Unternehmen im Gesundheits- und Medizinsektor gehören zu den kritischen Infrastrukturen, die durch die NIS‑2-Richtlinie (EU 2022/2555) unmittelbar betroffen sind. Ziel der EU ist es, das gemeinsame Niveau der Cybersicherheit in Europa zu erhöhen, indem wesentliche und wichtige Einrichtungen verpflichtet werden, umfassende Risikomanagement-Maßnahmen umzusetzen, Sicherheitsvorfälle zu melden und mit Behörden zusammenzuarbeiten.

Im Folgenden erhalten Sie einen praxisnahen Überblick über die Auswirkungen von NIS‑2 auf den medizinischen Sektor. Diese Informationen ersetzen keine individuelle Rechtsberatung, geben jedoch Orientierung, welche Unternehmen besonders aufmerksam sein sollten. Weiterführende Informationen finden sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

 

1. Was ist die NIS‑2-Richtlinie und warum betrifft sie medizinische Unternehmen?

Die NIS‑2-Richtlinie ersetzt die ursprüngliche NIS‑Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen erheblich. Sie gilt für „wesentliche“ und „wichtige“ Einrichtungen in insgesamt 18 Sektoren, darunter Gesundheit, Pharma und medizinische Versorgung.

Medizinische Unternehmen gelten als kritische Infrastruktur, da Cyberangriffe direkte Auswirkungen auf die öffentliche Gesundheit haben können. Beispiele: Ransomware-Attacken auf Krankenhaus-IT, Manipulation von Laborinformationen, Angriffe auf vernetzte Medizingeräte oder auf Telemedizinplattformen. Die NIS‑2-Richtlinie schreibt vor, dass diese Risiken systematisch bewertet und minimiert werden.

In Deutschland wird NIS‑2 durch das NIS‑2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht übertragen. Besonders wichtig ist, dass der Gesundheitssektor in Anhang I der Richtlinie als hochkritisch gilt – dies bedeutet strenge Aufsicht und empfindliche Sanktionen bei Nicht-Einhaltung.

 

2. Welche medizinischen Unternehmen sind betroffen?

Die Betroffenheit hängt von Größe, Umsatz und Rolle in der Versorgung ab. Grob lassen sich drei Kategorien unterscheiden:

Besonders wichtige Einrichtungen (Anhang I):

• Krankenhäuser, Kliniken und spezialisierte medizinische Zentren
• Große pharmazeutische Hersteller
• Hersteller von Medizinprodukten oder In-vitro-Diagnostika
  Kriterien: > 250 Mitarbeiter oder > 50 Mio. € Jahresumsatz oder > 43 Mio. € Bilanzsumme
  Folge: strenge Aufsicht, höhere Bußgelder, erweiterte Reportingpflichten

Wichtige Einrichtungen (Anhang II):

• Mittelgroße Labore
• Telemedizinplattformen
• MVZ oder größere Arztpraxen
  Kriterien: > 50 Mitarbeiter oder > 10 Mio. € Jahresumsatz oder > 10 Mio. € Bilanzsumme
  Folge: NIS‑2-Pflicht, aber etwas weniger strenge Kontrollen

Weitere indirekt betroffene Unternehmen:

• Softwareanbieter für medizinische Geräte oder Krankenhaus-IT
• Lieferanten kritischer medizinischer Dienstleistungen
• Startups im digitalen Gesundheitsbereich
  Auch wenn sie die Schwellenwerte nicht direkt überschreiten, sind sie durch Lieferkettenanforderungen verpflichtet, Mindeststandards einzuhalten.

 

3. Kernpflichten nach NIS‑2 für medizinische Unternehmen

Bereich	Spezifische Anforderungen	Relevanz für den Medizinsektor
Risikomanagement	Jährliche Risikoanalysen, Implementierung technischer und organisatorischer Maßnahmen, Supply-Chain-Sicherheit	Schutz von Krankenhaus-IT, Medizingeräten, Laborinformationssystemen und Telemedizinplattformen
Incident-Reporting	Meldung signifikanter Sicherheitsvorfälle innerhalb 24 Std., detaillierter Bericht innerhalb 72 Std., finaler Bericht nach 1 Monat an BSI	Schnelle Reaktion auf Cyberangriffe, z. B. Ransomware, Datenlecks, Manipulation von Geräten
Geschäftsführungshaftung	Vorstände haften persönlich bis 2 % des globalen Umsatzes oder 10 Mio. € Bußgeld; Schulungspflicht	Verantwortung für IT-/Cybersecurity-Strategie; Nachweis gegenüber Aufsichtsbehörden
Supply-Chain-Sicherheit	Prüfung von Lieferanten, Risikoanalyse kritischer Software/Hardware, Sicherheitszertifikate	Sicherstellung, dass Hersteller von Medizingeräten oder IT-Dienstleister keine Schwachstellen einbringen
Zusammenarbeit & Kommunikation	Meldestellen, Austausch mit BSI und EU-CyCLONe; Empfehlungen zur Zertifizierung nach ISO 27001	Koordination bei größeren Vorfällen, Aufbau von Frühwarnsystemen für Patienten- und Datensicherheit

