Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoRisk® Nachrichten - APOTHEKE:

APOTHEKE | Systemblick - Kommentar von heute

NIS2 als Ordnungsrahmen, Cyber als Versorgungsrisiko, Inhaberhaftung bleibt beim Betrieb

Ausgabe Nr. 136 | NIS2 macht Nachweis und Haftung zur Betriebsfrage und verschiebt Cyberdeckung vom „nice to have“ zur Statik der Versorgung

Stand: Freitag, 02. Januar 2026, um 18:52 Uhr

Apotheken-News: Kommentar von heute

Kommentar von Seyfettin Günder zu den aktuellen Apotheken-Nachrichten über NIS2-Pflichten, Cyberdeckung und Inhaberhaftung in Apotheken.

Es ist eine stille Verschiebung, die viele erst bemerken, wenn sie längst wirksam ist: Cybersicherheit ist nicht mehr nur ein Technikthema, das man „mitmacht“, solange der Dienstleister erreichbar ist und die Systeme laufen. Sie ist zur Ordnungsfrage geworden. NIS2 steht dafür wie ein Schild im Raum – nicht, weil jedes Detail in jeder Apotheke sofort greift, sondern weil der Maßstab greift. Und dieser Maßstab fragt nicht nach gutem Willen, nicht nach gefühlter Angemessenheit, nicht nach dem Satz „Wir sind doch klein“. Er fragt nach Steuerung, Nachweis, Verantwortlichkeit. Und er trifft damit ausgerechnet eine Branche, deren Alltag längst digital getaktet ist, deren Ressourcen aber nicht im selben Tempo wachsen wie die Pflichten, die an sie herangetragen werden.

Der entscheidende Punkt ist dabei nicht die Schwelle, sondern die Kette. Eine Apotheke erlebt Cyber nicht als abstraktes Risiko, sondern als Moment, der sich klein ankündigt: eine Anmeldung scheitert, ein Arbeitsplatz friert ein, ein Zugriff ist plötzlich gesperrt, eine Kommunikationslinie bricht ab, während Kundenversorgung, Rezeptprozess, Lagerlogik und Abrechnung weiterlaufen sollen. Genau in dieser Gleichzeitigkeit liegt die eigentliche Härte. Der Betrieb wird nicht „unterbrochen“, er wird unter Druck weitergeführt – mit steigender Fehlerwahrscheinlichkeit, steigender Nervosität, steigenden Folgekosten. Und sobald der Druck steigt, tritt eine zweite Ebene dazu: Fristen, Meldeketten, Dokumentation, Kommunikation mit Dritten. Wer in dieser Lage erst beginnen muss zu klären, wer entscheidet, wer dokumentiert, wer mit Dienstleistern spricht und wer nach außen kommuniziert, verliert nicht nur Zeit, sondern Handlungsfähigkeit. Der Schaden entsteht dann nicht allein durch den Angriff oder den Ausfall, sondern durch das Fehlen einer tragfähigen Ordnung.

NIS2 verschärft diese Lage, weil es Verantwortung nicht mehr als implizite Erwartung behandelt, sondern als explizite Zurechnung. Auslagerung entlastet operative Arbeit, aber sie entlastet nicht die Leitungspflicht. Wer IT auslagert, verlagert Aufgaben, aber nicht Verantwortung. Das klingt wie ein Satz aus einem Lehrbuch, wird aber im Ernstfall zur Grenzlinie zwischen „wir haben alles getan“ und „wir hätten es nachweisen müssen“. Genau hier treffen sich Recht und Versicherung: Denn im Schadenfall ist die Frage selten nur, ob etwas passiert ist. Die Frage ist, ob das Vorher plausibel war. Ob Zuständigkeiten definiert waren. Ob Wiederherstellbarkeit belastbar ist oder nur behauptet. Ob Zugriffskontrollen im Alltag gelebt werden oder nur auf Papier existieren. Ob die wenigen, entscheidenden Maßnahmen umgesetzt sind, die aus einem Vorfall ein begrenzbares Ereignis machen – statt eine Woche Stillstand mit Nebenkosten, die niemand mehr sauber trennen kann.

