishing-Angriffe, kurze monatliche Hinweise zu aktuellen Betrugsmaschen, klare Ansprechpartner für Verdächtiges – das sind Maßnahmen, die tatsächlich etwas verändern. Der Aufwand ist überschaubar; der Unterschied im Ernstfall erheblich.
6. Meldepflichten bei Sicherheitsvorfällen
Schwerwiegende Sicherheitsvorfälle müssen in Österreich innerhalb von 24 Stunden an das Nationale Computer-Notfallteam (=CERT.at – Computer Emergency Response Team Austria) gemeldet werden – ein erster Kurzbericht, der die Art des Vorfalls beschreibt. Innerhalb von 72 Stunden folgt ein detaillierterer Bericht, spätestens nach einem Monat eine abschließende Bewertung. Diese Fristen laufen ab dem Moment, in dem der Vorfall erkannt wird – und das ist der entscheidende Punkt.
Wer keinen Überblick über seine Systeme hat, erkennt einen Angriff häufig erst Wochen später. In diesem Zeitraum können Daten abgezogen, Systeme manipuliert und Spuren verwischt worden sein. Monitoring – also die laufende Überwachung kritischer Systeme auf Auffälligkeiten – ist deshalb keine Luxusmaßnahme für Großkonzerne, sondern eine praktische Notwendigkeit für jede Einrichtung, die unter NIS 2 fällt.
Was passiert, wenn ich die Anforderungen ignoriere?
Die Sanktionen unter NISG 2026 sind deutlich schärfer als unter der Vorgängerrichtlinie und sollten nicht unterschätzt werden:
- Für wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des globalen Jahresumsatzes (der höhere Wert gilt).
- Für wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes.
Was viele überrascht: Die Geschäftsführung haftet persönlich. Das ist im NISG 2026 ausdrücklich so vorgesehen und bedeutet, dass NIS 2-Compliance keine Aufgabe ist, die man an die IT-Abteilung delegieren und dann vergessen kann. Sie ist eine Führungsaufgabe.
Wo fängt man an?
Der häufigste Fehler: Einrichtungen warten, bis sie einen vollständigen Überblick haben, bevor sie anfangen. Den wird es so nicht geben. Sinnvoller ist ein strukturierter Einstieg mit einer Gap-Analyse – einer ehrlichen Bestandsaufnahme, was bereits vorhanden ist und wo die größten Lücken liegen. Viele PVZ haben bereits Datenschutzkonzepte nach DSGVO, die eine gute Grundlage bilden. NIS 2 geht in einigen Bereichen weiter, knüpft aber an dieselben Prinzipien an.
Bei der Umsetzung lohnt es sich, einen IT-Partner hinzuzuziehen, der den Gesundheitsbereich kennt. Medizintechnik, Praxissoftware und ELGA stellen spezifische Anforderungen, die eine Standard-IT-Beratung erfahrungsgemäß nicht abdeckt. Die WKO und die NIS-Behörde stellen übrigens kostenlose Orientierungshilfen zur Verfügung – ein sinnvoller erster Ankerpunkt für den Einstieg.
Fazit
NIS 2 ist unbequem – aber es ist keine Überraschung. Die Richtlinie reagiert auf eine Bedrohungslage, die real ist und den Gesundheitssektor in den letzten Jahren besonders hart getroffen hat. Wer jetzt in Strukturen investiert, die den Betrieb auch bei IT-Ausfällen aufrechterhalten, schützt nicht nur sich selbst vor Sanktionen – er schützt die Menschen, die auf seine Versorgung angewiesen sind.
Und das, letztlich, ist der eigentliche Maßstab.
Über den Autor
Sie möchten wissen, ob Ihr PVZ unter NIS 2 fällt und wo der größte Handlungsbedarf liegt?
Wir machen das konkret – mit einer strukturierten Gap-Analyse, die Sie in wenigen Wochen in eine vertretbare Ausgangsposition bringt. Sprechen Sie uns an.
AKTUELLE ARTIKEL
AKTUELLE ARTIKEL
Sie suchen einen verlässlichen IT-Partner für Ihre Arztpraxis?
Wir sind it4med, ein auf Ärzte spezialisierter IT-Dienstleister. Unsere Experten unterstützen Sie bei der Planung, Umsetzung und Wartung Ihrer IT-Infrastruktur – maßgeschneidert auf die Anforderungen Ihrer Praxis. Haben Sie Fragen oder benötigen Sie eine Beratung? Kontaktieren Sie uns – wir stehen Ihnen gerne zur Verfügung!
