NIS-2 für Apotheken:

Die Frist ist abgelaufen – was Du jetzt sofort tun musst.

Stell Dir einen ganz normalen Dienstag in Deiner Apotheke vor: 
Das Warenwirtschaftssystem läuft, Rezepte werden gescannt, die Anbindung an die Telematikinfrastruktur (TI) für das E-Rezept funktioniert reibungslos und im Hintergrund arbeitet der Kommissionier-Automat. Vielleicht laufen parallel noch die Kassen, die Rezeptabrechnung, die Großhandels-Bestellungen, securPharm und die Kommunikation mit dem Rechenzentrum. 

Kurz gesagt: Deine Apotheke ist heute ein hochdigitalisierter Gesundheitsbetrieb. 
Doch was passiert, wenn genau diese Systeme plötzlich ausfallen – nicht unbedingt wegen eines Stromausfalls: Sondern durch einen Cyberangriff, Ransomware, Phishing oder einen gezielten Angriff auf Deine IT-Infrastruktur. 

Und hier kommt die EU-Richtlinie NIS-2 ins Spiel. 
Sie stärkt die Cybersicherheit in kritischen und wichtigen Einrichtungen, als auch deren Lieferketten – und dazu kann auch die Arzneimittelversorgung durch Apotheken gehören. 

Wichtig: Die Schonfrist ist schon vorbei: Seit dem 6. März 2026 bist Du als betroffene Apotheke offiziell verpflichtet, Dich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.

Bist Du betroffen? Die Kriterien für Apotheken im Überblick

Ob Deine Apotheke die Anforderungen aus NIS-2 umsetzen muss, hängt vor allem von der Größe Deines Betriebs ab. 
Deine Apotheke gilt in der Regel als „wichtige Einrichtung“, wenn Du:
  • 50 oder mehr Mitarbeiter beschäftigst, 
oder 
  • einen Jahresumsatz von mehr als 10 Millionen Euro erzielst 
und 
  • Deine Jahresbilanzsumme ebenfalls über 10 Millionen Euro liegt. 
Wichtig: Es genügt schon, wenn Du bei den Mitarbeitern oder bei den Finanzen die Werte erreichst. Die ABDA stellt hierzu ein hilfreiches Schaubild zur Betroffenheitsprüfung bereit. Das solltest Du Dir als ersten Schritt ansehen.
 

Auch kleinere Apotheken können betroffen sein

Selbst, wenn Deine Apotheke formal kleiner ist, können Behörden Dich dennoch in die Pflicht nehmen – etwa dann, wenn Du eine kritische Rolle in der regionalen Versorgung spielst. 
Das kann zum Beispiel gelten bei: 
  • einer einzigen Notdienst-Apotheke in einer ländlichen Region
  • einer versorgungsrelevanten Schwerpunkt-Apotheke
  • einer Krankenhausapotheke
  • besonderen Aufgaben in der Heim- oder Patientenversorgung 
Alarmierende Zahlen: Leider haben die meisten haben die Frist verpasst.
 
Wenn Du das Thema bisher vor Dir hergeschoben hast, bist Du nicht allein – aber Du lebst gefährlich. Eine aktuelle Anfrage der Grünen-Fraktion an die Bundesregierung hat ein erschreckendes Bild gezeichnet: Kurz vor Ablauf der Meldefrist am 6. März 2026 hatten sich von den rund 29.500 betroffenen Unternehmen in Deutschland gerade einmal knapp 5.000 beim BSI registriert. Nicht einmal jeder sechste Betrieb hat also seine Hausaufgaben gemacht. 
 
Wer diese Frist verpasst hat, begeht eine Ordnungswidrigkeit. Das BSI kann ab sofort Zwangsgelder verhängen, um die Registrierung zu erzwingen. 
 

Warum Du Dich beim BSI melden musst

Bei der Registrierung hinterlegst Du Deine Stammdaten und Kontaktinformationen. Das hat einen sehr praktischen Grund: 
Wenn es eine akute Bedrohung gibt – zum Beispiel eine neue kritische Sicherheitslücke in einem Apotheken-Warenwirtschaftssystem, einer TI-nahen Anwendung, einem Rezeptscan-Prozess, einer Kassenanbindung oder einer anderen in Apotheken weit verbreiteten Software – kann das BSI die richtigen Ansprechpartner in Deiner Apotheke direkt und schnell warnen. 
Für Apotheken heißt das: Im Ernstfall kannst Du schneller reagieren, bevor der Betrieb stillsteht. 

Die konkreten Anforderungen: Was Du jetzt in Deiner Apotheke umsetzen musst 
Das Gesetz verlangt einen Katalog von 10 Cybersicherheits-Maßnahmen. 
Auf dem Papier klingt das technisch. In der Praxis lässt sich das sehr gut auf den Apotheken-Alltag übertragen. 

