Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

MySecur® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Cyberschutz wird Pflicht, Haftung wird Risiko, Unterstützung bleibt unklar

Wie Apotheken in das Visier der NIS-2-Regulierung geraten, warum Versicherungen zur Absicherung dringend nötig sind und was die Abda politisch anmahnt

Apotheken-News von heute

Mit der verspäteten Umsetzung der NIS-2-Richtlinie wird aus einer europäischen IT-Vorgabe ein nationales Problem mit direkten Folgen für große Apothekenbetriebe, denn sie zählen künftig zu den „wichtigen Einrichtungen“ mit gesetzlicher Verpflichtung zur Umsetzung eines vollumfänglichen Informationssicherheitsmanagements, wozu nicht nur technische Vorkehrungen und strukturierte Meldewege gehören, sondern auch organisatorische Maßnahmen, Risikobewertungen und Schulungskonzepte, wodurch sich der ohnehin hohe wirtschaftliche Druck auf Apotheken nochmals verschärft, zumal diese zusätzlich in die Pflicht genommen werden, sich gegen die wachsende Zahl von Cyberangriffen, Datendiebstählen und Systemausfällen abzusichern, was die ABDA in einem Schreiben an das Innenministerium zur Forderung nach gezielter Unterstützung veranlasst, denn ohne steuerliche Entlastungen oder Investitionszuschüsse droht die neue Regulierungswelle zu einer Bedrohung für die wirtschaftliche Handlungsfähigkeit, während parallel die rechtliche Verantwortlichkeit steigt, weshalb nun auch der Versicherungsschutz zur Systemfrage wird – von Cyberversicherungen für externe Attacken bis hin zu Vertrauensschadenversicherungen für interne Risiken –, sodass Betriebsleiter spätestens jetzt handeln sollten, um ihren Apothekenstandort nicht nur gesetzeskonform, sondern auch zukunftssicher aufzustellen.

Was bislang nach Hightech und Großindustrie klang, trifft nun auch Apotheken im Kern ihrer Existenz: Cybersicherheit wird kein abstrakter Begriff mehr, sondern konkrete Verpflichtung – inklusive Meldepflichten, Risikoanalysen und organisatorischen Umstellungen. Auslöser ist die Umsetzung der europäischen NIS-2-Richtlinie, mit der die EU das digitale Rückgrat kritischer und „wichtiger“ Infrastrukturen stärken will. Apotheken rücken dadurch in eine neue Risikoklasse. Wer mehr als 50 Mitarbeitende beschäftigt oder in Umsatz und Bilanzsumme jeweils über 10 Millionen Euro liegt, gilt künftig als systemrelevant im Sinne der IT-Sicherheitsarchitektur Europas. Für diese Betriebe bedeutet das einen gravierenden Wechsel: vom Versorger zum sicherheitsverpflichteten Akteur mit IT-Managementpflicht. In einem ohnehin fragilen ökonomischen Umfeld wird diese Neuzuordnung zum strategischen und wirtschaftlichen Drahtseilakt.

Dass Deutschland mit der Umsetzung hinterherhinkt, hat inzwischen Folgen auf europäischer Ebene: Die Frist zur Implementierung – der 18. Oktober 2024 – wurde versäumt, das Vertragsverletzungsverfahren durch Brüssel läuft. Erst Ende Juni gelang es der neuen Bundesregierung, einen aktualisierten Referentenentwurf auf den Weg zu bringen. Das geplante Gesetz „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ soll nun die Lücke schließen – allerdings unter enormem Zeitdruck. Laut Bundesinnenministerium ändert sich für die bisher bekannten KRITIS-Bereiche wenig. Doch rund 25.000 weitere Einrichtungen, darunter auch große Apothekenbetriebe, würden mit der Gesetzesverabschiedung zum ersten Mal mit umfassenden Cybersicherheitspflichten belegt. Diese betreffen nicht nur technische Systeme, sondern auch organisatorische Vorkehrungen, interne Prozesse und dokumentierte Notfallpläne.

