Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

NIS2-Pflichten, Cyberdeckung, Inhaberhaftung in Apotheken unter neuem Maßstab

Wer Betroffenheit unterschätzt, riskiert Bußgeld, Haftungslücken und einen Stillstand, den weder Dienstleister noch Standardpolicen auffangen.

Stand: Freitag, 02. Januar 2026, um 16:52 Uhr

Apotheken-News: Bericht von heute

Seit dem 6. Dezember 2025 ist mit dem NIS2-Umsetzungsgesetz ein neuer Ordnungsrahmen wirksam, der Cybersicherheit nicht mehr als Technikdetail behandelt, sondern als Führungs- und Nachweisfrage. Für Apotheken entscheidet sich die Relevanz nicht erst an Schwellenwerten, sondern in dem Moment, in dem Warenwirtschaft, Rezeptprozesse oder Kommunikation stocken und zugleich Fristen, Meldepflichten und Verantwortlichkeiten laufen. Die Betroffenheitsprüfung klärt, ob Registrierung, Management- und Meldepflichten nach dem BSIG auszulösen sind, doch der Risikodruck beginnt oft schon vorher: Versicherer fragen nach Sicherheitsniveau und Obliegenheiten, Vertragspartner erwarten belastbare Notfallfähigkeit, und im Vorfall zählt dokumentierte Steuerung statt guter Absicht. Wer IT auslagert, verlagert Aufgaben, aber nicht Verantwortung, und genau diese Linie wird in der Praxis überraschend schnell scharf. NIS2 macht sichtbar, wo Prozesse fehlen, und damit wird Cyberversicherung entweder ein tragendes Netz oder ein Streitpunkt im Ernstfall.

Ein Betrieb merkt Cyberrisiko selten am großen Wort, sondern am kleinen Ausfall: ein Passwort, das plötzlich nicht mehr akzeptiert wird, ein Bildschirm, der einfriert, ein Anruf, der eine falsche Dringlichkeit setzt. Solche Momente wirken zuerst banal, doch sie haben eine Eigenschaft, die im Alltag unterschätzt wird: Sie fressen Zeit, während der Betrieb gleichzeitig weiterlaufen soll. Seit dem 6. Dezember 2025 steht mit dem NIS2-Umsetzungsgesetz ein Rahmen im Raum, der diese Lage nicht nur als technische Störung behandelt, sondern als Frage von Organisation, Verantwortung und Nachweis. Für Apotheken ist das besonders sensibel, weil digitale Abläufe nicht „nebenher“ laufen, sondern den Kern tragen, vom Rezeptprozess über Lagerlogik bis zur Kommunikation mit Ärzten, Pflegeeinrichtungen und Lieferanten. Wenn diese Kette reißt, wird nicht nur Arbeit langsamer, sondern Versorgung fragiler, und aus einem Vorfall kann in kurzer Zeit eine wirtschaftliche Belastung entstehen. Der Maßstab wirkt deshalb auch dort, wo die formale Betroffenheit am Ende verneint wird, weil im Schadenfall weniger zählt, was man im Alltag „für ausreichend hielt“, sondern was nachvollziehbar geregelt, dokumentiert und steuerbar war.

Die Betroffenheitsprüfung ist der formale Einstieg, aber sie funktioniert nur, wenn sie als Unternehmensprüfung verstanden wird, inklusive Filialen und zusammengefasster Strukturen unter einer Leitung. Schwellenwerte wie Mitarbeitendenzahl, Umsatz und Bilanzsumme beziehen sich auf das Gesamtunternehmen, und genau hier entstehen typische Fehlannahmen: Im Alltag fühlt sich vieles wie „eine Apotheke“ an, in der Prüflogik ist es ein Unternehmen mit addierten Kennzahlen. Auch die Zählweise über Vollzeitäquivalente verlangt Präzision, weil Teilzeit, wechselnde Stunden und Saisonspitzen ein Bild erzeugen können, das nicht zur Berechnung passt. Parallel existiert die Einordnung über kritische Anlagen mit packungsbezogenen Größenordnungen, die selten erreicht werden, aber als Scharnier für besonders strenge Pflichten wirkt. Entscheidend ist weniger die Statistik als die Konsequenz: Wer eine Schwelle überschreitet, hat klare Pflichten, und wer darunter liegt, ist nicht automatisch außerhalb jeder Erwartung, weil der Prüfmaßstab im Ernstfall zuerst nach Steuerung fragt, nicht nach Bauchgefühl. Genau diese Differenz macht NIS2 für den Betrieb heikel: Formal kann etwas „nicht betroffen“ sein, praktisch kann es dennoch „nicht vorbereitet“ sein.

