Das neue NIS 2 Umsetzungsgesetz gilt verpflichtend für alle Gesundheitseinrichtungen, die bestimmte Schwellenwerte überschreiten. Dazu zählen Einrichtungen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz beziehungsweise einer Jahresbilanzsumme von über zehn Millionen Euro. In erster Linie betrifft dies Krankenhäuser, die deutlich über der Mindestanzahl an Mitarbeitenden liegen, aber auch größere medizinische Versorgungszentren und Praxen. Die genauen Zahlen ergeben sich aus statistischen Analysen.

Artikel 3 des Gesetzes stellt klar, dass Einrichtungen der Gesundheitsversorgung, Gesundheitsdienstleister sowie Gesundheitsberufe wie Ärztinnen und Ärzte, Pflegekräfte und weitere Fachkräfte betroffen sind, die den Gesundheitszustand von Patientinnen und Patienten beurteilen, erhalten oder wiederherstellen.

Innerhalb der Organisationen tragen die Mitglieder der Geschäftsleitung die Hauptverantwortung für die Umsetzung. Sie müssen nicht nur die gesetzlichen Anforderungen kennen, sondern auch regelmäßig an Schulungen teilnehmen, die speziell auf die Risiken und Anforderungen im Gesundheitswesen zugeschnitten sind. Allgemeine Schulungen, die für andere Branchen wie Transport oder Banken konzipiert sind, erfüllen die Vorgaben nicht. Ein zentraler Bestandteil des Gesetzes ist zudem das Risikomanagement, das für Führungskräfte eine entscheidende Rolle spielt. Es verlangt die Einführung geeigneter technischer und organisatorischer Maßnahmen nach dem Stand der Technik sowie deren kontinuierliche Überprüfung. Fehlende Nachweise können zu empfindlichen Sanktionen führen.

Um die Umsetzung transparent und effizient zu gestalten, empfiehlt sich die Einrichtung eines Projektteams, das Zuständigkeiten klar definiert und die Dokumentation aller Maßnahmen sicherstellt. Ein professionelles Audit- und Schulungsmanagement mit regelmäßigen internen Audits reduziert den Aufwand und die Kosten und sorgt für nachhaltige Compliance.

Das NIS-2 Umsetzungsgesetz ist seit 06. Dezember 2025 in Kraft getreten. Wegen der langen Vorlaufzeiten (über 2 Jahre) werden keine Übergangsfristen eingeräumt. Praktisch bedeutet das, dass betroffene Einrichtungen wie Krankenhäuser, Klinken, soziale Einrichtungen, MVZ, Großpraxen und Unternehmen/Organisationen sofort alle Anforderungen erfüllen müssen. Dabei empfiehlt es sich nach Prioritäten vorzugehen, da eine komplette Umsetzung einer guten Vorbereitung bedarf.

Anders als in bisherigen gesetzlichen Vorgaben in der Informationssicherheit sind offiziell alle Mitglieder der Geschäftsleitung der betroffenen Einrichtung für die Einhaltung von NIS-2 verantwortlich. Das bedeutet unter anderem, dass alle Geschäftsführer, Vorstände, Präsidenten von Vereinen, Aufsichtsräte und alle anderen Verantwortlichen kurzfristig eine persönliche Schulung absolvieren und mit Teilnahmebestätigung nachweisen müssen.

Eine allgemein Schulung unabhängig von Branche und Zielgruppe ist bei NIS-2 NICHT ausreichend. Im Gesundheitswesen ist eine Spezialisierung auf die Zielgruppe wie beispielsweise der Krankenhäuser und anderen Einrichtungen der medizinischen Versorgung erforderlich. Dabei werden sowohl die Strukturen (z.B. Patientenversorgung) als auch weitere speziellen Funktionen berücksichtigt. Dazu gehören beispielsweise auch die digitalen Medizintechnik-Systeme und die Funktionen innerhalb der Digitalisierung, z.B. Telematikinfrastruktur.

Da das NIS-2 Gesetz keine Übergangsfrist zulässt, ist für alle nicht geschulten Führungskräfte Eile geboten. Insgesamt sind allein im Gesundheitswesen 11.000 Mitglieder der Geschäftsleitung zu schulen. Dies führt zu einem Engpass bei den Schulungskapazitäten ab 2026. In jedem Fall ist es wichtig, sich rechtzeitig Schulungstermine zu sichern, die als Nachweis für die Pflichterfüllung qualifiziert sind.

