Erscheinungsdatum – 09.03.2026
Cyberangriffe im Gesundheitswesen sind längst kein Randthema mehr: Sie treffen nicht nur Daten, sondern im Zweifel Versorgungsprozesse – von OP-Planung über Labor- und Diagnostiksysteme bis zur Medizintechnik-Anbindung. Genau hier setzt NIS2 an: Patientensicherheit und Betriebsfähigkeit werden als Schutzgüter mitgedacht.
Das deutsche Umsetzungsrecht bündelt die Anforderungen im BSI-Gesetz (BSIG). Es fordert ein systematisches Risikomanagement mit klaren Verantwortlichkeiten, dokumentierten Entscheidungen, belastbaren Prozessen für Incident Response und Business Continuity sowie kontrollierte Lieferketten (z. B. IT-Dienstleister, Remote-Wartung, Cloud).
Mit dem NIS2-Umsetzungsgesetz (Veröffentlichung im Bundesgesetzblatt am 05.12.2025) sind die neuen Anforderungen in Deutschland verbindlich.
Wichtig für Betroffene: Die Registrierungsfrist endete am 06.03.2026.
Welche Einrichtungen sind vom NIS2-Umsetzungsgesetz betroffen?
- Wichtige Einrichtungen
ab 50 Mitarbeitenden oder einem Jahresumsatz > 10 Mio. € und Jahresbilanzsumme > 10 Mio. €, z. B. Medizinische Versorgungszentren, Akutkrankenhäuser der Grund- und Regelversorgung, Schwerpunktkliniken, Rehakliniken - Betreiber kritischer Anlagen (KRITIS)
Krankenhäuser mit ≥ 30.000 vollstationären Behandlungsfällen/Jahr, z. B. Akutkrankenhäuser der Maximalversorgung
Apotheken mit ≥ 4.650.000 abgegebenen Packungen/Jahr - Wichtige Ausnahmen
Häusliche Pflegedienste und stationäre Pflegeeinrichtungen sind explizit ausgenommen
Tipp: Führen Sie die Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch, um zu beurteilen, ob Ihre Einrichtung vom NIS2-Umsetzungsgesetz betroffen ist.
Praxis-Webinar: NIS2 im Gesundheitswesen – was jetzt konkret zu tun ist
In unserem praxisorientierten Webinar zur NIS2 erhalten Sie eine klare Orientierung, welche Anforderungen die NIS2 mitbringt und was Sie konkret tun können, um diese aufwandsarm und schlank umzusetzen.
Das Webinar richtet sich an folgende Teilnehmende:
- Geschäftsführer/innen, Krankenhausleitungen, Praxismanager/innen
- Mitarbeitende der IT
- IT-Sicherheitsbeauftragte
- Datenschutzbeauftragte und Datenschutzmultiplikatoren
Folgende Inhalte stehen im Fokus:
- Durchführung einer GAP-Analyse
- Einhalten von Meldefristen und Meldewegen
- Technische Mindestmaßnahmen (z. B. MFA, Verschlüsselung, Backup, Incident-Handling)
- Umsetzungsplan für Risikomanagement-Maßnahmen & Nachweisstrategie
👉 Jetzt anmelden, damit aus NIS2 kein Projekt wird, das „irgendwann“ beginnt, sondern jetzt sauber aufgesetzt wird.
Autorin: Gerda Reshetnykov