TL;DR
Seit dem 6. Dezember 2025 ist das NIS2UmsuCG ohne Übergangsfrist in Kraft. Kliniken und MVZ ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz müssen zehn Risikomanagement-Maßnahmen nach § 30 BSIG umsetzen, Vorfälle binnen 24 Stunden an das BSI melden und persönliche Haftung der Geschäftsführung einplanen. Bußgelder reichen bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).
Direkt zu: Geltungsbereich · Pflichten § 30 BSIG · Haftung der Geschäftsführung · Meldepflichten · Sanktionen · FAQ
Welche Einrichtungen im Gesundheitswesen fallen unter NIS-2?
Der Geltungsbereich von NIS-2 im Gesundheitswesen ist signifikant breiter als die bisherige KRITIS-Regulierung. Erfasst werden primär Anbieter von Gesundheitsdiensten, die eine kritische Funktion einnehmen, wobei die Einordnung in "wichtige" oder "besonders wichtige" Einrichtungen über die Unternehmensgröße erfolgt.
Besonders wichtige Einrichtungen gemäß § 28 BSIG sind jene mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz von mehr als 50 Mio. EUR bei einer Bilanzsumme von über 43 Mio. EUR. Wichtige Einrichtungen hingegen werden bereits ab 50 Mitarbeitenden oder einem Umsatz und einer Bilanzsumme von jeweils mehr als 10 Mio. EUR definiert — die Schwellen orientieren sich an der EU-Empfehlung 2003/361/EG.
In der Praxis bedeutet dies eine massive Ausweitung der regulierten Akteure. Während bisher etwa 4.500 KRITIS-Betreiber existierten, schätzt das BMI im Referentenentwurf zum NIS2UmsuCG die Gesamtzahl der betroffenen Einrichtungen auf rund 30.000, davon etwa 8.250 besonders wichtige und 21.600 wichtige Einrichtungen.
Besonders relevant ist die Auswirkung auf ambulante Strukturen: Erste Schätzungen gehen davon aus, dass bis zu 1.000 Medizinische Versorgungszentren (MVZ) neu vom BSIG erfasst werden, die zuvor nicht unter die KRITIS-Regulierung fielen.
Krankenhäuser mit 30.000 oder mehr vollstationären Fällen pro Jahr unterliegen einer doppelten Regulierungsschicht, da sie zusätzlich als Betreiber kritischer Anlagen nach BSI-KritisV Anlage 5 Nr. 2.1.1 gelten.
Wichtiger Hinweis: Pflegedienste, Pflegeheime und Langzeitpflege fallen nicht unter NIS-2, da sie nicht als Gesundheitsdienstleister im Sinne der Richtlinie (EU) 2011/24 gelten.
Welche konkreten Pflichten ergeben sich aus § 30 BSIG?
§ 30 Abs. 2 BSIG konkretisiert die Anforderungen an das Risikomanagement und fordert die Umsetzung von zehn spezifischen Maßnahmenbereichen. Diese dienen dazu, die Resilienz gegenüber Cyberangriffen zu erhöhen und die Verfügbarkeit kritischer Patientenversorgung sicherzustellen.
Die geforderten Bereiche umfassen:
- Durchführung systematischer Risikoanalysen
- Etablierung von Business Continuity Management mit getestetem Recovery (RTO/RPO)
- Management von Risiken in der Lieferkette
- Systematisches Schwachstellenmanagement
- Erstellung eines Kryptografie-Konzepts
- Durchführung von Awareness-Schulungen für Mitarbeitende
- Implementierung von Multi-Faktor-Authentifizierung (MFA)
- Sicherstellung einer sicheren Kommunikation
- Incident Handling und Krisenmanagement
- Überwachung der Wirksamkeit der Maßnahmen
Besonders hervorzuheben ist die Multi-Faktor-Authentifizierung. Während viele Maßnahmen als "angemessen" umschrieben werden, benennt § 30 Abs. 2 Nr. 10 BSIG die MFA explizit als zwingend erforderlich für administrative Konten und kritische Systeme.
In der Praxis zeigt sich jedoch eine erhebliche Lücke zwischen regulatorischer Forderung und technischem Ist-Zustand. In unseren Penetrationstests finden wir in Klinikumgebungen wiederholt ungepatchte Server mit Remote-Code-Execution-Lücken (CVSS 9.8) und SQL-Injections (CVSS 8.6). Die mittlere Zeit bis zum Einspielen eines Patches liegt laut unseren Analysen bei 55 Tagen, was ein erhebliches Risiko für die Compliance darstellt.