Damit wird Cyberdeckung zu einem Prüfstein, der in Apotheken besonders scharf wirkt. Nicht, weil Apotheken grundsätzlich schlechter arbeiten, sondern weil ihre Abhängigkeit von funktionierenden Prozessen hoch ist und ihre Puffer oft klein sind. Eine Cyberpolice beruhigt schnell auf dem Papier, aber sie trägt erst im Schaden. Und im Schaden zeigen Obliegenheiten, was sie sind: Bedingungen der Belastbarkeit. Backups, die nie getestet wurden, sind kein Sicherheitsnetz, sondern eine Hoffnung. Adminrechte, die aus Bequemlichkeit zu breit vergeben sind, sind kein „Pragmatismus“, sondern ein Risikohebel. Fehlende Mehrfaktorsicherung auf kritischen Konten ist nicht „zu kompliziert“, sondern eine Einladung zur Eskalation. Das sind unbequeme Wahrheiten, weil sie nicht nach großer Strategie klingen, sondern nach Betriebsdisziplin. Aber genau diese Disziplin entscheidet, ob ein Versicherer zahlt, ob ein Dienstleister liefern kann, ob ein Betrieb wieder anlaufen kann, bevor aus Stunden Tage werden.

Der Zielkonflikt, der daraus entsteht, ist politisch und praktisch zugleich. Apotheken sollen digitale Pflichtprozesse stabil halten – und das ist längst mehr als „nice to have“. Gleichzeitig werden Pflichten, Maßstäbe und Erwartungen höher, ohne dass die Realität kleiner Betriebe automatisch mitwächst. Der Satz „Stand der Technik“ klingt nach objektiver Norm, ist in der Praxis aber oft eine Zumutbarkeitsfrage, die erst im Nachhinein entschieden wird. Wer misst sie? Wer bewertet, was angemessen war, wenn ein Angriff über eine Kette kommt, in der Dienstleister, Schnittstellen, Geräte und menschliche Routinen ineinandergreifen? Der Betrieb steht dann zwischen zwei Erwartungen: Er soll modern genug sein, um Risiken zu beherrschen, und zugleich wirtschaftlich genug bleiben, um überhaupt zu überleben. Wenn diese Spannung nicht sauber gelöst wird, entsteht eine gefährliche Schieflage: Verantwortung bleibt beim Inhaber, Risiken wachsen in der Kette, und Absicherung wird zur nachträglichen Auslegung.

Besonders kritisch wird es dort, wo im Alltag aus guten Gründen vereinfacht wird. Eine Apotheke ist kein Konzern, sie hat keine eigene Security-Abteilung, sie kann nicht beliebig Personal binden, um Dokumentationswelten zu pflegen. Aber sie kann auch nicht so tun, als wäre Dokumentation ein Luxus. Denn Dokumentation ist in dieser Logik nicht Bürokratie, sondern Beweis der Steuerungsfähigkeit. Das ist der Punkt, an dem NIS2 als Ordnungsrahmen wirksam wird: Es zwingt dazu, das, was bisher im Kopf einzelner lag, in Rollen, Zuständigkeiten und nachvollziehbare Abläufe zu übersetzen. Nicht, weil Papier beruhigt, sondern weil Klarheit im Vorfall entlastet. Wer das als „zusätzliche Last“ sieht, verpasst den Kern: Ordnung ist nicht der Aufwand, Ordnung ist die Entlastung – aber nur, wenn sie so gebaut ist, dass sie den Betrieb nicht lähmt.

Daraus folgt eine nüchterne These, die weh tut, weil sie nicht moralisch ist, sondern strukturell: Cyber ist ein Versorgungsrisiko. Nicht als Drama, sondern als Stillstand. Die Versorgung gerät nicht erst dann ins Wanken, wenn Daten „weg“ sind, sondern wenn Prozesse nicht mehr laufen. Wenn Abrechnung stockt, wenn Kommunikation ausfällt, wenn Warenwirtschaft nicht zuverlässig ist, wenn Rezeptprozesse hängen, wenn Teams in Improvisation rutschen. Und genau dann greifen externe Erwartungen weiter: Fristen, Meldelogik, Vertragspartner, Aufsicht, Versicherer. Die Gleichzeitigkeit dieser Anforderungen ist das Gefährliche. Sie macht aus einem technischen Problem eine betriebliche Stressprobe. Und sie macht aus einem Betrieb, der sonst aus Routine Stabilität erzeugt, eine Organisation, die plötzlich unter maximalem Zeitdruck Ordnung herstellen soll. Das ist die Stelle, an der Pflichten ohne echte Entlastung nicht nur unfair wirken, sondern operativ riskant werden.

