Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Was viele Geschäftsführer von Pflegediensten noch nicht wissen: Auch mittlere soziale Einrichtungen sind betroffen — mit persönlicher Haftung für das Management bei Verstößen. Seit Anfang 2026 sind zudem rund 1.000 medizinische Versorgungszentren (MVZ) und ambulante Versorgungszentren erstmals NIS2-pflichtig. Dieser Artikel erläutert die wichtigsten Anforderungen und zeigt, was Sie jetzt konkret tun müssen.
Was ist die NIS2-Richtlinie?
NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit, die die bisherige NIS-Richtlinie von 2016 ablöst. Ziel ist es, ein einheitlich hohes Sicherheitsniveau für Netzwerke und Informationssysteme in der gesamten EU zu gewährleisten. In Deutschland wurde NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht transformiert — mit Inkrafttreten am 6. Dezember 2025.
Im Vergleich zur Vorgängerrichtlinie hat sich der Anwendungsbereich erheblich ausgeweitet. Während NIS1 nur Betreiber kritischer Infrastrukturen (KRITIS) erfasste, zieht NIS2 den Kreis deutlich weiter — und schließt nun auch Unternehmen aus dem Gesundheits- und Sozialbereich ein, die bestimmte Schwellenwerte überschreiten. Neu im Fokus: Rund 1.000 MVZ und ambulante Versorgungszentren fallen seit 2026 erstmals unter die Anforderungen.
Sind Pflegedienste von NIS2 betroffen?
Die Antwort ist: Es kommt darauf an. NIS2 unterscheidet zwischen „wesentlichen Einrichtungen" (Essential Entities) und „wichtigen Einrichtungen" (Important Entities). Pflegedienste und soziale Einrichtungen können in beiden Kategorien landen, was unterschiedliche Bußgeldrahmen und Aufsichtsintensitäten mit sich bringt.
Die KRITIS-Schwellenwerte im Detail
Als Faustregel gilt: Unternehmen im Gesundheits- und Sozialbereich mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von über 10 Millionen Euro fallen grundsätzlich in den Anwendungsbereich. Für stationäre Pflegeeinrichtungen mit entsprechender Bettenzahl oder ambulante Dienste mit einer bestimmten Versorgungsquote können bereits niedrigere Schwellen gelten, wenn sie als systemrelevant eingestuft werden.
Wichtig: Selbst wenn Ihr Pflegedienst die Schwellenwerte heute nicht erreicht, kann eine Einstufung durch die zuständige Behörde (in Brandenburg das Ministerium des Innern und für Kommunales) erfolgen, wenn Ihr Ausfall erhebliche gesellschaftliche Auswirkungen hätte. Handeln Sie daher frühzeitig — auch wenn Sie sich in einer Grauzone befinden.
Die 10 Risikomanagement-Bereiche nach § 30 BSIG
Das NIS2UmsuCG schreibt in § 30 BSIG konkrete technische und organisatorische Maßnahmen vor. Betroffene Einrichtungen müssen alle 10 Bereiche nachweislich abdecken:
- Risikoanalyse und Sicherheitskonzept: Systematische Erfassung aller relevanten IT-Risiken und Dokumentation der getroffenen Maßnahmen nach BSI-Grundschutz-Methodik. Das Sicherheitskonzept muss regelmäßig aktualisiert werden.
- Bewältigung von Sicherheitsvorfällen: Definierte Prozesse für Erkennung, Eindämmung und Behebung von Incidents — inklusive klarer Verantwortlichkeiten und Eskalationswegen.
- Aufrechterhaltung des Betriebs (Business Continuity): Notfall- und Wiederanlaufpläne, die sicherstellen, dass Pflegeprozesse auch bei einem IT-Ausfall weiterlaufen können. Regelmäßige Tests der Pläne sind Pflicht.
- Lieferkettensicherheit: Überprüfung aller IT-Dienstleister und Software-Lieferanten auf deren Sicherheitsstandards. Verträge müssen Sicherheitsanforderungen explizit enthalten.