Wer haftet bei Verstößen gegen NIS-2?
Die NIS-2-Richtlinie verschiebt die Verantwortung für die Cybersicherheit weg von der rein technischen Ebene (IT-Leiter) hin zur strategischen Führungsebene. § 38 BSIG verpflichtet Mitglieder der Leitungsorgane nun persönlich dazu, Risikomanagement-Maßnahmen zu billigen und deren Umsetzung zu überwachen.
Konkret bedeutet das, dass die Geschäftsführung nicht mehr auf Berichte der IT vertrauen kann, sondern eine aktive Aufsichtspflicht übernimmt. Bei Pflichtverletzungen besteht eine persönliche Haftung nach gesellschaftsrechtlichen Grundsätzen.
Zusätzlich fordert § 38 Abs. 3 BSIG die regelmäßige Schulung der Geschäftsführung. Diese muss mindestens alle drei Jahre erfolgen und findet typischerweise in halbtägiger Form statt, um die Entscheidungsträger über aktuelle Bedrohungslagen und regulatorische Anforderungen zu informieren.
Wie funktioniert das neue Melderegime bei Sicherheitsvorfällen?
§ 32 BSIG etabliert ein striktes, dreistufiges Melderegime, um die Reaktionsfähigkeit des Staates bei großflächigen Angriffen zu verbessern. Die Meldestelle ist eine gemeinsame Einheit aus dem BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Die Fristen für Meldungen sind wie folgt definiert:
- Frühwarnung: Innerhalb von 24 Stunden nach Kenntniserlangung.
- Detaillierte Erstmeldung: Innerhalb von 72 Stunden.
- Abschlussbericht: Innerhalb eines Monats nach dem Vorfall.
Betreiber kritischer Anlagen müssen zudem detailliert dokumentieren, welche Auswirkungen der Vorfall auf die kritische Dienstleistung (z. B. Notaufnahme, OP-Betrieb) hatte.
Die Notwendigkeit dieses Systems wird durch die historische Datenlage unterstrichen. Der Hackerangriff auf die Uniklinik Düsseldorf im September 2020 verschlüsselte zahlreiche Server und zwang die Notaufnahme über Wochen zur Patientenumleitung; eine Notfallpatientin wurde in ein weiter entferntes Krankenhaus nach Wuppertal verlegt und verstarb dort.
Der BSI-Lagebericht 2024 dokumentiert die anhaltend hohe Bedrohungslage für KRITIS-Sektoren; das Gesundheitswesen ist dabei einer der meldeaktivsten Sektoren mit zahlreichen Vorfällen und Sicherheitsmeldungen über die Schnittstelle zur Gematik.
Welche Sanktionen drohen bei Nicht-Compliance?
Die Bußgeldrahmen von NIS-2 sind massiv gestiegen, um die Durchsetzung der Sicherheitsstandards zu gewährleisten. § 65 BSIG unterscheidet hierbei zwischen besonders wichtigen und wichtigen Einrichtungen.
| Einrichtungstyp | Maximales Bußgeld | Alternative (Umsatzbezogen) |
|---|---|---|
| Besonders wichtig | Bis zu 10 Mio. EUR | 2 % des weltweiten Jahresumsatzes |
| Wichtig | Bis zu 7 Mio. EUR | 1,4 % des weltweiten Jahresumsatzes |
Neben den Hauptbußgeldern gibt es spezifische Strafen für administrative Versäumnisse. Eine verspätete oder fehlende Registrierung beim BSI kann mit bis zu 500.000 EUR geahndet werden. Verstöße gegen die Dokumentationspflichten können Bußgelder von bis zu 1 Mio. EUR nach sich ziehen.
Die finanzielle Belastung durch Angriffe ist oft höher als die Bußgelder. Laut dem IBM Cost of a Data Breach Report 2024 liegen die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitswesen im einstelligen Millionen-USD-Bereich (2024 rund 9,8 Mio. USD); das Gesundheitswesen führt diese Statistik seit 2011 durchgehend an.
Wie erfolgt die praktische Umsetzung in der Klinik?
Die Umsetzung von NIS-2 erfordert eine Kombination aus organisatorischen Maßnahmen (ISMS) und technischen Kontrollen. Viele Kliniken nutzen hierfür den branchenspezifischen Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft, der 168 Maßnahmen (Muss-, Soll- und Kann-Anforderungen) sowie 37 Management-Anforderungen definiert.
