NIS-2 im Gesundheitswesen: Jetzt den Weg zur Compliance gehen

NIS-2 im Gesundheitswesen

Die Cybersicherheitsanforderungen im Gesundheitswesen nehmen Fahrt auf. Seit dem 6. Dezember 2025 erweitert das NIS-2-Umsetzungsgesetz den Kreis der regulierten Einrichtungen deutlich. Betroffen sind nun nicht nur klassische KRITIS-Betreiber, sondern viele Akteure, die medizinische Versorgung, Labordienstleistungen oder die Herstellung von Arzneimitteln und Medizinprodukten sicherstellen.

Ihr Unternehmen muss jetzt konkrete Sicherheitsmaßnahmen umsetzen und sich beim BSI registrieren, um den neuen gesetzlichen Anforderungen zu genügen. In einem Sektor, in dem Daten, Geräte und Prozesse direkt die Patientenversorgung beeinflussen, kommt es besonders auf Klarheit und Tempo an. Wer früh handelt, schafft Sicherheit, schützt Patienten und bleibt regulatorisch auf dem richtigen Weg.

Wen NIS-2 im Gesundheitswesen erfasst

NIS-2 richtet sich nicht mehr ausschließlich an klassische KRITIS-Betreiber. Das Gesetz erfasst nun auch wichtige Einrichtungen (wE) und besonders wichtige Einrichtungen (bwE).

Im Gesundheitssektor betrifft das insbesondere:

• Krankenhäuser
• medizinische Versorgungszentren
• Labore
• pharmazeutische Hersteller
• Hersteller bestimmter Medizinprodukte

Entscheidend ist Ihre konkrete Tätigkeit und die Größe Ihres Unternehmens. Als besonders wichtige Einrichtung gelten Sie, wenn Sie mindestens 250 Mitarbeitende beschäftigen oder einen Jahresumsatz von mehr als 50 Millionen Euro bei einer Bilanzsumme über 43 Millionen Euro erzielen. Als wichtige Einrichtung gilt Ihr Unternehmen, wenn es mindestens 50 Mitarbeitende beschäftigt oder einen Umsatz von über 10 Millionen Euro bei einer Bilanzsumme über 10 Millionen Euro erreicht.

Damit stehen nicht nur große Kliniken im Fokus, sondern auch mittelgroße Einrichtungen fallen unter die neuen Vorgaben, sobald sie die gesetzlichen Schwellenwerte erreichen.

Wichtige Abgrenzungen im Gesundheitsbereich

Einrichtungen der Langzeitpflege und Pflegedienste

Einrichtungen der Langzeitpflege sowie ambulante Pflegedienste und Pflegeheime fallen grundsätzlich nicht unter NIS-2. Grundlage ist Artikel 1 Absatz 3 Buchstabe a der EU-Patientenmobilitätsrichtlinie sowie Erwägungsgrund 14 der Richtlinie (EU) 2011/24.

Diese Einrichtungen erbringen Dienstleistungen, deren primäres Ziel darin liegt, Personen bei alltäglichen Verrichtungen zu unterstützen, zum Beispiel häusliche Pflegedienste, betreute Wohnformen oder klassische Pflegeheime.

Solche Einrichtungen gelten nicht als Gesundheitsdienstleister im Sinne der NIS-2-Systematik und unterliegen nicht der Regulierung nach dem BSIG. Eine Registrierung ist daher in der Regel nicht erforderlich.

Prüfen Sie jedoch Ihr Leistungsspektrum genau: Sobald Sie zusätzlich medizinische Leistungen mit eigenständiger Versorgungsrelevanz erbringen, kann eine Einstufung als wichtige oder besonders wichtige Einrichtung nach NIS-2 notwendig werden.

Krankenkassen

Gesetzliche Krankenkassen müssen sich nur registrieren, wenn sie Betreiber einer kritischen Anlage im Sinne der BSI-KritisV sind. Maßgeblich sind die Schwellenwerte für den Sektor „Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende“.

Wer diese Schwellenwerte nicht erreicht, gilt weder als KRITIS-Betreiber noch als NIS-2-regulierte Einrichtung. In diesem Fall bestehen keine Pflichten nach dem BSIG.

Rettungsdienste

Rettungsdienste erbringen medizinische Leistungen zur Beurteilung, Stabilisierung und Wiederherstellung des Gesundheitszustands. Sie handeln unmittelbar gegenüber Patientinnen und Patienten und sind ein zentraler Bestandteil der gesundheitlichen Versorgung.

Darüber hinaus setzen sie staatlich geregelte Gesundheitsberufe ein, insbesondere Ärztinnen und Ärzte sowie Notfallsanitäterinnen und Notfallsanitäter nach dem Notfallsanitätergesetz (NotSanG).

Aufgrund dieser medizinischen Ausrichtung und der unmittelbaren Patientenversorgung gelten Rettungsdienste als Gesundheitsdienstleister im Sinne des BSIG.

Registrierungspflicht: Der Weg führt über das BSI

Wenn Ihr Unternehmen unter NIS-2 fällt, müssen Sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Die Registrierung erfolgt elektronisch über das vorgesehene Portal.

Sie übermitteln dabei unter anderem:

• Name und Rechtsform
• Kontaktdaten
• öffentliche IP-Adressbereiche
• Sektorzuordnung
• Angaben zu relevanten Dienstleistungen

Mit dieser Registrierung starten Ihre formalen Pflichten.

Frist 6.3.2026: Jetzt handeln

Für bereits betroffene Einrichtungen endet die maßgebliche Übergangsfrist am 6. März 2026. Bis zu diesem Datum müssen Sie sich registrieren. Versäumen Sie die Registrierung, kann ein Bußgeld von bis zu 500.000 Euro drohen.

Prüfen Sie daher jetzt, ob Ihr Unternehmen unter NIS-2 fällt, und bestimmen Sie Ihre Einstufung klar. Wer früh handelt, gewinnt Sicherheit und Planungsspielraum.

Jetzt ist der richtige Zeitpunkt, Richtung Klarheit zu gehen. Die Anforderungen sind komplex, die Frist verbindlich und die Sanktionen erheblich.

Den sicheren Weg wählen und mit RÖDL Klarheit erreichen

Kontaktieren Sie uns jetzt für eine fundierte und rechtssichere NIS-2-Betroffenheitsanalyse durch einen Juristen. Sichern Sie Ihr Unternehmen rechtzeitig ab und setzen Sie die Anforderungen strukturiert um. Für eine kostenlose Ersteinschätzung können Sie vorab auch unsere „NIS-2 Betroffenheitsanalyse für die Gesundheitswirtschaft und Forschung“ auf unserer Homepage nutzen.

Gemeinsam ebnen wir Ihren sicheren Weg zur NIS-2-Compliance.

Weitere Informationen zu NIS-2 und unserem Beratungsangebot finden Sie auf roedl.com/nis2.

Aus dem Newsletter
„Gesundheits- und Sozialwirtschaft“      Weitere Informationen zur Umsetzung
der NIS-2-Richtlinie