HomeIco

Home
Deutsch|English
Weltweit
Themen NIS-2-Richtlinie: Wie ist der aktuelle Stand der Umsetzung und welche Herausforderungen gilt es bereits heute anzugehen?

NIS-2-Richtlinie: Wie ist der aktuelle Stand der Umsetzung und welche Herausforderungen gilt es bereits heute anzugehen?

PrintMailRate-it

​​​​​​​​​​​​​​​​​veröffentlicht am 28. August 2025


Der Anwendungsbereich des geplanten BSI-Gesetzes (kurz „BSIG“), welches durch die Umsetzung der NIS-2-Richtlinie in Deutschland geändert werden soll, umfasst neben den bestehenden Betreibern kritischer Anlagen (KRITIS) künftig auch die sogenannten „besonders wichtigen Einrichtungen“ sowie „wichtigen Einrichtungen“, die dann ebenfalls bestimmte Anforderungen an die IT-Sicherheit zu erfüllen haben.

Nach Schätzungen der Bundesärztekammer fallen somit ca. 1.000 zusätzliche Einrichtungen aus dem Gesundheitswesen unter den erweiterten Anwendungsbereich des BSIG, darunter 800 Medizinische Versorgungszentren (MVZ) und 200 Berufsausübungsgemeinschaften. Damit sind nicht mehr nur Krankenhäuser einer bestimmten Größenordnung als kritische Anlagen vom BSIG erfasst.

Im aktuellen Gesetzentwurf sind keine Übergangsfristen vorgesehen, weshalb sich insbesondere die neu erfassten Einrichtungen bereits jetzt mit den geplanten Änderungen und den sich daraus ergebenen Verpflichtungen auseinandersetzen sollten.

Dieser Artikel soll Ihnen dabei helfen, einen kleinen Einblick in die voraussichtliche neue Rechtslage zu erlangen. Darüber hinaus zeigen wir die ersten abgeleiteten Anforderungen auf, die berücksichtigt werden müssen. Soweit in diesem Artikel Paragraf​en genannt werden, beziehen sich diese auf den Gesetzentwurf der Bundesregierung vom 25. Juli 2025. 

​1. Aktueller Stand des Gesetzentwurfs zur Umsetzung von NIS-2

Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (ehemals als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz bezeichnet, auch NIS2UmsuCG) ging mit dem Gesetzentwurf der Bundesregierung vom 25. Juli 2025 in die nächste Runde. Eine zeitnahe Umsetzung spätestens Ende 2025 ist zu erwarten. Neben den Betreibern kritischer Anlagen werden künftig dann auch die Betreiber von sogenannten „wichtigen Einrichtungen“ und „besonders wichtigen Einrichtungen“ zu besonderen IT-Sicherheitsvorkehrungen verpflichtet. 

„Besonders wichtige Einrichtungen“ im Sektor Gesundheit sind Unternehmen ab 250 Mitarbeitern oder einem Umsatz von über 50 Mio. EUR sowie einer Bilanz von über 43 Mio. EUR. „Wichtige Einrichtungen“ im Sektor Gesundheit sind Unternehmen ab 50 Mitarbeitern oder einem Umsatz von über 10 Mio. EUR sowie einer Bilanz von über 10 Mio. EUR. 

Im Sektor Gesundheit sind neben EU-Referenzlaboratorien, die Medizinforschung im Bereich Arzneimittel betreiben, sowie Hersteller von Pharmazeutika und von Medizinprodukten vor allem Gesundheitsdienstleister gemäß Art. 3 lit. g RL 2011/24/EU erfasst. Gesundheitsdienstleister sind natürliche oder juristische Personen sowie sonstige Einrichtungen, die im Hoheitsgebiet eines Mitgliedstaats rechtmäßig Gesundheitsdienstleistungen erbringen (Art. 3 lit. g RL 2011/24/EU).

Aktuell müssen KRITIS-Pflichtige alle 2 Jahre Nachweise zur Einhaltung der Anforderungen erbringen. Gemäß dem Gesetzentwurf von NIS-2 sollen Betreiber kritischer Anlagen nun dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals spätestens drei Jahre nach Inkrafttreten des Gesetzes Nachweise über die Umsetzung der Anforderungen durch Audits, Prüfungen oder Zertifizierungen erbringen und diese alle drei Jahre wiederholen. Besonders wichtige Einrichtungen können nach einer Aufforderung durch das BSI auch ohne konkreten Anlass verpflichtet werden, externe Audits durchzuführen oder dem BSI Nachweisdokumente vorzulegen. Dieses kann das BSI frühestens drei Jahre nach Inkrafttreten anordnen, eine klare Regelung jedoch, wann dieses genau erfolgt, ist im aktuellen Gesetzentwurf nicht vorgesehen (vgl. § 61 Abs.3 S.1. BSIG)​. Abweichend davon kann das Bundesamt gegenüber zugelassenen Krankenhäusern nach §108 SGB V frühestens ab 5 Jahren nach Inkrafttreten des Gesetzes die Vorlage von Nachweisen anfordern (vgl. § 61 Abs.3 S.3 BSIG).

