Die NIS-2-Richtlinie im Gesundheitswesen

10. Dezember 2025

Wer ist betroffen? Welche Konsequenzen ergeben sich hieraus?

Die NIS-2-Richtlinie der Europäischen Union bringt neue Regelungen im Bereich der Cybersicherheit mit sich. Eigentlich hätten die EU-Staaten NIS-2 bis zum 17. Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland ist dies mit etwas Verzögerung nun erfolgt: Am 6. Dezember 2025 ist das Gesetz „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ in Kraft getreten. In diesem Beitrag wird erläutert, welche Einrichtungen im Gesundheitswesen vom neuen Rechtsrahmen betroffen sind und welche Verpflichtungen zur Stärkung der Cybersicherheit sich daraus ergeben.
Die Bedrohung durch Cyberangriffe erreichte im vergangenen Jahr ein noch nie dagewesenes Ausmaß, wie bereits in unserem Bericht zum jährlichen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervorgehoben wurde. Als Reaktion auf diese angespannte Situation wurde durch die EU die NIS-2-Richtlinie verabschiedet, welche die ursprüngliche NIS-Richtlinie von 2016 ablöst. „NIS“ steht übrigens für Netz- und Informationssicherheit. Ziel ist es, ein einheitlich hohes Cybersicherheitsniveau in allen Mitgliedsstaaten der EU sicherzustellen. Betroffene Einrichtungen werden dabei zu konkreten Maßnahmen verpflichtet, um dieses Ziel zu erreichen.

Anwendungsbereich im Gesundheitswesen

Der Anwendungsbereich der NIS-2-Umsetzung in Deutschland erstreckt sich auf deutlich mehr Sektoren und Unternehmen als bisher. Im Gesundheitswesen wird der Adressatenkreis damit erheblich erweitert. Grundlage für die Betroffenheit ist das novellierte BSI-Gesetz (BSIG) in Verbindung mit der BSI-Kritisverordnung (BSI-KritisV). 

Folgende Kategorien von Einrichtungen im Gesundheitssektor fallen nun unter die NIS-2-Regelungen, sofern sie definierte Schwellenwerte erreichen: 
  • Betreiber kritischer Anlagen nach § 56 Absatz 4 Satz 1 BSIG in Verbindung mit § 6 BSI-KritisV: Krankenhäuser mit einer vollstationären Fallzahl von mindestens 30.000 pro Jahr. Apotheken fallen ebenfalls unter diese Kategorie, sobald sie pro Jahr 4.650.000 Packungen abgegeben haben.
  • Besonders wichtige Einrichtungen nach § 28 Absatz 1 Nr. 4 BSIG: Ab mindestens 250 Mitarbeiter oder einem Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro.
  • Wichtige Einrichtungen nach § 28 Absatz 2 Nr. 3 BSIG: Ab mindestens 50 (bis maximal 249) Mitarbeiter oder einem Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro.

Cybersicherheit wird zur Chefsache

Die Geschäftsleitung trägt bei besonders wichtigen und wichtigen Einrichtungen die direkte Verantwortung für die Einhaltung der Cybersicherheitsanforderungen und kann grundsätzlich im Falle von Verstößen persönlich haftbar gemacht werden (§ 38 Absatz 2 BSIG). Dies erfordert eine aktive Auseinandersetzung mit dem Thema, um sicherzustellen, dass die notwendigen Sicherheitsmaßnahmen ordnungsgemäß umgesetzt werden. Zudem müssen IT-Risikomanagementmaßnahmen durch die Geschäftsleitung überwacht werden. Eine bloße Delegation dieser Aufgaben an Mitarbeiter ist dabei nicht vorgesehen. Stattdessen wird Cybersicherheit zur zentralen Führungsaufgabe und somit zur Chefsache erklärt.