- Sicherheit beim Erwerb, der Entwicklung und Wartung: IT-Sicherheitsanforderungen müssen schon bei der Beschaffung neuer Hard- und Software sowie bei Wartungsverträgen berücksichtigt werden.
- Bewertung der Effektivität der Maßnahmen: Regelmäßige interne Audits oder externe Prüfungen (Penetrationstests, Schwachstellenscans) zur Überprüfung, ob die getroffenen Maßnahmen tatsächlich wirksam sind. Unsere Schwachstellenanalyse unterstützt Sie dabei.
- Cyberhygiene und Schulungen: Regelmäßige Sensibilisierung aller Mitarbeitenden zu aktuellen Bedrohungen, Phishing, sicherer Passwortnutzung und korrektem Verhalten bei Verdachtsmomenten.
- Kryptographie: Einsatz anerkannter Verschlüsselungsverfahren für personenbezogene Daten — insbesondere bei der Übertragung von Pflegedokumentationen und bei der Datenspeicherung.
- Personalsicherheit, Zugangskontrolle und Asset-Management: Rollenbasierte Zugriffsrechte nach dem Least-Privilege-Prinzip, Inventarisierung aller IT-Geräte und klare Offboarding-Prozesse beim Ausscheiden von Mitarbeitenden.
- Multi-Faktor-Authentifizierung (MFA): Verbindlicher Einsatz von MFA für alle externen Zugänge, insbesondere für E-Mail, VPN, Remote-Desktop und Administrationszugänge. Unsere Netzwerksicherheitslösungen integrieren MFA nahtlos in Ihre bestehende Infrastruktur.
3-stufige Meldepflicht nach § 32 BSIG
Ein Sicherheitsvorfall mit erheblichen Auswirkungen muss dem BSI in drei Stufen gemeldet werden — die Fristen sind eng und erfordern vorbereitete Prozesse:
- Frühwarnung innerhalb von 24 Stunden: Unverzügliche Erstmeldung, sobald ein erheblicher Vorfall bekannt wird. Die Meldung kann knapp ausfallen, muss aber Art und Ausmaß des Vorfalls benennen.
- Detailbericht innerhalb von 72 Stunden: Ausführlicher Bericht mit Angaben zur Ursache, zu den betroffenen Systemen, zum Umfang der Auswirkungen und zu eingeleiteten Gegenmaßnahmen.
- Abschlussbericht innerhalb von 1 Monat: Vollständige Dokumentation des Vorfalls, der Auswirkungen, der durchgeführten Maßnahmen und der gezogenen Lehren für die Zukunft.
Diese Fristen sind ohne technisches Monitoring praktisch nicht einhaltbar. Wer einen Sicherheitsvorfall erst Tage nach dem Eintreten bemerkt, hat die 24-Stunden-Frist bereits verpasst. Ein professionelles Endpoint-Security- und Monitoring-Konzept ist daher keine Kür, sondern gesetzliche Notwendigkeit.
Persönliche Geschäftsführerhaftung nach § 38 BSIG
Das ist die für viele Geschäftsführer überraschendste Neuerung: § 38 BSIG sieht eine ausdrückliche persönliche Haftung der Leitungsorgane vor. Geschäftsführer müssen die Umsetzung der Sicherheitsmaßnahmen aktiv überwachen und genehmigen — eine Delegation an IT-Mitarbeitende oder externe Dienstleister entbindet nicht von dieser Pflicht.
Die Bußgeldrahmen unterscheiden sich je nach Einstufung der Einrichtung:
- Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
- Besonders wichtige Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Darüber hinaus können Geschäftsführer persönlich für entstandene Schäden in Regress genommen werden, wenn Sicherheitsmängel kausal für den Vorfall waren. Eine Haftungsbeschränkung durch Satzung oder Gesellschafterbeschluss ist in diesem Bereich nicht möglich. Unsere Datenschutz- und Compliance-Beratung hilft Ihnen, die gesetzlichen Anforderungen rechtssicher umzusetzen.