Ein kritischer Punkt ist die technische Resilienz. In unseren Red-Team-Übungen beobachten wir, dass sich Angreifer nach dem Erstzugang in unter 30 Minuten lateral durch Netzwerke bewegen. Techniken wie Kerberoasting und Pass-the-Hash liefern in uns bekannten Krankenhaus-AD-Umgebungen regelmäßig Domain-Admin-Rechte, was die Notwendigkeit einer strikten Netzwerksegmentierung unterstreicht.
Zur Finanzierung der Maßnahmen bietet das Krankenhauszukunftsgesetz (KHZG) eine Grundlage, da es Krankenhäuser verpflichtet, mindestens 15 Prozent der beantragten Fördermittel in Informationssicherheit zu investieren.
Zukünftig wird die Regulierung durch das KRITIS-Dachgesetz (voraussichtlich März 2026) erweitert. Dieses wird NIS-2 um Aspekte der physischen Sicherheit, des Krisenmanagements und der Resilienz gegen Naturkatastrophen ergänzen.
FAQ: NIS-2 im Gesundheitswesen
Wann musste die Registrierung beim BSI erfolgen? Die ursprüngliche Registrierungsfrist war der 6. März 2026. Da das BSI-Registrierungsportal jedoch erst am 6. Januar 2026 öffnete, kam es zu rechtlich umstrittenen Verlängerungen bis zum 6. April 2026.
Wie oft müssen Sicherheitsaudits durchgeführt werden? Gemäß § 39 BSIG (2025) müssen Betreiber kritischer Anlagen alle drei Jahre nachweisen, dass sie die Risikomanagement-Maßnahmen umgesetzt haben. Dies kann durch Sicherheitsaudits, Prüfungen oder eine ISO-27001-Zertifizierung erfolgen.
Gilt NIS-2 auch für kleine Arztpraxen? In der Regel nein. Die Schwelle für "wichtige Einrichtungen" liegt bei 50 Mitarbeitenden oder einem Umsatz/einer Bilanzsumme von über 10 Mio. EUR. Kleinere Praxen fallen meist nicht unter dieses Regime, sofern sie nicht als Zulieferer für eine kritische Einrichtung spezifische Anforderungen auferlegt bekommen.
Was ist mit dem Recovery-Zeitraum (RTO/RPO)? § 30 Abs. 2 BSIG fordert ein getestetes Recovery im Rahmen des Business Continuity Managements. Das bedeutet, dass Kliniken präzise definieren müssen, wie schnell (Recovery Time Objective) und mit welchem Datenstand (Recovery Point Objective) kritische Systeme nach einem Ausfall wieder verfügbar sein müssen.
Welche Rolle spielt die Gematik bei NIS-2? Die Gematik fungiert als zentrale Schnittstelle für die digitale Infrastruktur im Gesundheitswesen. Sicherheitsmeldungen werden oft im Austausch mit der Gematik an das BSI weitergeleitet, um sektorübergreifende Bedrohungen schneller zu erkennen.
Nächste Schritte zur NIS-2-Compliance
Die Umsetzung von NIS-2 ist kein rein technisches Projekt, sondern eine strategische Notwendigkeit für die Patientensicherheit. Wir empfehlen folgendes Vorgehen:
- Einordnung prüfen: Bestimmen Sie, ob Ihre Einrichtung als "wichtig" oder "besonders wichtig" gemäß § 28 BSIG eingestuft wird.
- Gap-Analyse: Gleichen Sie Ihren aktuellen Sicherheitsstand mit den zehn Maßnahmenbereichen des § 30 BSIG ab.
- Management-Commitment: Stellen Sie sicher, dass die Geschäftsführung über ihre persönliche Haftung und die notwendigen Schulungen informiert ist.
- Technische Validierung: Führen Sie Penetrationstests durch, um reale Schwachstellen (z. B. ungepatchte Server oder AD-Fehlkonfigurationen) zu identifizieren, bevor es Angreifer tun.
Für eine detaillierte Unterstützung bei der Implementierung eines ISMS oder der Durchführung von Sicherheitsaudits stehen wir Ihnen zur Verfügung.
Jetzt Beratung zur NIS-2-Umsetzung anfragen
Hinweis: Dieser Beitrag bietet eine fachliche Einordnung, ersetzt jedoch keine Rechtsberatung. Für verbindliche Einschätzungen konsultieren Sie bitte Ihren Rechtsbeistand.
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
3 Publikationen
- Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
