NIS-2 gilt seit Dezember 2025 – ohne Übergangsfrist

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft – und es gibt keine Schonfrist. Wer betroffen ist, muss die Anforderungen erfüllen. Jetzt. Nicht nach dem nächsten Audit, nicht nach der nächsten Budgetrunde.

‍

Für das Gesundheitswesen bedeutet das: Geschäftsführungen haften persönlich, zehn Risikomanagementmaßnahmen müssen nachweislich umgesetzt sein, und gesicherte Kommunikation ist explizit gesetzlich vorgeschrieben.

‍

Wer heute noch Patientendaten per Fax verschickt oder Rückfragen über WhatsApp klärt, verstößt gegen geltendes Recht – mit konkreten persönlichen Konsequenzen für die Leitungsebene. Und wer im Ernstfall (z.B. nach einem Cyberangriff) keine funktionsfähige Kommunikation mehr hat, steht nicht nur haftungsrechtlich, sondern auch operativ ohne Schutzschirm da.

‍

Dieser Leitfaden richtet sich an IT-Leitungen, Digitalisierungsbeauftragte und Geschäftsführungen in Kliniken, MVZ und Pflegeeinrichtungen, die verstehen wollen, was NIS-2 konkret von ihnen verlangt – und in welcher Reihenfolge sie handeln sollten.

‍

Ist Ihre Einrichtung betroffen? Die Schwellenwerte im Überblick

NIS-2 unterscheidet drei Kategorien von Einrichtungen. Die Einstufung bestimmt, welche Pflichten gelten und wie hoch die Bußgelder im Verstoßfall ausfallen. Die Betroffenheit ergibt sich aus der Art der Tätigkeit (§ 28 BSIG) und dem Überschreiten der Schwellenwerte.

‍

‍

Sonderfall MVZ: Rund 1.000 Einrichtungen erstmals betroffen

Schätzungen gehen davon aus, dass rund 1.000 Medizinische Versorgungszentren erstmals direkt unter NIS-2 fallen. Das größte Missverständnis in der Beratungspraxis 2026: „Wir haben die KBV-IT-Sicherheitsrichtlinie umgesetzt – das reicht doch für NIS-2." Es reicht nicht. Die KBV-Richtlinie adressiert andere Anforderungen und ersetzt weder das ISMS-Erfordernis noch die Meldepflichten oder die Geschäftsführerhaftung nach § 38 BSIG.

‍

Sonderfall Pflegeeinrichtungen: Ausnahme mit Grenzen

Einrichtungen der Langzeitpflege, deren Ziel die Unterstützung bei alltäglichen Verrichtungen ist, fallen grundsätzlich nicht unter NIS-2. Große Pflegekonzerne, die die Schwellenwerte überschreiten, können jedoch trotzdem betroffen sein. Unabhängig davon gilt seit Juli 2025 die TI-Anschlusspflicht für alle Pflegeeinrichtungen – ein separates, aber verwandtes Compliance-Thema.

‍

Die 10 Pflichtmaßnahmen nach § 30 BSIG

Das Herzstück von NIS-2 ist der Katalog der zehn Risikomanagementmaßnahmen nach § 30 BSIG. Jede betroffene Einrichtung muss alle zehn Maßnahmen umsetzen – verhältnismäßig zur eigenen Größe und Risikolage, aber vollständig.