Ein Kommentar muss an dieser Stelle nicht „für mehr Sicherheit“ werben. Er muss benennen, was sich verschoben hat: Der Maßstab ist neu, die Zurechnung ist schärfer, die Ketten sind dichter. Und deshalb ist die Frage nicht mehr, ob eine Apotheke „betroffen“ ist, sondern ob sie steuerungsfähig ist. Wer sich darauf zurückzieht, formell außerhalb zu liegen, kann im Ernstfall trotzdem innerhalb der Erwartung stehen – in der Prüfung von Zumutbarkeit, in der Bewertung von Sorgfalt, in der Auslegung von Obliegenheiten. Das ist kein Widerspruch, das ist die neue Logik. Sie ist unbequem, aber sie ist real. Und sie verlangt eine betriebliche Antwort, die weder in Technikdetails ertrinkt noch in beruhigenden Allgemeinsätzen endet.

Die betriebliche Antwort beginnt nicht mit großen Programmen, sondern mit wenigen Fundamenten, die im Vorfall tragen. Wiederherstellbarkeit, die getestet ist. Zugriffskontrollen, die Rollen trennen. Mehrfaktorsicherung für kritische Konten. Zuständigkeiten, die nicht im Nebel liegen. Ein Wiederanlauf, der verständlich bleibt, wenn Stress die Sprache verkürzt. Und Verträge mit Dienstleistern, die nicht nur Leistungen versprechen, sondern Reaktionszeiten, Nachweise, Kommunikationswege und klare Rechte zur Prüfung. Das klingt nach Management, ist aber in Wahrheit Schutz der Versorgung. Denn wenn die Systeme stehen, ist nicht „die IT“ betroffen, sondern der Betrieb. Und wenn der Betrieb betroffen ist, ist die Versorgung betroffen. In einem Markt, der Apotheken ohnehin unter Druck setzt, wird genau diese Stabilität zur stillen Existenzbedingung.

Dies ist der Punkt, an dem die politische Ebene wieder sichtbar werden muss. Wenn Pflichten steigen, muss die Frage beantwortet werden, wie Tragfähigkeit hergestellt wird. Nicht als Symbolpolitik, sondern als Ordnungsarbeit: klare Erwartungsräume, praxistaugliche Nachweispfade, realistische Zumutbarkeitsmaßstäbe. Sonst entsteht ein System, das Verantwortung formal sauber zuordnet, aber praktisch überfordert. Und Überforderung ist keine private Schwäche, sondern ein strukturelles Risiko, das am Ende die trifft, die das System eigentlich schützen will: die Patientenversorgung, die Verlässlichkeit, die Ruhe im Betrieb.

Dies ist kein Schluss, der gelesen werden will – sondern eine Wirkung, die bleibt. NIS2 macht Cybersicherheit zur Ordnungsfrage, und damit werden Apotheken nicht nur an Schwellen gemessen, sondern an Steuerungsfähigkeit im Ernstfall. Wer Absicherung nur als Police versteht, riskiert, dass Schutz im entscheidenden Moment zur Auslegung wird, weil Nachweise, Obliegenheiten und Zuständigkeiten nicht belastbar waren. Tragfähig wird die Lage dort, wo Ordnung im Betrieb so gebaut ist, dass sie unter Druck entlastet: als klare Rollen, getestete Wiederherstellbarkeit und dokumentierte Entscheidungen, die Versorgung und Liquidität zugleich schützen, ohne den Alltag in Technik zu verlieren.

SG
Prokurist | Publizist | Verantwortungsträger im Versorgungsdiskurs
Kontakt: sg@aporisk.de
Autorenseite öffnen

Wer das für Formalie hält, unterschätzt die Verantwortung, die Sprache heute tragen muss.
Ein Kommentar ist keine Meinung. Er ist Verpflichtung zur Deutung – dort, wo Systeme entgleiten und Strukturen entkoppeln.
Ich schreibe nicht, um zu erklären, was gesagt wurde. Ich schreibe, weil gesagt werden muss, was sonst nur wirkt, wenn es zu spät ist.
Denn wenn das Recht nur noch erlaubt, aber nicht mehr schützt, darf der Text nicht schweigen.

Zurück zur Übersicht