Für besonders wichtige als auch wichtige Einrichtungen im pharmazeutischen und medizinischen Bereich ergeben sich unter anderem nachfolgende Pflichten:
  • Registrierungspflicht nach § 33 BSIG: Nachdem Einrichtungen erstmals oder erneut in den Anwendungsbereich fallen, ist spätestens nach drei Monaten, eine Registrierung bei einer entsprechenden Meldestelle durchzuführen. Wichtige und besonders wichtige Einrichtungen müssen sich innerhalb dieser Frist zunächst beim digitalen Dienst „Mein Unternehmenskonto“ anmelden. Ab dem 06.01.2026 stellt das BSI ein Portal zur Verfügung, bei welchem sodann eine erneute Registrierung erforderlich wird.
  • Geeignete Risikomanagementmaßnahmen nach § 30 BSIG: Technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen, sollen ergriffen werden, sodass unter anderem die Verfügbarkeit, Integrität und Vertraulichkeit von informationstechnischen Systemen, Komponenten und Prozessen sichergestellt werden kann. Diese Maßnahmen werden ausführlich in § 30 Absatz 2 BSIG-neu benannt. Hierunter fällt beispielsweise ein Backup-Management, Konzepte für Zugriffskontrollen oder Multi-Faktor-Authentifizierung. Die Umsetzung der Maßnahmen sowie dessen Überwachung fällt in den Zuständigkeitsbereich der Geschäftsleitung.
  • Erweiterte Meldepflichten nach § 32 BSIG: An eine vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe gemeinsam eingerichtete Meldestelle bestehen verschiedene Meldepflichten. So ist beispielsweise ein erheblicher Sicherheitsvorfall nach Kenntniserlangung unverzüglich zu melden, spätestens jedoch nach 24 Stunden. Hierbei soll angegeben werden, ob der Verdacht besteht, dass der Vorfall auf einer rechtwidrigen oder böswilligen Handlung zurückzuführen ist und ob grenzüberschreitende Auswirkungen entstanden sein könnten. Anschließend ist unverzüglich, spätestens innerhalb von 72 Stunden, eine Bestätigung des Vorfalls sowie eine Bewertung des Vorfalls in Bezug auf den Schweregrad und dessen Auswirkungen zu veranlassen. Weiterhin muss nach einem solchen Vorfall eine Schlussmeldung erfolgen.
  • Unterrichtungspflicht nach § 35 BSIG: Bei einem erheblichen Sicherheitsvorfall kann das Bundesamt anordnen die Empfänger ihrer Dienste unverzüglich über den Vorfall zu unterrichten.
  • Schulungspflichten nach § 38 Absatz 3 BSIG: Die Geschäftsleistung sollte an regelmäßigen Schulungen im Bereich Sicherheit in der Informationstechnik teilnehmen.
Neben der persönlichen Haftung der Geschäftsleitung bei unzureichender Umsetzung des Gesetzes existieren zudem Sanktionen zum Beispiel in Form von Bußgeldern.

Fazit

Mit dem Inkrafttreten der neuen gesetzlichen Vorgaben gelten für Einrichtungen im Gesundheitssektor nun verbindliche Anforderungen an die Cybersicherheit. Es ist grundsätzlich begrüßenswert, dass durch diese Maßnahmen eine stärkere Sensibilisierung für das Thema Cybersicherheit geschaffen wird. Dies trägt dazu bei, das Bewusstsein für potenzielle Risiken zu erhöhen und die Sicherheit zu verbessern. Klar ist jedoch auch, dass die Umsetzung nicht ohne Aufwand erfolgen kann. Angesichts der gesetzlichen Fristen besteht nun die zentrale Herausforderung darin, die geforderten Maßnahmen zeitnah und kontinuierlich umzusetzen.


Letzte Aktualisierung: 10.12.2025 (lip)
Bildnachweise: © JPEG - www.stock.adobe.com 

Zurück
Das könnte für Sie auch interessant sein:

Werkstudent gesucht (m/w/d)

14. März 2025
Die DeltaMed Süd ist eine deutschlandweit tätige Unternehmensberatung im Gesundheitswesen. Zur Verstärkung unseres Teams suchen wir ab sofort für unser Büro in Ludwigsburg eine kompetente Unterstützung im Bereich Office-Management auf Werkstudentenbasis (ca. 8 Std./Woche).

Änderung der Coronavirus-Testverordnung

12. Februar 2025
Verlängerung der Aufbewahrungsfrist

Elektronischer Rechnungsversand und Datenschutz

20. Dezember 2024
Datenschutzkonformes Vorgehen im Gesundheitswesen
Show More