• Risikoanalyse und Sicherheitskonzept: Systematische Erfassung und Bewertung aller IT-Risiken, dokumentiert in einem Sicherheitskonzept
• Bewältigung von Sicherheitsvorfällen (Incident Response): Prozesse zur Erkennung, Analyse und Behebung von Cyberangriffen – inklusive klarer Eskalationswege
• Business Continuity Management: Backup-Konzepte, Notfallpläne und Wiederanlaufstrategien, damit der Betrieb auch nach einem Angriff aufrechterhalten werden kann
• Sicherheit der Lieferkette: Auch Dienstleister, Softwareanbieter und externe IT-Partner müssen auf Sicherheitsanforderungen geprüft werden
• Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen: Sichere Konfiguration, Patch-Management, Schwachstellenscans
• Wirksamkeitsprüfung: Regelmäßige Überprüfung, ob die umgesetzten Maßnahmen tatsächlich greifen – durch interne Audits oder externe Prüfungen
• Cyberhygiene und Schulungen: Regelmäßige Mitarbeiterschulungen zu Phishing, Passwortsicherheit und sicherem Umgang mit IT-Systemen
• Kryptografie und Verschlüsselung: Verschlüsselung sensibler Daten in Übertragung und Speicherung
• Zugriffskontrolle und Personalsicherheit: Rollenbasierte Zugriffsrechte, Identitätsmanagement, Sicherheitsüberprüfungen für kritische Positionen
• Gesicherte Kommunikation und Notfallkommunikationssysteme: Die am häufigsten unterschätzte Pflicht – dazu mehr im folgenden Abschnitt

‍

§ 30 Abs. 2 Nr. 10 BSIG: Die unterschätzte Kommunikationspflicht

Das Gesetz fordert explizit die „Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung."

‍

Diese Anforderung findet sich so nur im deutschen NIS2UmsuCG – Deutschland geht hier über die EU-Mindestanforderungen hinaus.

Was das in der Praxis bedeutet: Fax, WhatsApp, unverschlüsselte E-Mails und nicht-zertifizierte Messenger erfüllen diese Anforderung nicht. Laut KBV PraxisBarometer telefonieren noch 80 % der Praxen mit Kliniken, 63 % faxen. Diese Kommunikationswege sind nicht NIS-2-konform – und damit seit Dezember 2025 ein aktives Haftungsrisiko.

‍

Der TI-Messenger ist als Kategorie die einzige Kommunikationslösung, die alle fünf Kriterien erfüllt:

• Ende-zu-Ende-Verschlüsselung auf Basis des Matrix-Protokolls
• gematik-Zertifizierung
• Integration in die Telematikinfrastruktur
• Notfallfähigkeit durch infrastrukturunabhängigen Cloud-Betrieb und
• vollständige DSGVO-Konformität mit Hosting in deutschen Rechenzentren.

Fällt die interne Klinik-IT nach einem Cyberangriff aus, bleibt die Kommunikation über den cloudbasierten TI-Messenger weiterhin verfügbar, ohne IT-Intervention. Famedly war der erste von der gematik zugelassene TI-Messenger und betreibt heute über 14.000 Matrix-Server weltweit – Erfahrung, die direkt in die Stabilität und Skalierbarkeit jedes Rollouts einfließt.

‍

Besonders relevant für die Notfallkommunikationspflicht: Da der TI-Messenger cloudbasiert und unabhängig von der eigenen Klinik-IT betrieben wird, funktioniert er auch dann noch, wenn die interne Infrastruktur nach einem Cyberangriff ausgefallen ist. Ein Szenario, das keine Theorie ist: Nach dem Hackerangriff auf das deutsche Klinikum Universitätsmedizin Frankfurt war das Krankenhaus „über Nacht in der Kommunikation wieder analog" – ohne infrastrukturunabhängiges Notfallkommunikationssystem steht die gesamte interne Koordination still.

‍

Geschäftsführerhaftung: Warum NIS-2 Chefsache ist

§ 38 BSIG begründet eine persönliche Haftung der Geschäftsleitung – und das ist ein echter Paradigmenwechsel. Informationssicherheit ist nicht mehr nur ein IT-Thema, das man an die IT-Abteilung delegieren kann.

‍

Was § 38 BSIG konkret verlangt

Die Geschäftsleitung muss die Risikomanagementmaßnahmen persönlich billigen, deren Umsetzung aktiv überwachen und an Cybersicherheitsschulungen teilnehmen. Die operative Umsetzung kann delegiert werden – die strategische Verantwortung nicht. Das bedeutet: Auch der kaufmännische Geschäftsführer, der für IT nicht zuständig ist, haftet persönlich, wenn die Maßnahmen nicht umgesetzt wurden.