4. Praktische Umsetzungsschritte

Die Umsetzung kann 10–15 Monate beanspruchen und sollte strukturiert erfolgen:

1. Betroffenheitsprüfung: Analyse, ob Schwellenwerte und Anhangskriterien erfüllt werden.
2. Gap-Analyse: Identifikation von IT-, OT- und medizinischen Systemen, die geschützt werden müssen.
3. Risikobewertung: Nutzung von Frameworks wie NIST oder ISO 27001; Fokus auf Krankenhaus-IT, Medizingeräte, Labor- und Telemedizin-Systeme.
4. Maßnahmenumsetzung:
   • Technisch: Firewalls, IDS/IPS, Multi-Faktor-Authentifizierung, Verschlüsselung, Patchmanagement
   • Organisatorisch: Incident-Response-Plan, Schulungen, Lieferanten-Audits
   • Personal: Ernennung eines CISO/Cybersicherheitsbeauftragten, Awareness-Programme für Mitarbeiter
5. Monitoring & Reporting: Echtzeit-Überwachung, automatisierte Meldungen an BSI
6. Audit & Zertifizierung: ISO 27001 oder branchenspezifische Zertifizierungen; regelmäßige interne Audits

 

5. Häufige Fallstricke und Kosten

• Fallstricke: Unterschätzung der Lieferkettenrisiken, verspätete Meldung von Vorfällen, fehlende Schulungen für Ärzte und Pflegepersonal.
• Kosten: Initial 50.000–400.000 €, laufend 10–20 % für Wartung, Monitoring und Schulungen; Fördermöglichkeiten z. B. durch EU-Horizon-Fonds oder nationale Programme.
• Sanktionen: Bußgelder bis zu 10 Mio. € oder 2 % des Umsatzes; persönliche Haftung für Geschäftsführung.

 

NIS‑2 sicher umsetzen – speziell für medizinische Unternehmen

Medizinische Unternehmen müssen ihre Prozesse, sowie ihre IT-, OT- und Medizingeräte-Systeme auf ein neues Sicherheitsniveau bringen. Neben der gesetzlichen Pflicht schützt dies auch Patienten, Daten und den Ruf des Unternehmens. Eine strukturierte Umsetzung nach Risikobewertung, gepaart mit Schulungen, Lieferantenkontrolle und Monitoring, ist entscheidend.

Wir von tect4net beraten praxisnah und branchenspezifisch, um NIS‑2-konforme Strukturen fristgerecht und ohne Unterbrechung des Betriebs zu etablieren. Unser Infoblatt zu NIS‑2 im Gesundheitssektor: https://www.tec4net.com/web/wp-content/uploads/2025/01/tec4net_Infoblatt_NIS-2.pdf

 

Unser Angebot für Sie:

• NIS-2-Betroffenheitsprüfung und Gap-Analyse
• Erstellung Ihres Risikomanagement- und Sicherheitskonzepts
• Unterstützung bei Incident-Reporting und Lieferkettensicherheit
• Vorbereitung auf BSI-/BNetzA-Prüfungen und KRITIS-Nachweise
• Schulungen für Geschäftsführung und Technik-Teams

 

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu DSGVO und Website-Compliance.

NIS-2-Anforderungen sicher umsetzen – mit der tect4net GmbH
https://www.tec4net.com/web/it-security/

Fragen und Antworten zu NIS-2 und Kritis
https://www.tec4net.com/web/category/wissen-nis-2/

NIS-2-Betroffenheitsprüfung – tec4net NIS-2 KRITIS Entscheidungsdiagramm
https://tec4net.com/public/it-security/NIS-2-KRITIS-Entscheidungsdiagramm.pdf

Anlage 1: Sektoren besonders wichtiger und wichtiger Einrichtungen
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/NIS-2-Sektoren_Anlage-1.html

Anlage 2: Sektoren wichtiger Einrichtungen
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/NIS-2-Sektoren_Anlage-2.html

Management Blitzlicht: NIS-2-Richtlinie ein kompakter Überblick
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Management_Blitzlicht/Management_Blitzlicht_NIS-2.html

Die NIS-2-Richtlinie (EU) 2022/2555 des Europäischen Parlaments
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555

Openkritis – NIS2-Umsetzungsgesetz
https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html

Bundesverband Medizintechnologie (BVMed) Informationsblatt zu Cybersicherheit und NIS‑2
https://www.bvmed.de/download/cybersicherheitsrecht-themenblaetter-nis2.pdf