1. Risiken erkennen und bewerten 

Du musst systematisch analysieren, was passiert, wenn zentrale Systeme in Deiner Apotheke ausfallen. 
Dazu gehören zum Beispiel: 
  • Warenwirtschaftssystem
  • Kassensystem
  • Rezeptabrechnung
  • TI-Anbindung / E-Rezept
  • Kommissionierautomat
  • Scanner
  • Backoffice- und Buchhaltungsprozesse
  • Bestell- und Großhandelsschnittstellen 
Die zentrale Frage lautet: Was wäre für Deine Apotheke kritisch – und wie wahrscheinlich ist ein Angriff oder Ausfall? 
Halte das in einer einfachen, nachvollziehbaren Risiko-Übersicht fest.
 

2. Der Notfallplan für den Ernstfall 

Wenn Deine Systeme ausfallen, darf in der Apotheke kein Chaos entstehen. 
Du brauchst deshalb einen klaren IT-Notfallplan: 
  • Wer trennt betroffene Geräte vom Netz?
  • Wer informiert den IT-Betreuer?
  • Wer spricht mit dem Softwarehaus?
  • Wer meldet den Vorfall intern?
  • Wer übernimmt die Kommunikation nach außen?
  • Wer kümmert sich um die Meldung an das BSI? 
Unser Praxistipp: Hänge einen einseitigen Cyber-Notfallplan mit allen wichtigen Telefonnummern und Zuständigkeiten sichtbar im Backoffice oder Leitungsbereich auf.
 

3. Betrieb aufrechterhalten und Daten sichern 

Deine Apotheke muss auch dann arbeitsfähig bleiben, wenn die IT streikt. 
Das bedeutet konkret:
  • Sichere täglich alle wichtigen Daten
  • lagere mindestens eine Sicherung außer Haus oder getrennt vom Hauptsystem
  • verschlüssele die Datensicherungen
  • prüfe regelmäßig, ob sich die Daten auch wirklich wiederherstellen lassen 
Besonders wichtig in Apotheken: Es reicht nicht, dass „irgendwo ein Backup läuft“. Du musst wissen, ob es im Ernstfall auch wieder verfügbar ist: 
  • Artikel- und Lagerdaten
  • Abverkaufsdaten
  • Kundendaten
  • Rezept- und Abrechnungsinformationen
  • Kasseninformationen
  • Buchhaltungs- und Belegdaten 
Teste mindestens vierteljährlich, ob eine Wiederherstellung funktioniert. 
Und ganz entscheidend: Überlege Dir, wie Deine Apotheke kurzfristig ohne Computer weiterarbeiten kann. 
 

4. Sicherheit bei Deinen IT-Partnern und Dienstleistern 

Du bist auch für die Sicherheit Deiner Dienstleister verantwortlich. Dazu gehören in Apotheken oft: 
  • Softwarehäuser
  • IT-Betreuer
  • Cloud- und Hosting-Anbieter
  • Kassen- und TI-Dienstleister
  • Abrechnungs- oder Schnittstellenpartner 
Frage aktiv nach: 
  • Wie schützen sie ihre Systeme?
  • Wie gehen sie mit Sicherheitsvorfällen um?
  • Gibt es Notfall- und Wiederanlaufkonzepte?
  • Wie werden Updates und Sicherheits-Patches ausgerollt? 
Lass Dir möglichst schriftlich bestätigen, dass sie nach aktuellen Sicherheitsstandards arbeiten. 
 

5. Systeme aktuell halten 

Veraltete Software ist eines der größten Einfallstore für Angriffe. 
Stelle sicher, dass in Deiner Apotheke: 
  • Computer
  • Server
  • Kassen
  • Warenwirtschaft
  • Scanner
  • Netzwerk-Komponenten
  • WLAN-Technik
  • und alle angeschlossenen Programme regelmäßig und zuverlässig aktualisiert werden. 
Viele Systeme sind nämlich miteinander verzahnt. 
Bestimme intern eine verantwortliche Person, die monatlich prüft, ob alle sicherheitsrelevanten Updates eingespielt wurden. 
 

6. Schutzmaßnahmen regelmäßig kontrollieren 

Du musst mindestens einmal pro Jahr prüfen, ob Deine Schutzmaßnahmen noch funktionieren. 
 
Zum Beispiel: 
  • Läuft die Datensicherung wirklich sauber?
  • Sind Benutzerrechte noch korrekt vergeben?
  • Gibt es veraltete Zugänge?
  • Funktioniert die Wiederherstellung?
  • Sind Altgeräte oder alte Benutzerkonten noch aktiv?
  • Sind TI-nahe und sensible Systeme ausreichend geschützt? 
Das ist besonders wichtig, weil sich Prozesse oft schleichend verändern – etwa durch neue Mitarbeiter, neue Filialstrukturen, Softwarewechsel oder zusätzliche Schnittstellen. 
 