‍

Was bei Verstößen droht

• Bußgelder bis 10 Mio. € (besonders wichtige Einrichtungen) bzw. bis 7 Mio. € (wichtige Einrichtungen)
• Persönliche Haftung der Geschäftsführung für Schäden durch Pflichtverletzungen – ein Haftungsverzicht ist gesetzlich ausgeschlossen
• Bei anhaltender Nichterfüllung: temporäres Verbot der Ausübung der Leitungstätigkeit
• D&O-Versicherungen decken Bußgelder und vorsätzliche Verstöße in der Regel nicht ab

Zur Einordnung: Laut IBM Cost of a Data Breach Report 2024 liegen die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitswesen bei rund 9,8 Mio. USD – das Gesundheitswesen führt diese Statistik seit 2011 an. Bußgeld, Betriebsausfall und Reputationsschaden kommen dann noch obendrauf.

‍

Meldepflichten: Die 24-72-30-Regel

Bei einem erheblichen Sicherheitsvorfall greift ein dreistufiges Meldesystem nach § 32 BSIG. „Erheblich" bedeutet: Der Vorfall hat zu einer schwerwiegenden Betriebsstörung geführt oder könnte erhebliche finanzielle Verluste verursachen.

• Innerhalb von 24 Stunden: Frühwarnung an das BSI – noch keine vollständige Analyse erforderlich, aber die Einschätzung, ob ein Cyberangriff vorliegt
• Innerhalb von 72 Stunden: Detaillierter Folgebericht mit Erstbewertung des Vorfalls, betroffene Systeme, Schadensumfang
• Innerhalb von 30 Tagen: Abschlussbericht mit vollständiger Analyse, Ursache, ergriffenen Maßnahmen und Empfehlungen

Praxisbeispiele für meldepflichtige Vorfälle: Ransomware-Angriff mit Systemausfall, Datendiebstahl aus dem KIS, Manipulation medizinischer Geräte über Netzwerkzugang, DDoS-Angriff auf kritische Kommunikationsinfrastruktur.

‍

NIS-2-Umsetzung: Die Roadmap für Gesundheitseinrichtungen

Die Registrierungsfrist beim BSI ist abgelaufen – die ursprüngliche Frist war der 6. März 2026, verlängert bis 6. April 2026. Wer noch nicht registriert ist, muss sofort handeln. Abwarten ist die schlechteste aller Optionen: Die Nichtregistrierung kann mit Bußgeldern bis 500.000 € geahndet werden, und im Schadensfall steht die Geschäftsführung ohne dokumentierten Schutzschirm da.

‍

Schritt 1: Betroffenheit prüfen

Nutzen Sie die Betroffenheitsprüfung des BSI. Prüfen Sie Mitarbeitendenzahl, Jahresumsatz und Tätigkeitsbereich gegen die Schwellenwerte aus § 28 BSIG. Für MVZ gilt: Zählen Sie alle Mitarbeitenden der gesamten juristischen Person, nicht nur einzelner Standorte.

‍

Schritt 2: BSI-Registrierung nachholen

Die Registrierung erfolgt über das BSI-Portal MUK (Mein Unternehmenskonto). Auch wenn die Frist abgelaufen ist, gilt: Zeitnahe Nachholung reduziert das Bußgeldrisiko erheblich. Bereiten Sie folgende Angaben vor: Einrichtungsart, Mitarbeitendenzahl, Jahresumsatz, Kontaktdaten für Sicherheitsvorfälle, zuständige Ansprechpersonen.

‍

Schritt 3: Gap-Analyse der zehn Maßnahmen

Prüfen Sie systematisch, welche der zehn § 30-Maßnahmen bereits umgesetzt sind und wo Lücken bestehen. Für KRITIS-Krankenhäuser, die nach dem B3S der Deutschen Krankenhausgesellschaft arbeiten: Der B3S ist eine sehr gute Grundlage, deckt aber nicht automatisch alle NIS-2-Anforderungen ab – insbesondere Meldepflichten, Geschäftsführerpflichten und die Kommunikationsanforderung nach Nr. 10 müssen separat geprüft werden. Gleiches gilt für ISO 27001: Ein zertifiziertes ISMS ist eine starke Basis, garantiert aber keine vollständige NIS-2-Compliance.