Die ABDA erkennt in dem neuen Entwurf wenig Neues – aber dafür umso mehr bekannten Druck. Sie verzichtete auf eine neue Stellungnahme und verwies auf ihr Schreiben vom Mai 2024. Dort hatte sie bereits davor gewarnt, dass Apotheken durch die neuen Regelungen überfordert werden könnten. Insbesondere der wachsende Kostendruck – befeuert durch Inflation, steigende Energiepreise, Personalmangel und die Entscheidung des Bundesgerichtshofs zur Skontopraxis – lässt wenig Raum für zusätzliche Belastungen. In einem aktuellen Schreiben an das Innenministerium appelliert die Bundesvereinigung der Apothekerverbände deshalb erneut an die politische Verantwortung: Man möge innerhalb der Bundesregierung gezielt Unterstützungsmaßnahmen prüfen, etwa in Form steuerlicher Erleichterungen oder staatlicher Zuschüsse zur Umsetzung der Sicherheitsarchitektur.

Was dabei bislang nur zwischen den Zeilen diskutiert wird, gewinnt unterdessen in der Praxis deutlich an Gewicht: der Versicherungsbedarf. Denn wer zur „wichtigen Einrichtung“ wird, unterliegt nicht nur strengeren Anforderungen – sondern auch verschärfter Haftung. Fällt ein IT-System aus, werden Patientendaten kompromittiert oder entsteht durch Cyberangriffe ein wirtschaftlicher Schaden, droht eine rechtliche Inanspruchnahme. Die bisherigen Betriebs- oder Inhaltsversicherungen bieten in vielen Fällen keinen ausreichenden Schutz. Notwendig ist daher eine Erweiterung des Versicherungsschutzes – insbesondere um Policen, die digitale Risiken abdecken. Cyberversicherungen sichern dabei externe Angriffe ab, Vertrauensschadenversicherungen greifen bei internen Manipulationen oder Datenabflüssen durch Mitarbeitende. Dass beides keine theoretischen Konstrukte mehr sind, zeigen zahlreiche Fälle aus den letzten Jahren – von Apothekenrechenzentren bis zu Krankenhäusern, die teils wochenlang lahmgelegt wurden.

Für Apothekenleiter stellt sich nun die Frage: Reagieren oder abwarten? Auch wenn das Gesetz noch nicht in Kraft ist, besteht Handlungsbedarf. Der Aufbau eines Informationssicherheitsmanagementsystems (ISMS), die Bewertung von IT-Risiken, die Schulung von Personal und die Prüfung bestehender Versicherungsmodelle lassen sich nicht innerhalb weniger Wochen realisieren. Eine vorausschauende Risikostrategie kann deshalb den Unterschied ausmachen – nicht nur in der Einhaltung gesetzlicher Pflichten, sondern auch im Schutz des Betriebsvermögens. Schon jetzt beginnen Versicherer, bestehende Produkte für die Apothekenlandschaft anzupassen. Einige Anbieter prüfen Kombiprodukte, die sowohl Cyberschutz als auch Vertrauensschäden abdecken, abgestimmt auf die Spezifika pharmazeutischer Betriebe.

Der Gesetzgebungsprozess wird nach der Sommerpause weitergehen, eine Verabschiedung bis Jahresende ist denkbar, aber keineswegs garantiert. Was jedoch bereits jetzt feststeht: Die digitale Integrität der Versorgungseinrichtungen wird zur Voraussetzung für ihre Betriebsfähigkeit. Damit verändert sich auch das Selbstverständnis von Apotheken. Wer heute erfolgreich wirtschaften will, muss morgen digital abgesichert sein – technisch, organisatorisch und haftungsrechtlich. Es geht nicht mehr um „ob“, sondern nur noch um „wie schnell“.

Quellenangaben:
– Bundesministerium des Innern, Referentenentwurf zur NIS-2-Umsetzung (Stand: Juni 2025)
– ABDA-Schreiben an das Bundesinnenministerium (Mai und Juli 2025)
– EU-Kommission: Mitteilung zur Vertragsverletzung gegen Deutschland (Juni 2025)
– Fachbeiträge aus der Versicherungswirtschaft zu Cyberrisiken im Apothekenumfeld (2024–2025)
– Analyse zur NIS-2-Auswirkung im Gesundheitswesen, Bitkom, Frühjahr 2025

Von Engin Günder, Fachjournalist

MySecur® – Fachmakler für versicherbare Apothekenrisiken.
Mit dem Leitsatz „Apotheken sicher in die Zukunft“ begleitet MySecur Apothekenbetriebe bei der langfristigen Absicherung branchenspezifischer Risiken – unabhängig, technisch fundiert und mit tiefem Verständnis für den Apothekenalltag.

Zurück zur Übersicht