Sobald Betroffenheit festgestellt ist, beginnen Pflichten, die im Alltag unscheinbar wirken, im Ernstfall aber über Tempo und Folgen entscheiden. Die Registrierung beim BSI nach § 33 BSIG ist fristgebunden und verlangt Vorbereitung, weil digitale Konten, Portale und Zuständigkeiten nicht in der Krise improvisiert werden können, ohne dass es knirscht. Das Risikomanagement nach § 30 BSIG ist kein Papierbegriff, sondern die Forderung, Risiken zu erkennen, Maßnahmen festzulegen, Verantwortlichkeiten zu definieren und das Ganze überprüfbar zu halten. Besonders scharf sind die Meldepflichten nach § 32 BSIG, weil sie zeitkritisch sind und eine Ersteinschätzung verlangen, während im Betrieb häufig noch unklar ist, ob gerade ein Fehler, ein Ausfall oder ein Angriff vorliegt. Hier entstehen die teuersten Reibungsverluste: Wenn niemand eindeutig entscheidet, wer dokumentiert, wer mit Dienstleistern spricht und wer die externe Meldelogik bedient, wird aus Zeitdruck ein Fehlerverstärker. Die Lage eskaliert dann nicht, weil jemand „schlecht arbeitet“, sondern weil eine fehlende Ordnung jede Entscheidung doppelt so schwer macht. Für Apotheken bedeutet das, dass Meldefähigkeit nicht erst im Vorfall beginnt, sondern vorher, als Teil der betrieblichen Ordnung.

Die versicherungstechnische Seite entscheidet sich nicht am Abschluss, sondern am Schaden, und dort zeigt sich, ob Deckung belastbar ist oder nur beruhigt. Cyberversicherung ist in vielen Fällen an Obliegenheiten geknüpft, die nicht als Formalität gedacht sind, sondern als Bedingung dafür, dass Risiken beherrschbar bleiben. Wenn Backups zwar existieren, aber nie getestet wurden, wenn Administratorrechte im Alltag zu breit vergeben sind oder wenn zentrale Zugänge nicht abgesichert sind, entsteht ein Konflikt zwischen Erwartung und Vertrag, und dieser Konflikt tritt ausgerechnet dann auf, wenn Stunden zählen. Für Apotheken ist das existenziell, weil Kosten nicht nur aus Wiederherstellung entstehen, sondern aus Stillstand, Mehrarbeit, externer Forensik, Kommunikationsaufwand und der Verschiebung von Abrechnung und Liquidität. Ein Team kann viel abfedern, aber es kann nicht gleichzeitig Versorgung stabil halten, Systeme neu aufsetzen, Vorfälle klären und Fristen bedienen, ohne dass Folgekosten anwachsen. Genau an dieser Stelle trifft NIS2 die Versicherungsrealität: Der Rahmen liefert einen Maßstab, an dem Zumutbarkeit und Sorgfalt gemessen werden, und dieser Maßstab landet im Zweifel in der Prüfung, auch dann, wenn die Pflichtkette formal nicht ausgelöst wurde.

Die Auslagerung von IT ist ein häufiger Reflex, weil sie Entlastung verspricht, und sie kann operativ sinnvoll sein, aber sie ist keine Verlagerung von Verantwortung. Im Vorfall zählt nicht, wer Tickets bearbeitet, sondern wer die Pflicht trägt, dass Prozesse funktionieren, dass Meldungen fristgerecht laufen und dass der Betrieb steuerungsfähig bleibt. Dafür braucht es Verträge, die nicht nur Leistungen beschreiben, sondern Reaktionszeiten, Nachweispflichten, klare Kommunikationswege und Rechte zur Prüfung abbilden, damit Kontrolle möglich ist, ohne Misstrauen zum Dauerzustand zu machen. Wer diese Klarheit nicht hat, spürt sie oft erst, wenn eine Hotline überlastet ist, wenn ein Ansprechpartner nicht erreichbar ist oder wenn Zuständigkeiten zwischen Dienstleister und Betrieb hin- und hergeschoben werden. Dann wird Zeit nicht nur knapp, sie wird teuer, und Verantwortung wird nicht im Servicevertrag entschieden, sondern in den Folgen. Auch aus Versicherersicht ist ein Dienstleister nicht automatisch ein Sicherheitsgewinn, sondern eine zusätzliche Abhängigkeit, die vertraglich und organisatorisch abgesichert sein muss.