‍

Schritt 4: ISMS aufbauen oder erweitern

Wer noch kein Informationssicherheits-Managementsystem hat, muss jetzt eines aufbauen. Orientieren Sie sich an ISO 27001 oder dem BSI IT-Grundschutz. Wer bereits ein ISMS betreibt, prüft die Lücken zur NIS-2-Konformität und schließt sie gezielt.

‍

Schritt 5: Technische Maßnahmen umsetzen – Kommunikation zuerst

Die Kommunikationsanforderung nach § 30 Abs. 2 Nr. 10 BSIG ist oft die dringlichste, weil die Ist-Situation in den meisten Einrichtungen am weitesten vom Soll entfernt ist. Best Practice für größere Einrichtungen: Mit einer Pilotstation oder -abteilung starten, intern skalieren, dann externe Kommunikation mit Zuweisern, Apotheken und Pflegediensten einbinden. Verantwortung: IT-Leitung, mit Freigabe der Geschäftsführung.

‍

Wie das in der Praxis aussieht, zeigt die Medizinische Hochschule Hannover – eine der größten deutschen Universitätskliniken:

• Start mit 8 Nutzern in der IT-Abteilung
• Freigabe durch Datenschutz und IT in wenigen Tagen
• erster Rollout in der Dermatologie. Die Akzeptanz war sofort da – Ärzte und Pflegekräfte nutzten den TI-Messenger von Famedly ohne Schulungsaufwand.

Heute fordern weitere Abteilungen wie Anästhesie und OP-Teams die Lösung aktiv an. Weitere Erfolgsgeschichten aus der Praxis zeigen, wie andere Einrichtungen den Rollout strukturiert haben.

‍

Schritt 6: Schulungen für Geschäftsleitung und Personal

Die Schulungspflicht betrifft explizit die Geschäftsleitung – nicht nur die IT-Abteilung. Dokumentieren Sie alle Schulungen mit Datum, Teilnehmenden und Inhalten. Diese Dokumentation ist im Schadensfall der wichtigste Nachweis dafür, dass die Leitungsebene ihrer Überwachungspflicht nachgekommen ist. Verantwortung: Geschäftsleitung persönlich (§ 38 BSIG).

‍

Schritt 7: Dokumentation und Nachweisführung

Persönliche Haftung lässt sich nicht ausschließen, aber das Risiko lässt sich auf ein vertretbares Maß reduzieren. Der Schlüssel ist Nachweisbarkeit: Dokumentieren Sie alle umgesetzten Maßnahmen, Risikoanalysen, Schulungen und Entscheidungen der Geschäftsleitung. Diese Dokumentation ist nicht nur für das BSI relevant, sondern auch für D&O-Versicherer und interne Revisionen. Verantwortung: Geschäftsleitung + CISO/DSB.

‍

Beim Seniorendienst Rötzel führte die strukturierte Einführung von Famedly zu einer dokumentierten Kommunikationsquote von ca. 90 % und ca. 50 % weniger Kommunikationsbeteiligten – ein direkter Beitrag zur Nachweisbarkeit und Rückverfolgbarkeit aller relevanten Abstimmungen. Details zur Umsetzung finden Sie hier.

‍

Was bestehende Standards abdecken – und was nicht

Viele Einrichtungen im Gesundheitswesen arbeiten bereits mit etablierten Sicherheitsstandards. Die folgende Übersicht zeigt, wo diese Standards helfen und wo NIS-2 zusätzliche Anforderungen stellt:

‍

‍

NIS-2 im Gesundheitswesen: Was Kliniken jetzt umsetzen müssen – und wie Famedly dabei hilft

Von den zehn Pflichtmaßnahmen nach §30 BSIG ist die gesicherte Kommunikation die, die in den meisten Einrichtungen am weitesten vom Soll entfernt ist und gleichzeitig die, die sich am schnellsten schließen lässt. WhatsApp, Fax und unverschlüsselte E-Mails erfüllen die Anforderungen nicht, ein zertifizierter TI-Messenger schon.