8-Wochen-Roadmap: So werden Sie NIS2-ready
Die folgende Checkliste gibt Ihnen eine praxiserprobte Struktur für die ersten acht Wochen auf dem Weg zur NIS2-Compliance:
| Woche | Aufgabe | Verantwortlich |
|---|---|---|
| 1–2 | MFA für alle externen Zugänge aktivieren (E-Mail, VPN, RDP) | IT-Dienstleister |
| 2–3 | Notfall- und Wiederanlaufplan dokumentieren und intern kommunizieren | Geschäftsführung + IT |
| 3–4 | Lieferantenliste erstellen: alle IT-Dienstleister, Software-Anbieter mit Sicherheitsnachweisen | Verwaltung + IT |
| 4–5 | Patch-Management-Prozess einrichten: automatisierte Updates, Ausnahmeliste | IT-Dienstleister |
| 5–6 | Mitarbeiterschulung: Phishing, Passwortsicherheit, Meldewege bei Verdacht | Geschäftsführung |
| 6–7 | Risikoanalyse nach BSI-Grundschutz-Methodik durchführen, Lücken identifizieren | IT-Dienstleister |
| 7–8 | GF-Schulung zu § 38 BSIG-Haftung, Freigabe des Sicherheitskonzepts durch Geschäftsführung | Geschäftsführung |
Häufige Fragen von Pflegedienstleitungen zu NIS2
Muss ich mich als Pflegedienst beim BSI registrieren? Ja — betroffene Einrichtungen sind verpflichtet, sich im BSIG-Melderegister zu registrieren. Die Registrierung ist über das Online-Portal des BSI möglich und sollte unverzüglich nach Feststellung der Betroffenheit erfolgen.
Wer prüft die Einhaltung von NIS2? In Brandenburg ist das Ministerium des Innern und für Kommunales zuständig. Das BSI kann jedoch jederzeit eigene Prüfungen einleiten und ist die zentrale Meldestelle für Sicherheitsvorfälle.
Muss ich ein teures Zertifizierungsaudit durchführen? Nicht zwingend. NIS2 fordert keine bestimmte Zertifizierung, sondern den Nachweis angemessener Maßnahmen. Eine dokumentierte Gap-Analyse nach BSI-Grundschutz-Methodik ist jedoch dringend empfohlen — sie bildet die Grundlage für alle weiteren Schritte und dient als Nachweis gegenüber Behörden.
Was passiert, wenn ich einen Vorfall nicht melde? Die Nichtmeldung oder verspätete Meldung eines erheblichen Sicherheitsvorfalls ist selbst ein Bußgeldtatbestand — unabhängig vom eigentlichen Vorfall. Priorisieren Sie daher die Einrichtung klarer interner Meldewege und benennen Sie einen verantwortlichen Ansprechpartner für IT-Sicherheitsvorfälle.
Wie Fürstmann.IT Sie unterstützt
Wir begleiten Pflegedienste und soziale Einrichtungen in Brandenburg bei der NIS2-konformen Ausrichtung ihrer IT-Sicherheit. Dazu gehören die initiale Bestandsaufnahme (Gap-Analyse), die Erstellung eines Sicherheitskonzepts nach BSI-Grundschutz-Methodik, die technische Umsetzung von Sicherheitsmaßnahmen sowie die Einrichtung von Monitoring und Incident-Response-Prozessen.
Unsere Leistungsschwerpunkte für NIS2-Compliance umfassen unter anderem Netzwerksicherheit und Segmentierung, Endpoint Security und zentrales Monitoring sowie Datenschutz- und Compliance-Beratung. Unsere langjährige Erfahrung in der IT-Betreuung von Pflegediensten ermöglicht praxisnahe Lösungen, die zu Ihrem Betrieb passen — ohne überdimensionierte Konzepte.
NIS2 mag komplex erscheinen, aber die wesentlichen Maßnahmen — strukturiertes Patch-Management, MFA, Zugriffskontrolle, Datensicherung und Vorfallsdokumentation — sind für jeden Pflegedienst umsetzbar und sollten ohnehin zum Standard gehören. Starten Sie jetzt, bevor eine Behörde klopft.