Security

NIS2 im Gesundheitswesen: Was KRITIS-Betreiber jetzt wissen müssen

28. Okt. 2025 | 5 min.

Die überarbeitete EU-Richtlinie NIS2 verschärft die Anforderungen an die Cybersicherheit drastisch. Mit dem deutschen Umsetzungsgesetz (NIS2UmsuCG) werden diese Vorgaben verbindlich – und erhöhen den Druck auf KRITIS-Betreiber. Besonders das Gesundheitswesen muss seine Cyber-Resilienz jetzt neu bewerten und gezielt stärken, da die neuen Regeln deutlich mehr Akteure erfassen und das persönliche Haftungsrisiko der Geschäftsleitung steigt.

Künftig fallen auch nicht-klassifizierte KRITIS-Unternehmen automatisch unter die neue Regulierung.

NIS2UmsuCG: Drei neue Kategorien definieren Ihre Pflichten

Das deutsche Umsetzungsgesetz unterscheidet nun drei Hauptgruppen. Ihre Einstufung bestimmt den Umfang der Pflichten und Kontrollen. Die bisherige Unterscheidung in „KRITIS“ entfällt:

Kritische Anlagen (Top-Ebene): Große Einrichtungen mit zentraler Bedeutung – z. B. Kliniken mit über 30.000 vollstationären Fällen pro Jahr.
Besonders wichtige Einrichtungen (BWE): Unternehmen mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz von über 50 Mio.  €, die in gesundheitsbezogenen Sektoren tätig sind.
Wichtige Einrichtungen (WE): Mittelständische Organisationen mit mehr als 50 Beschäftigten oder einem Umsatz von über 10 Mio. €, sofern sie zu den relevanten Sektoren zählen.

Die erfassten Sektoren: Wer im Healthcare-Bereich ist NIS2-pflichtig?

NIS2 erfasst nahezu die gesamte Versorgungskette im Gesundheitswesen. Dazu zählen Krankenhäuser und Universitätskliniken – die häufig als Kritische Anlagen eingestuft werden – Labore und Analytik, sowie die Versorgung mit Arzneimitteln, Blut bzw. Plasma und lebensrettenden Medizinprodukten. Darüber hinaus umfasst die Regulierung den Bereich Pharma (NACE C 21), Medizinproduktehersteller, Referenzlabore und die Forschung & Entwicklung.

Die Kategorisierung der Organisation (z. B. als „Besonders wichtig“ oder „Wichtig“ mit entsprechenden Pflichten) wird letztlich durch die Größen- und Umsatzschwellenwerte der jeweiligen Einrichtung bestimmt.

Acht verpflichtende Handlungsfelder: Was sich konkret ändert

Bisherige KRITIS-Betreiber, zum Beispiel Krankenhäuser und Laborverbünde, kennen das IT-Sicherheitsgesetz (IT-SiG). NIS2 geht jedoch in die Tiefe und verschärft die Haftung. Die Umsetzung erfordert zusätzliche Technische und Organisatorische Maßnahmen (TOMs). Die härtesten Änderungen betreffen die direkte, persönliche Haftung der Geschäftsleitung und eine massive Ausweitung der Meldepflichten.

Die acht Handlungsfelder im Detail

Umfassendes Risiko-Management: Systematische Analysen müssen lückenlos alle IT- und OT-Systeme sowie Drittanbietende und Cloud-Dienste erfassen. Die Dokumentation muss regelmäßig aktualisiert werden, nicht nur alle zwei Jahre.
Angriffserkennung wird konkretisiert: SIEM, NDR, IDS/IPS oder XDR sind jetzt der Standard. Aktive Incident-Response-Prozesse und automatisierte Alarmierung sind Pflicht.
Pflicht zur Lieferketten-Absicherung: Sicherheitsanforderungen müssen verbindlich auf Zuliefernde und Dienstleistende übertragen werden. Die Lieferkette wird Teil der Compliance.
IAM und Zero Trust: Die Einführung von Zero-Trust-Modellen, MFA und revisionssicherer Dokumentation des Zugriffs ist vorgeschrieben.
Persönliche Haftung der Geschäftsleitung: Das Top-Management haftet bei grober Fahrlässigkeit. Sicherheitsstrategie, ISMS und Risikoanalysen müssen von der Geschäftsleitung aktiv genehmigt und mitgetragen werden.
Awareness von Mitarbeitenden wird Pflicht: Regelmäßige Schulungen, Phishing-Simulationen und Sensibilisierungskampagnen sind jetzt obligatorisch.
Business Continuity & Resilienz: BCM und Disaster Recovery (DR) müssen detailliert geplant, regelmäßig getestet und auf Cyberkrisen-Szenarien ausgerichtet werden.
Drastisch verkürzte Meldepflichten: Die Erstmeldung muss innerhalb von 24 Stunden erfolgen (statt 72 Stunden). Fortschritts- und Abschlussmeldungen folgen innerhalb von 72 Stunden bzw. nach einem Monat. Kommunikationspläne sind vorzuhalten.

Ihr NIS2-Fahrplan: Die wichtigsten Sofortmaßnahmen

NIS2 übertrifft das IT-Sicherheitsgesetz 2.0 in Tiefe, Regulatorik und den Nachweispflichten bei Weitem. Angesichts der persönlichen Haftung ist jetzt schnelles Handeln nötig. Unsere Empfehlung für betroffene Betreiber sind die folgenden Punkte:

Hand ordnet Holzwürfel mit Häkchen-Symbol zu einer Checkliste

Governance klären: NIS2-konforme Governance-Struktur und Buy-in der Geschäftsleitung sofort etablieren.
ISMS-Strukturen prüfen: Bestehende ISMS-Rahmenwerke (z. B. ISO 27001) gezielt auf NIS2-Kompatibilität abgleichen.
Technik aufrüsten: Technische Schutzmaßnahmen, insbesondere Angriffserkennung (SIEM/XDR), IAM und Netzwerk-Segmentierung, ausbauen.
Krisenprozesse verankern: Incident Response- und Business Continuity (BCM)-Prozesse detailliert planen, dokumentieren und regelmäßig testen.

Fazit

NIS2 ist mehr als nur eine Regulierung, es ist eine umfassende strategische Herausforderung, die im Gesundheitswesen ein neues Sicherheitsniveau erfordert und die gesamte Unternehmensführung betrifft.

Quellen

Weiterführende Links

Wikipedia: NIS-2-Richtlinie
Europäische Kommission: NIS2-Richtlinie: Sicherung von Netz- und Informationssystemen
PWC: Anforderungen der NIS-2 an die Gesundheitseinrichtungen
Dentons: Germany’s new cybersecurity law expands scope and increases obligations—with new sanctions
OpenKRITIS: NIS2-Umsetzungsgesetz
Dräger: NIS-2-Richtlinie: Was Krankenhäuser jetzt wissen und tun müssen
Cisco Blog: Stärkung der Cybersicherheit mit NIS-2
DGUVforum: Bedeutung der NIS-2-EU-Richtlinie für die Cybersicherheit

Entdecken Sie weitere interessante Blogartikel