‍

Famedly gehört als einer der ersten gematik-zugelassenen TI-Messenger-Anbieter zu den erfahrensten im Markt – im Einsatz in Universitätskliniken wie der MHH ebenso wie in ambulanten Pflegediensten. Der Einstieg ist unkompliziert: Cloud-basiert, ohne zusätzlichen IT-Aufwand einführbar und mit einer zweimonatigen Testphase ohne Risiko – damit Ihre Einrichtung die Kommunikationspflicht sauber erfüllt und im Ernstfall handlungsfähig bleibt.

‍

{{cta}}

‍

Häufige Fragen zu NIS-2 im Gesundheitswesen

Betrifft NIS-2 auch Pflegeheime?

Einrichtungen der Langzeitpflege, deren Kernaufgabe die Unterstützung bei alltäglichen Verrichtungen ist, sind grundsätzlich vom NIS-2-Anwendungsbereich ausgenommen. Große Pflegekonzerne, die die Schwellenwerte von 50 Mitarbeitenden oder 10 Mio. € Umsatz überschreiten und im Bereich der Gesundheitsversorgung tätig sind, können jedoch betroffen sein. Unabhängig davon gilt seit Juli 2025 die TI-Anschlusspflicht für alle Pflegeeinrichtungen.

‍

Reicht ISO 27001 für NIS-2-Compliance?

Ein zertifiziertes ISMS nach ISO 27001 ist eine sehr gute Basis und deckt viele der zehn Risikomanagementmaßnahmen ab. Es garantiert aber keine vollständige NIS-2-Compliance. Zusätzlich müssen die spezifischen Meldepflichten nach § 32 BSIG, die Managementverantwortlichkeiten nach § 38 BSIG und die Kommunikationsanforderung nach § 30 Abs. 2 Nr. 10 BSIG separat adressiert werden.

‍

Was ist der Unterschied zwischen NIS-2 und § 391 SGB V?

§ 391 SGB V (vormals § 75c) verpflichtet alle Krankenhäuser unabhängig von ihrer Größe zur Umsetzung von IT-Sicherheitsmaßnahmen nach dem Stand der Technik. NIS-2 gilt zusätzlich für Einrichtungen, die die Schwellenwerte überschreiten, und stellt weitergehende Anforderungen – insbesondere an Meldepflichten und Geschäftsführerhaftung. Beide Regelungen gelten parallel und ergänzen sich.

‍

Können wir die Haftung über eine D&O-Versicherung abdecken?

Nur eingeschränkt. D&O-Versicherungen können Vermögensschäden aus Fahrlässigkeit abdecken, aber Bußgelder sind in der Regel vom Versicherungsschutz ausgeschlossen. Außerdem ist ein Haftungsverzicht nach § 38 BSIG gesetzlich ausgeschlossen – die Geschäftsleitung kann die persönliche Verantwortung nicht vertraglich auf das Unternehmen übertragen. Die beste Absicherung ist die dokumentierte Umsetzung der Maßnahmen.

‍

Was gilt als „erheblicher Sicherheitsvorfall" im Sinne der Meldepflicht?

Ein Vorfall ist erheblich, wenn er zu einer schwerwiegenden Betriebsstörung geführt hat oder führen könnte, erhebliche finanzielle Verluste verursacht oder andere Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat. Typische Beispiele: Ransomware-Angriff mit Systemausfall, Datendiebstahl aus dem KIS, DDoS-Angriff auf kritische Systeme. Im Zweifelsfall gilt: lieber melden und mit dem BSI klären, ob der Vorfall meldepflichtig war.

‍

Wie verhält sich NIS-2 zur DSGVO?

NIS-2 und DSGVO ergänzen sich, ersetzen sich aber nicht gegenseitig. Die DSGVO regelt den Schutz personenbezogener Daten; NIS-2 regelt die Sicherheit von Netz- und Informationssystemen. Ein Cyberangriff, der zu einem Datenschutzverstoß führt, kann sowohl NIS-2-Meldepflichten als auch DSGVO-Meldepflichten (72 Stunden an die Datenschutzbehörde) auslösen – parallel, nicht alternativ.