Mit der Erfahrung der KRITIS Gesetzgebung (kritische Infrastrukturen) hat der Gesetzgeber eine strenge Kontrolle auch für NIS-2 Verpflichtungen eingeführt. Das bedeutet, dass die betroffenen Kritis-Einrichtungen im Gesundheitswesen zeitnah und regelmäßig in Audits geprüft werden. Diese Audits werden am Anfang und dann regelmäßig alle 2 – 3 Jahre durchgeführt. Entsprechende Erfahrungen liegen durch die KRITIS Audits (beispielsweise in den großen Krankenhäusern) vor.
Solche Audits beanspruchen 3 – 5 Tage und werden durch qualifizierte Coaching-Unternehmen durchgeführt. Diese Audits erfolgen nach einer genau spezifizierten Checkliste. Damit wird sichergestellt, dass die NIS-2 Ziele auch tatsächlich so schnell wie möglich in Deutschland realisiert werden können.

Das NIS-2-Umsetzungsgesetz unterscheidet sich vom BSIG vor allem in seiner Form. Während das BSIG ein eigenständiges Stammgesetz ist, das die Aufgaben des Bundesamts für Sicherheit in der Informationstechnik sowie Anforderungen an die Informationssicherheit und künftig die Pflichten besonders wichtiger und wichtiger Einrichtungen regelt, handelt es sich beim NIS-2-Umsetzungsgesetz um ein sogenanntes Artikelgesetz. Ein Artikelgesetz, auch Mantel- oder Omnibusgesetz genannt, ist ein Gesetzgebungsverfahren, bei dem mehrere Gesetze gleichzeitig geändert, ergänzt oder aufgehoben werden. Es ist in einzelne Artikel gegliedert, wobei jeder Artikel ein eigenes Gesetz betrifft. Diese Form wird gewählt, wenn eine europäische Vorgabe wie die NIS-2-Richtlinie verschiedene Rechtsbereiche berührt und eine umfassende Anpassung erforderlich macht.

Das NIS-2-Umsetzungsgesetz dient daher als gesetzgeberischer „Mantel“, der alle notwendigen Änderungen bündelt, um die EU-Richtlinie vollständig in deutsches Recht zu überführen. Es betrifft nicht nur das BSIG, sondern auch weitere Fachgesetze, etwa im Telekommunikations-, Energie- oder Sozialversicherungsrecht. Damit ist es kein eigenständiges Regelwerk, sondern ein Instrument zur Koordination und Umsetzung. Das BSIG hingegen bleibt ein in sich geschlossenes Gesetz, das unabhängig vom Artikelgesetz die grundlegenden Strukturen und Zuständigkeiten für die Informationssicherheit in Deutschland definiert.

Bei der Einstufung nach NIS2 stellt sich oft die Frage, ob die Anzahl der Beschäftigten und das Umsatzvolumen nur für eine einzelne Filiale oder für das gesamte Unternehmen gelten. Die Antwort ist eindeutig: Es wird immer das gesamte Unternehmen betrachtet – einschließlich aller verbundenen Unternehmen. Diese Vorgabe folgt der Empfehlung der EU-Kommission vom 6. Mai 2003 (2003/361/EG), mit wenigen Ausnahmen.

Eine Filiale wird nur dann nicht mitgerechnet, wenn sie als eigenständiges Partner- oder verbundenes Unternehmen gilt. Das bedeutet, sie muss rechtlich, wirtschaftlich und tatsächlich unabhängig sein – insbesondere in Bezug auf ihre IT-Systeme, Komponenten und Prozesse. Diese Ausnahme ist in § 28 Absatz 4 Satz 2 des BSIG geregelt.

Warum ist das wichtig? Für Unternehmen bedeutet diese Regelung, dass die Einstufung nach NIS2 nicht auf einzelne Standorte reduziert werden kann. Wer mehrere Betriebe oder Tochtergesellschaften hat, muss die Gesamtgröße und den Gesamtumsatz berücksichtigen. Das kann entscheidend sein, um festzustellen, ob die Pflichten der NIS2-Richtlinie greifen – etwa zusätzliche Sicherheitsmaßnahmen, Meldepflichten und Prüfungen.

Auch wenn die gesamte IT an einen externen Dienstleister ausgelagert ist, bleibt die Verantwortung bei Ihrem Unternehmen. Als besonders wichtige oder wichtige Einrichtung müssen Sie sicherstellen, dass Ihr Dienstleister alle Anforderungen der NIS-2-Richtlinie erfüllt. Dazu gehört, dass die Umsetzung regelmäßig überprüft wird und Sicherheitsvorfälle ordnungsgemäß gemeldet werden. Ein Vertrag allein reicht nicht aus – die Geschäftsleitung trägt weiterhin die Pflicht, das Risikomanagement aktiv zu steuern und umzusetzen.

Eine allgemeine Übergangsfrist für die Umsetzung der NIS 2-Vorgaben gibt es nicht. Das bedeutet: Seit Inkrafttreten des NIS-2-Umsetzungsgesetzes am 06.12.2025, müssen betroffene Unternehmen ihre Pflichten sofort erfüllen. Dazu gehören unter anderem die Registrierung, das Risikomanagement und die Meldepflichten.

Für die Registrierung gibt es jedoch eine klare Frist: Besonders wichtige und wichtige Einrichtungen sowie Anbieter von Domain-Name-Registry-Diensten müssen ihre Angaben spätestens drei Monate nach der Einstufung über das BSI-Portal übermitteln (§ 33 Abs. 1 BSIG). Die Frist läuft seit dem 06.12.2025 über drei Monate, sodass die Registrierung von betroffenen Unternehmen und Organisationen bis zum 05.März 2026 abgeschlossen sein muss.

Unternehmen/Krankenhäuser müssen den Nachweis über die Einhaltung der NIS 2-Vorgaben grundsätzlich erbringen, sobald das BSI dies anordnet. In diesem Fall müssen Dokumentationen, Prüfberichte, Audits oder Zertifizierungen als Nachweis vorgelegt werden. Für die Erfüllung der Meldepflichten eignen sich beispielsweise die eingereichten Meldeberichte.

Es gibt eine wichtige Ausnahme: Betreiber kritischer Infrastrukturen (KRITIS) müssen Nachweise wie Sicherheitsaudits, Prüfungen oder Zertifizierungen auch ohne Aufforderung regelmäßig einreichen. Damit soll sichergestellt werden, dass besonders sensible Bereiche jederzeit überprüft werden können.

Das NIS 2-Umsetzungsgesetz legt ausdrücklich fest, dass die Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen verpflichtet ist, die erforderlichen Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen. Außerdem müssen Mitglieder der Geschäftsleitung regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse im Bereich Cybersicherheit zu erlangen.

Kommt es zu Schäden, weil Sicherheitsmaßnahmen schuldhaft nicht umgesetzt wurden, kann eine persönliche Haftung entstehen. Diese richtet sich in erster Linie nach den geltenden zivilrechtlichen Vorschriften. Fehlen solche Regelungen, kann sich die Haftung auch direkt aus dem NIS 2-Umsetzungsgesetz ergeben.

Die Schulungspflicht gilt für jedes einzelne Mitglied der Geschäftsleitung. Das bedeutet: Jede natürliche Person, die laut Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen oder wichtigen Einrichtung berufen ist, muss geschult werden. Ziel ist, dass alle Mitglieder über ausreichende Kenntnisse im Bereich Cybersicherheit verfügen, um ihre Verantwortung wahrnehmen zu können. Eine Schulung nur für eine Person reicht daher nicht aus.

Für die Dauer der Schulung nennt die Gesetzesbegründung einen Richtwert von etwa vier Stunden. Dabei wird nicht zwischen wichtigen Einrichtungen (wE) und besonders wichtigen Einrichtungen (bwE) unterschieden. Dieser Zeitrahmen ist jedoch keine feste Vorgabe, sondern lediglich eine Annahme. Das BSI weist in seiner Handreichung darauf hin, dass die tatsächliche Dauer je nach Risikoexposition der Einrichtung und den individuellen Kenntnissen der Geschäftsleitung deutlich länger sein kann. Entscheidend ist, dass alle geforderten Inhalte vollständig und sinnvoll vermittelt werden. In den meisten Fällen reichen vier Stunden nicht aus.

Die Schulungen können grundsätzlich aufgeteilt und über einen längeren Zeitraum verteilt werden, zum Beispiel über mehrere Jahre. Wichtig ist jedoch, dass die Geschäftsleitung jederzeit über ausreichende Kenntnisse verfügt, um ihre Verantwortung im Bereich Cybersicherheit wahrzunehmen.