7. Dein Team schulen – denn der Mensch ist das wichtigste Sicherheits-System 

Deine Mitarbeiter sind der wichtigste Schutzschild. Führe zweimal im Jahr eine kurze Schulung durch: Wichtige Themen sind zum Beispiel: 
  • Wie erkenne ich Phishing-Mails?
  • Wie gehe ich mit verdächtigen Anhängen um?
  • Warum sind Patienten-, Rezept- und Abrechnungsdaten besonders sensibel?
  • Warum dürfen keine Passwort-Zettel am Bildschirm kleben?
  • Wie verhalte ich mich, wenn ein System plötzlich ungewöhnlich reagiert?
  • Setze außerdem sichere Passwörter durch – idealerweise eine Kombination aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen.
  • Noch besser: Verwende, wo möglich, einen Passwort-Manager. 

8. Daten verschlüsseln 

In Apotheken werden täglich hochsensible Daten verarbeitet – darunter auch besonders schützenswerte Informationen aus dem Gesundheitsumfeld. 
Darum gilt: Sensible Daten dürfen nicht offen oder ungeschützt gespeichert oder übertragen werden. 
Achte insbesondere darauf, dass: 
  • Datensicherungen verschlüsselt sind
  • mobile Geräte abgesichert sind
  • Dein Apotheken-WLAN sicher konfiguriert ist 
Mindestens WPA2, besser aktuelle Standards, sollten heute selbstverständlich sein. 
 

9. Wer darf was? Zugriffe sauber regeln 

Ein zentrales Prinzip der NIS-2-Anforderungen lautet: Jeder darf nur auf die Daten und Systeme zugreifen, die er für seine Aufgabe wirklich benötigt. 
 
In der Apotheke bedeutet das konkret: 
  • Jeder Mitarbeiter erhält ein eigenes Benutzerkonto
  • keine gemeinsamen Logins
  • keine geteilten Standard-Passwörter
  • Zugriffsrechte nach Funktion und Verantwortung
  • ausgeschiedene Mitarbeiter werden sofort deaktiviert 

10. Wichtige Zugänge doppelt absichern 

Ein Passwort allein reicht heute nicht mehr aus. 
 
Für besonders kritische Zugänge solltest Du in Deiner Apotheke eine Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) einführen. 
 
Das betrifft zum Beispiel: 
  • Fernzugriffe auf das Warenwirtschaftssystem
  • Administrator-Zugänge
  • Cloud- oder Hosting-Portale
  • zentrale E-Mail-Konten
  • externe Wartungszugänge
  • kritische Verwaltungs- und Backoffice-Zugänge 
Der zweite Faktor kann zum Beispiel sein: 
  • ein Code per App
  • eine Bestätigungsanfrage auf dem Smartphone
  • ein zusätzlicher Sicherheits-Token 
Das sind einige der wirksamsten und zugleich einfachsten Maßnahmen gegen Kontoübernahmen. 
 

Was passiert bei einem tatsächlichen Angriff? 

Wenn es brennt – etwa wenn Kriminelle Deine Daten sperren oder stehlen – musst Du sofort handeln.  
 
Das Gesetz schreibt strenge Fristen vor: 
  • Innerhalb von 24 Stunden musst Du dem BSI eine erste Warnung schicken.
  • Nach 72 Stunden folgt ein detaillierter Bericht zur Ursache und den ersten Gegenmaßnahmen.
  • Nach einem Monat musst Du einen vollständigen Abschlussbericht einreichen
  • Harte Strafen bei Nichtbeachtung 
Das Gesetz ist kein zahnloser Tiger.  
Neben Zwangsgeldern für eine versäumte Registrierung drohen bei Verstößen gegen die Schutzpflichten erhebliche Sanktionen. 
 
Für betroffene Apotheken können Bußgelder von bis zu: 
  • 7 Millionen Euro 
oder 
  • 1,4 Prozent des weltweiten Jahresumsatzes

verhängt werden – maßgeblich ist der höhere Betrag. 

In besonders gravierenden Fällen kann die Behörde außerdem: 
  • weitergehende Prüfungen anordnen 
  • Nachweise verlangen 
  • organisatorische und technische Maßnahmen einfordern 
Zudem haftest Du als Apothekenleiter persönlich, wenn Du Deine Pflichten vernachlässigst. 
 

Fazit: Mach Cybersicherheit zur Chefsache 

Cybersicherheit ist heute ein fundamentaler Teil Deiner pharmazeutischen Sorgfaltspflicht.  
Ein Ausfall legt nicht nur Deinen Betrieb lahm, sondern gefährdet die Versorgung und die sensiblen Daten Deiner Patienten. Sieh die neuen Vorgaben als Chance, Deine Apotheke krisenfest zu machen.  
 
Wenn Du die Frist am 6. März verpasst hast: Werde jetzt sofort aktiv, sprich mit Deinem IT-Betreuer und hole die Meldung beim BSI unverzüglich nach!