Besondere Relevanz erhalten die Änderungen auch durch die Erweiterung der Bußgelder. Diese werden deutlich erhöht. So werden zukünftig maximale Bußgelder von wichtigen Einrichtungen bis zu 7 Mio. € (oder wenn Umsatz größer 500 Mio. Euro: 1,4 % vom weltweiten Umsatz) und von besonders wichtigen Einrichtungen bis zu 10 Mio. € (oder wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 2 % vom weltweiten Umsatz) erhoben werden können (vgl. § 65 BSIG). 

Zudem erweitert das neue Gesetz die Verantwortung und Pflichten der Geschäftsleitung von wichtigen und besonders wichtigen Einrichtungen. So müssen diese beispielsweise an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen zu erlangen. Darüber hinaus müssen sie Risikomanagement-Maßnahmen im Bereich der Cybersicherheit nicht nur umsetzen, sondern auch deren Wirksamkeit innerhalb der Organisation aktiv überwachen. Damit wird die Umsetzung der neuen gesetzlichen Anforderungen zur „Chefsache“. Eine persönliche Haftung bei mangelhafter Umsetzung oder völliger Missachtung der Pflichten ist wahrscheinlich.

Das BSI hat bereits zum jetzigen Zeitpunkt einzelne Anforderungen nach NIS-2 konkretisiert. Hierzu sollen die weiteren Punkte einen Überblick verschaffen. 

2. Risikoanalyse

Im Zuge der Änderungen des BSIG sind zukünftig sowohl besonders wichtige als auch wichtige Einrichtungen verpflichtet, eine Risikoanalyse durchzuführen. Diese Risikoanalyse bildet einen zentralen Bestandteil des Risikomanagements, da sie die Grundlage für die Auswahl und Bewertung nachgelagerter Risikomanagementmaßnahmen bildet.

Ziel der Risikoanalyse ist es, systematisch Risiken für die Organisation zu identifizieren, zu bewerten und auf dieser Basis geeignete Maßnahmen zur Risikominderung zu entwickeln. Dabei sollen insbesondere Bedrohungen und Schwachstellen erkannt, Risiken bewertet, bestehende Maßnahmen überprüft sowie die Ergebnisse dokumentiert und in das bestehende Sicherheitsmanagement eingebunden werden.

Einrichtungen haben bei der Auswahl der konkreten Methodik zur Durchführung der Risikoanalyse weitgehende Gestaltungsfreiheit. Es wird jedoch empfohlen, sich an etablierten Standards wie dem BSI-Standard 200-3 oder ISO 27001 bzw. 27002 zu orientieren.

Auf Basis der Risikoanalyse sind anschließend angemessene, wirksame und verhältnismäßige Risikomanagementmaßnahmen umzusetzen und zu dokumentieren. Die Verhältnismäßigkeit dieser Maßnahmen richtet sich nach mehreren Faktoren, unter anderem

  • dem Ausmaß der Risikoexposition,
  • der Größe der jeweiligen Einrichtung,
  • den Kosten der Umsetzung,
  • dem Stand der Technik,
  • der Eintrittswahrscheinlichkeit von Sicherheitsvorfällen, 
  • deren potenzieller Schwere und Auswirkungen sowie
  • einschlägigen europäischen oder internationalen Normen.

3. Lieferkette

Im Rahmen der Änderungen des BSIG sind, wie bereits erwähnt, besonders wichtige und wichtige Einrichtungen dazu verpflichtet, umfassende Risikomanagementmaßnahmen umzusetzen. Ein zentrales Element dabei ist die Berücksichtigung der Cybersicherheit in der Lieferkette, einschließlich sicherheitsrelevanter Aspekte in der Zusammenarbeit mit unmittelbaren Dienstleistern und Zulieferern (vgl. § 30 Abs. 2 Nr.4 BSIG).
 
Die zunehmende Vernetzung und Abhängigkeit von Drittdienstleistern führt dazu, dass bereits ein einzelner kompromittierter Zulieferer gravierende Auswirkungen auf die Cybersicherheit haben kann – etwa durch Systemausfälle, Datenlecks oder Unterbrechungen des Geschäftsbetriebs. Deshalb fordert das Gesetz, auch potenzielle Schwachstellen in den IT-Sicherheitspraktiken sowie in Entwicklungs- und Betriebsprozessen der Lieferanten und Dienstleister zu identifizieren und abzusichern.

