IT-Sicherheit: Neue Pflichtschulungen treffen Arztpraxen und Klinikchefs

Ab sofort gelten verschärfte Cybersicherheits-Regeln für Deutschlands Gesundheitswesen. Praxen müssen nachweisen, dass ihr gesamtes Personal geschult ist – für Klinikmanager beginnt eine Phase persönlicher Haftungsrisiken.

Berlin, 2. Januar 2026 – Der Jahresstart bringt für Ärzte und Krankenhäuser eine regulatorische Zäsur. Seit heute müssen niedergelassene Praxen ihre Belegschaft in IT-Sicherheit und Datenschutz unterweisen. Parallel startet die Registrierungsphase für kritische Infrastrukturen unter dem NIS-2-Umsetzungsgesetz. Es setzt Klinikvorstände und Geschäftsführer neuen Schulungspflichten und persönlicher Haftung aus.

Frist für Praxen: IT-Sicherheitsrichtlinie wird konkret

Für Zehntausende Arzt-, Zahnarzt- und Psychotherapiepraxen läuft heute eine wichtige Frist ab. Die aktualisierte IT-Sicherheitsrichtlinie verlangt seit dem 2. Januar 2026 den Nachweis, dass alle Mitarbeiter – von der Medizinischen Fachangestellten bis zur Praxisleitung – aufgabenbezogen unterwiesen wurden. Der Fokus liegt auf dem sicheren Umgang mit der Telematikinfrastruktur, also der elektronischen Patientenakte (ePA) und dem E-Rezept.

„Die generische Jahresunterweisung reicht nicht mehr aus“, betonen Experten. Der neue Lehrplan muss konkrete Bedrohungsszenarien wie Ransomware-Angriffe, den Umgang mit Patientenzugangsdaten und Opt-out-Verfahren bei der ePA abdecken. Praxen, die diese Schulungen nicht dokumentieren, riskieren laut Kassenärztlicher Bundesvereinigung (KBV) und Bundesamt für Sicherheit in der Informationstechnik (BSI) Kürzungen ihrer Vergütung oder Bußgelder nach dem Sozialgesetzbuch.

Viele Praxen unterschätzen Cyber‑Risiken und sind wegen fehlender Bewusstseinstrainings gefährdet. Das Gratis‑E‑Book „Cyber Security Awareness Trends“ erklärt aktuelle Bedrohungen (Ransomware, Phishing), die Folgen neuer Gesetze (NIS‑2, KI‑Verordnung) und liefert konkrete Bausteine für wirksame, nachweisbare Mitarbeiterschulungen. Mit Praxisbeispielen, Checklisten und einem 4‑Schritte‑Plan, damit Praxen Schulungen dokumentieren und Audits bestehen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

NIS-2: Persönliche Haftung für das Management

Während Praxen die IT-Sicherheitsrichtlinie umsetzen, treffen Krankenhäuser und größere Einrichtungen die schärferen Vorgaben des NIS-2-Umsetzungsgesetzes. Seit Januar 2026 müssen sich „wesentliche“ und „wichtige“ Einrichtungen beim BSI registrieren. Das Gesetz sieht eine persönliche Schulungspflicht für Geschäftsleitungen vor – diese Pflicht ist nicht delegierbar.

„Vorstände und Geschäftsführer müssen in die Lage versetzt werden, Cyberrisiken eigenständig zu bewerten und über Sicherheitsmaßnahmen zu entscheiden“, erklärt eine auf Gesundheitsrecht spezialisierte Anwältin. Bei Verstößen droht den Verantwortlichen nun persönliche Haftung für Schäden aus Cybervorfällen. Eine Versicherung gegen diese spezifischen Bußgelder ist gesetzlich ausgeschlossen. Die Schulungen müssen Risikomanagement, Krisenreaktion und die neuen Meldepflichten abdecken, die signifikante Vorfälle innerhalb von 24 Stunden meldepflichtig machen.

KI und Forschungsdaten: Der Lehrplan wächst

Die Inhalte der Pflichtschulungen haben sich 2026 deutlich erweitert. Mit dem europäischen Gesundheitsdatenraum (EHDS) und der Anwendung der KI-Verordnung müssen Mitarbeiter nun auch im ethischen Umgang mit Künstlicher Intelligenz in Diagnostik und Verwaltung geschult werden.

Datenschutzbehörden verlangen, dass die Grenzen automatisierter Entscheidungsfindung und Transparenzanforderungen bei KI-Nutzung vermittelt werden. Zusätzlich stellt das Gesundheitsdatennutzungsgesetz (GDNG) neue Weichen. Mitarbeiter müssen lernen, zwischen der Datenverarbeitung zur direkten Versorgung und der Nutzung für Forschungszwecke zu unterscheiden. Das Recht der Patienten auf Widerspruch muss gewahrt und technisch umgesetzt werden.

Cybersicherheitsberater verzeichnen diese Woche eine starke Nachfrage nach „Cyber-Resilience“-Workshops. Der traditionelle „Häkchen-Ansatz“ bei Datenschutzschulungen wird durch szenariobasiertes Lernen ersetzt. Es soll Praxisteams auf konkrete Bedrohungen wie Phishing-Angriffe auf Gesundheitsdaten vorbereiten.

Branche unter Druck: Vom Appell zur Pflicht

Das Zusammentreffen der Fristen hat in der Ärzteschaft für Dringlichkeit gesorgt. Berufsverbände betonen: Die „Schonfrist“ für die digitale Transformation ist vorbei. Die strikte Durchsetzung der Frist zum 2. Januar signalisiert den Übergang von der Empfehlung zur verbindlichen Vorgabe.

Marktbeobachter sehen einen Boom im Sektor Compliance-as-a-Service. Spezialisierte E-Learning-Anbieter für das Gesundheitswesen melden Rekordnutzerzahlen. Vor allem kleinere Praxen klagen über den Dokumentationsaufwand. Sie fordern standardisierte, automatisierte Zertifizierungslösungen, die sich direkt in die Praxisverwaltungssysteme integrieren lassen.

Ausblick: Audits und erste Haftungsfälle stehen bevor

Der Fokus wird sich nun von der Umsetzung auf die Überprüfung verlagern. Das BSI und die Aufsichtsbehörden der Länder planen Stichprobenaudits im ersten Quartal 2026, um die Einhaltung der NIS-2-Vorgaben zu prüfen. Bei den Praxen werden die jährlichen Selbstverpflichtungserklärungen zur IT-Sicherheit nun strenger an den neuen Standards gemessen.

Rechtsexperten rechnen in der ersten Jahreshälfte 2026 mit den ersten Gerichtsverfahren zur Managerhaftung nach NIS-2. Sie werden den Ton für die künftige Strenge der Durchsetzung vorgeben. Gesundheitsunternehmen sollten daher nicht nur die Teilnahme an Schulungen dokumentieren, sondern auch die Wirksamkeit ihrer Sicherheitskultur. Die Ära des bloßen Abhakens von Pflichten ist definitiv zu Ende.

PS: Phishing‑Angriffe gehören zu den größten Gefahren für Patientendaten. Das kostenlose Anti‑Phishing‑Paket zeigt in vier praktischen Schritten, wie Sie verdächtige Mails erkennen, Mitarbeiter trainieren und reale Szenarien als Übung einsetzen. Enthalten sind Vorlagen für Awareness‑Trainings, Quizfragen, Kommunikationsvorlagen und sofort einsetzbare Checklisten — ideal, um die szenariobasierten Schulungsanforderungen der IT‑Sicherheitsrichtlinie zu erfüllen. Anti-Phishing-Paket gratis anfordern