Der wirtschaftliche Kern des Themas liegt in der Betriebsunterbrechung, weil sie nicht nur Aufwand erzeugt, sondern Entscheidungsspielräume frisst. Wenn Systeme stehen, geht es nicht mehr um Komfort, sondern um Prioritäten, und jede Priorität kostet etwas, Zeit, Ruhe oder Geld. Ein Ausfall kann Rezeptbearbeitung verlangsamen, Bestellungen verzögern, Kommunikation stören und interne Dokumentation erschweren, und diese Effekte addieren sich, weil Fehlerwahrscheinlichkeit steigt, je stärker Stress und Improvisation werden. Gleichzeitig laufen externe Erwartungen weiter, von Vertragspartnern, von Aufsicht, von Meldepflichten, von Fristen. Genau diese Gleichzeitigkeit macht die Lage gefährlich, weil sie die Organisation auf ihre stillen Schwachstellen testet, während sie weiter funktionieren soll. Bußgelder und Zwangsgelder sind die sichtbaren Spitzen, doch darunter liegen Haftungsrisiken und Folgekostenketten, die im Alltag nicht sofort als „Cyber“ erkannt werden, aber am Ende genauso real sind. Wer hier nur auf Technik schaut, übersieht die eigentliche Belastung: den Verlust von Handlungsfähigkeit in einem Betrieb, der von Verlässlichkeit lebt.

Tagfähig wird das Thema erst, wenn die Steuerung so gestaltet ist, dass sie im Ernstfall nicht zur zusätzlichen Aufgabe wird, sondern zur entlastenden Struktur. Das beginnt bei wenigen Fundamenten, die sich nicht durch Größe, sondern durch Wirkung definieren: Wiederherstellbarkeit statt bloßem Backup, Zugriffskontrollen, die Rollen sauber trennen, Mehrfaktorabsicherung für kritische Konten, definierte Zuständigkeiten und ein Wiederanlauf, der auch unter Druck verständlich bleibt. Das sind keine Prestigeprojekte, sondern Betriebsdisziplin, und sie entscheidet darüber, ob ein Vorfall in Stunden eingegrenzt oder in Tage verlängert wird. In der Versicherungslogik sind genau diese Punkte häufig die Stellen, an denen Obliegenheiten hängen und an denen im Schadenfall gefragt wird, ob das Naheliegende umgesetzt war. Für Apotheken entsteht daraus ein nüchterner Vorteil: Wer Ordnung nachweisbar macht, reduziert Eintrittswahrscheinlichkeit, begrenzt Schadenhöhe und senkt das Risiko von Deckungsstreit, ohne sich in Technikdetails zu verlieren. NIS2 verschiebt den Maßstab, und wer diesen Maßstab in betriebliche Ordnung übersetzt, schützt nicht nur Daten, sondern Versorgung, Vertrauen und wirtschaftliche Stabilität.

An dieser Stelle fügt sich das Bild.

Gesetze verändern Betriebe oft nicht durch einzelne Vorschriften, sondern durch den Maßstab, den sie setzen. NIS2 legt für Cybersicherheit eine Ordnung über den Alltag, die nicht zuerst fragt, ob etwas modern wirkt, sondern ob Verantwortung, Tempo und Nachweis zusammenpassen. Für Apotheken ist das die stille Linie zwischen einem Vorfall, der eingegrenzt werden kann, und einem Stillstand, der Versorgung und Liquidität zugleich berührt. Wer diese Linie erkennt, gewinnt Ruhe, nicht weil Risiken verschwinden, sondern weil Handlungsfähigkeit vorbereitet ist.

Dies ist kein Schluss, der gelesen werden will – sondern eine Wirkung, die bleibt. NIS2 ist weniger eine Schwellenfrage als eine Frage nach einem Maßstab, der im Ernstfall über Folgen, Haftung und Deckung mitentscheidet. Wer Absicherung nur als Police versteht, riskiert, dass der Schutz im Moment der größten Not zur Auslegung wird, weil Nachweise, Obliegenheiten und Zuständigkeiten nicht belastbar waren. Der ruhige Weg liegt in Ordnung, die im Betrieb tragfähig ist, in Dokumentation, die nicht stört, sondern schützt, und in einer Notfallfähigkeit, die nicht vom guten Willen einzelner abhängt. In einer Versorgung, deren Prozesse immer digitaler werden, wird genau diese Nachweisbarkeit zur stillen Grundlage von Verlässlichkeit.

Journalistischer Kurzhinweis: Themenprioritäten und Bewertung orientieren sich an fachlichen Maßstäben und dokumentierten Prüfwegen, nicht an Vertriebs- oder Verkaufszielen. Die Redaktion berichtet täglich unabhängig über Apotheken-Nachrichten und ordnet Risiken, Finanzen, Recht und Strukturfragen für Apotheker ein. NIS2, Meldepflichten und Versicherungsbedingungen greifen dort ineinander, wo Ausfall, Fristen und Nachweis über Handlungsfähigkeit entscheiden.

Zurück zur Übersicht