Ein wirksames Cyber Supply Chain Risk Management (C-SCRM) bietet hierfür einen geeigneten Rahmen: Es unterstützt dabei, Risiken in der Lieferkette systematisch zu erkennen, zu bewerten und geeignete Maßnahmen umzusetzen. Als organisatorische Grundlage empfiehlt sich die Einführung oder Erweiterung eines Informationssicherheits-Managementsystems (ISMS), etwa auf Basis etablierter Standards wie ISO/IEC 27001:2022 oder dem BSI IT-Grundschutz-Kompendium.

Zur Absicherung der Lieferkette empfiehlt sich insbesondere

  • der Abschluss vertraglicher Vereinbarungen mit Dienstleistern zur Einhaltung definierter Sicherheitsstandards,
  • die Möglichkeit zur Auditierung und Kontrolle sicherheitsrelevanter Prozesse,
  • sowie bei Bedarf die Durchführung gemeinsamer Krisenübungen zur Bewertung der Reaktionsfähigkeit.

Darüber hinaus sollten Einrichtungen ein tiefergehendes Verständnis für die betrieblichen Abläufe ihrer Zulieferer und Dienstleister entwickeln, um potenzielle Sicherheitslücken frühzeitig zu erkennen. Vertraglich verankerte Kontrollrechte sowie klar definierte Sicherheitsanforderungen sind hierbei von zentraler Bedeutung. In bestimmten Fällen kann dies jedoch auch bedeuten, dass nicht jeder Anbieter weiterhin genutzt werden kann, ohne gegen die gesetzlichen Pflichten zu verstoßen.

4. Registrierungs- und Meldepflicht

In § 33 BSIG ist vorgesehen, dass sich neben Betreibern von kritischen Einrichtungen jetzt auch Betreiber von wichtigen und besonders wichtigen Einrichtungen registrieren müssen. Hierfür ist eine Frist von drei Monaten vorgesehen. Eine frühzeitige Identifizierung als „Betroffener“ ist daher notwendig (Registrierungspflicht).
Besonders wichtige und wichtige Einrichtungen sowie Betreiber kritischer Anlagen werden verpflichtet, erhebliche Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden (vgl. § 32 BSIG – Meldepflicht). 

Ein erheblicher Sicherheitsvorfall liegt vor, wenn es etwa zu schwerwiegenden Betriebsstörungen der angebotenen Dienste, zu relevanten finanziellen Verlusten oder zu bedeutenden Beeinträchtigungen Dritter – materieller oder immaterieller Art1 – kommt.

Das Meldeverfahren ist dreistufig:

  1. Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung
  2. Detailmeldung innerhalb von 72 Stunden mit zusätzlichen Angaben zum Vorfall
  3. ​Abschlussmeldung oder Follow-up spätestens nach 30 Tagen mit finaler Bewertung

Die Meldung an das BSI muss den Schweregrad des Vorfalls beinhalten, Auswirkungen auf die Einrichtung und Dritte beschreiben, etwaige Kompromittierungsindikatoren benennen sowie die Kontaktdaten der zuständigen Stelle enthalten. Etwaige weitere Details zu diesem Meldeverfahren sollen vom BSI noch festgelegt werden (vgl. § 32 Abs. 4 BSIG).

Da erhebliche Sicherheitsvorfälle in der Regel mit erhöhtem Ressourcenbedarf und organisatorischem Aufwand einhergehen, ist eine frühzeitige Vorbereitung der Meldeprozesse sehr ratsam.

Fazit 

Auch wenn die vorgesehenen „Verschärfungen“ und Erweiterungen der IT-Sicherheitspflichten auf den ersten Blick durchaus große Herausforderung darstellen, ist mit einer guten Vorbereitung und gefestigten Prozessen eine sichere Umsetzung möglich. 

Wir begleiten Sie gern bei der Konzeption und Umsetzung dieser Prozesse, damit Sie für das vor der Tür stehende Gesetz zur Umsetzung von NIS-2 bestens gewappnet sind.


 
 



1 Diese Definition orientiert sich an Artikel 23 Absatz 3 der NIS-2-Richtlinie.


Quellen:

AUTOREN
Martin Lenz
​Carina Richters


FOLGEN SIE UNS!
Linkedin Banner

AUS DEM NEWSLETTER
Newsletter Gesundheits- und Sozialwirtsc​​haft Nr. 08/2025​

Kontakt

Contact Person Picture

Jonas Buckel

B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW

Manager

+49 911 9193 3627

Anfrage senden

WIR BERATEN SIE GERN!
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu