Apotheken starten Pflicht-Check für neue IT-Sicherheitsregeln

Ab sofort müssen Deutschlands Apotheken prüfen, ob sie unter das verschärfte IT-Sicherheitsgesetz NIS2 fallen. Wer die neuen Kriterien erfüllt, muss sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und strenge Cyberschutz-Maßnahmen umsetzen. Bei Verstößen drohen Bußgelder in Millionenhöhe.

Seit diesem Freitag läuft die verbindliche Betroffenheitsprüfung für alle Apotheken. Entscheidend sind zwei Kriterien: Die Einstufung als „wichtige Einrichtung“ oder als Betreiber einer „kritischen Anlage“.

Eine Apotheke gilt als wichtige Einrichtung, wenn sie mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz beziehungsweise eine Bilanzsumme von zehn Millionen Euro erreicht. Bei Filialverbunden werden alle Standorte zusammengerechnet.

Die Hürde für eine „kritische Anlage“ ist hoch, aber für Großverteiler relevant: Wer mehr als 4,65 Millionen Packungen verschreibungspflichtiger Medikamente im Jahr abgibt, fällt darunter. Diese Einstufung löst die strengsten Compliance-Pflichten aus, da sie die systemische Bedeutung für die Gesundheitsversorgung widerspiegelt.

Viele Apotheken unterschätzen die Risiken durch Cyberangriffe und sind nicht auf NIS2 vorbereitet. Studien zeigen, dass 73% der deutschen Unternehmen auf Cyberangriffe nicht ausreichend vorbereitet sind – für systemrelevante Apotheken kann das existenzbedrohend sein. Ein kostenloser Leitfaden erklärt aktuelle Bedrohungen, welche Maßnahmen das BSI erwartet und wie Sie in wenigen Schritten Ihre IT‑Resilienz verbessern. Gratis Cyber-Security-Guide für Apotheken herunterladen

Sofortige Pflichten: Melden, Absichern, Dokumentieren

Für betroffene Apotheken gibt es keine Schonfrist. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das seit Dezember 2025 in Kraft ist, verlangt sofortiges Handeln.

Zunächst muss sich die Apotheke beim BSI registrieren. Danach gelten verschärfte Meldepflichten: Erhebliche Cybervorfälle wie Ransomware-Angriffe oder schwere Systemausfälle müssen innerhalb von 24 Stunden als Frühwarnung und nach 72 Stunden detailliert gemeldet werden.

Der Kern der neuen Pflichten liegt in der Umsetzung technischer und organisatorischer Maßnahmen (TOMs). Dazu gehören:
* Definierte Prozesse für die Incident-Bewältigung.
* Sicherheitsstandards für Lieferanten und Software-Anbieter, etwa von Apotheken-Verwaltungssystemen.
* Der verpflichtende Einsatz von Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung.
* Konzepte für Backup und Krisenmanagement, um die Arzneimittelversorgung auch nach einem Angriff aufrechtzuerhalten.

Die Verantwortung trägt die Geschäftsführung. Bei grob fahrlässiger Umsetzung der Vorgaben droht persönliche Haftung.

Unterstützung und erwartete Herausforderungen

Das BSI stellt ein Online-Tool zur Betroffenheitsprüfung bereit. Branchenverbände wie die ABDA sehen den gestiegenen Verwaltungsaufwand kritisch, besonders für mittelgroße Apothekenverbünde ohne eigene IT-Sicherheitsabteilung.

IT-Dienstleister reagieren bereits mit speziellen „NIS2-Readiness“-Paketen. Die Dokumentation aller Maßnahmen ist zentral, denn das BSI kann Compliance-Nachweise auch ohne konkreten Verdacht einfordern.

Hintergrund: Nachholbedarf bei Cyber-Resilienz

Deutschland hat die EU-Richtlinie NIS2 mit Verspätung umgesetzt. Die Frist endete eigentlich im Oktober 2024, das Gesetz trat aber erst im Dezember 2025 in Kraft. Der Gesundheitssektor steht im Fokus, da Krankenhäuser, Labore und Apotheken mit sensiblen Patientendaten besonders attraktive Ziele für Cyberkriminelle sind.

Apotheken als letzte Glieder der Versorgungskette sind systemrelevant. Ein erfolgreicher Angriff auf einen großen Verbund oder Speziallieferanten könnte die Medikamentenversorgung regional lahmlegen – mit direkten Folgen für Patienten.

Was kommt jetzt? Anpassung und Durchsetzung

Nach der Prüfphase im Januar 2026 wird die Umsetzung und Durchsetzung folgen. Das BSI kann Bußgelder verhängen: Für „wichtige Einrichtungen“ bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Marktbeobachter rechnen im ersten Quartal 2026 mit einer Registrierungswelle. Auch nicht direkt betroffene Apotheken könnten unter Druck geraten, wenn größere Partner und Großhändler aus eigener Compliance-Pflicht heraus Sicherheitsgarantien einfordern.

Die Botschaft an alle Apotheken ist klar: Nutzen Sie die BSI-Tools umgehend und klären Sie mit IT- und Rechtsexperten Ihren Status. Deutschlands neue Ära der Cybersicherheit hat im Gesundheitswesen begonnen.

PS: Sie möchten Bußgelder und Versorgungsunterbrechungen vermeiden? Das kostenlose E‑Book fasst NIS2-Anforderungen kompakt zusammen, zeigt pragmatische Schutzmaßnahmen (MFA, Verschlüsselung, Incident‑Response) und liefert eine Checkliste zur schnellen Umsetzung in Apotheken. Praktische Vorlagen helfen, Meldepflichten und Dokumentation rechtssicher zu erfüllen. Jetzt kostenlosen NIS2‑Cyber‑Guide sichern