Die NIS2-Richtlinie der EU ist seit Oktober 2024 in deutsches Recht überführt. Was viele Geschäftsführer von Pflegediensten noch nicht wissen: Auch mittlere soziale Einrichtungen können betroffen sein — mit persönlicher Haftung für das Management bei Verstößen. Dieser Artikel erläutert die wichtigsten Anforderungen und zeigt, was Sie jetzt konkret tun müssen.
Was ist die NIS2-Richtlinie?
NIS2 (Network and Information Security Directive 2) ist die überarbeitete EU-Richtlinie zur Cybersicherheit, die die bisherige NIS-Richtlinie von 2016 ablöst. Ziel ist es, ein einheitlich hohes Sicherheitsniveau für Netzwerke und Informationssysteme in der gesamten EU zu gewährleisten. In Deutschland wurde NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht transformiert.
Im Vergleich zur Vorgängerrichtlinie hat sich der Anwendungsbereich erheblich ausgeweitet. Während NIS1 nur Betreiber kritischer Infrastrukturen (KRITIS) erfasste, zieht NIS2 den Kreis deutlich weiter — und schließt nun auch Unternehmen aus dem Gesundheits- und Sozialbereich ein, die bestimmte Schwellenwerte überschreiten.
Sind Pflegedienste von NIS2 betroffen?
Die Antwort ist: Es kommt darauf an. NIS2 unterscheidet zwischen „wesentlichen Einrichtungen" (Essential Entities) und „wichtigen Einrichtungen" (Important Entities). Pflegedienste und soziale Einrichtungen können in beiden Kategorien landen.
Die KRITIS-Schwellenwerte im Detail
Als Faustregel gilt: Unternehmen im Gesundheits- und Sozialbereich mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von über 10 Millionen Euro fallen grundsätzlich in den Anwendungsbereich. Für stationäre Pflegeeinrichtungen mit entsprechender Bettenzahl oder ambulante Dienste mit einer bestimmten Versorgungsquote können bereits niedrigere Schwellen gelten, wenn sie als systemrelevant eingestuft werden.
Wichtig: Selbst wenn Ihr Pflegedienst die Schwellenwerte heute nicht erreicht, kann eine Einstufung durch die zuständige Behörde (in Brandenburg das Ministerium des Innern und für Kommunales) erfolgen, wenn Ihr Ausfall erhebliche gesellschaftliche Auswirkungen hätte.
Konkrete Anforderungen für betroffene Einrichtungen
1. Risikomanagement und Sicherheitsmaßnahmen
Betroffene Einrichtungen müssen geeignete technische und organisatorische Maßnahmen treffen, um Risiken für die Sicherheit ihrer Netzwerke und Informationssysteme zu beherrschen. Dazu gehören: ein dokumentiertes Risikomanagementsystem, Sicherheitskonzepte nach anerkannter Methodik (etwa nach BSI-Grundschutz-Methodik), regelmäßige Sicherheitsüberprüfungen sowie Maßnahmen zur Zugriffskontrolle, Verschlüsselung und Business Continuity.
2. Meldepflichten bei Sicherheitsvorfällen
Ein Cyberangriff oder schwerwiegender Sicherheitsvorfall muss innerhalb von 24 Stunden dem BSI gemeldet werden — eine Frühwarnung. Spätestens nach 72 Stunden ist ein detaillierter Bericht einzureichen, der Auskunft über die Art des Vorfalls, den Umfang der Betroffenheit und erste Gegenmaßnahmen gibt. Innerhalb eines Monats ist ein abschließender Bericht zu übermitteln. Diese Fristen sind eng und erfordern klare interne Prozesse und eine technische Infrastruktur, die Vorfälle überhaupt erst erkennt.
3. Persönliche Geschäftsführerhaftung
Das ist die für viele Geschäftsführer überraschendste Neuerung: NIS2 sieht eine persönliche Haftung der Leitungsorgane vor. Wenn ein Sicherheitsvorfall auf mangelnde Umsetzung der Sicherheitsmaßnahmen zurückzuführen ist, können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden — und das Management kann persönlich für Schäden in Regress genommen werden. Eine Delegation der Verantwortung auf IT-Mitarbeitende oder externe Dienstleister entbindet nicht von der Haftung; die Pflicht zur Kontrolle und Überwachung bleibt beim Geschäftsführer.
Handlungsempfehlungen für Pflegedienste
Prüfen Sie zunächst, ob Ihr Unternehmen in den Anwendungsbereich der NIS2 fällt — im Zweifel mit anwaltlicher oder fachkundiger IT-Beratung. Führen Sie anschließend eine Bestandsaufnahme Ihrer aktuellen IT-Sicherheitsmaßnahmen durch und identifizieren Sie Lücken gegenüber den Anforderungen. Erstellen Sie ein dokumentiertes Informationssicherheitskonzept auf Basis der BSI-Grundschutz-Methodik und etablieren Sie klare Prozesse für die Vorfallserkennung und -meldung. Schulen Sie Ihre Mitarbeitenden in IT-Sicherheit und sensibilisieren Sie insbesondere das Leitungspersonal für die neue Rechtslage.
Wie Fürstmann.IT Sie unterstützt
Wir begleiten Pflegedienste und soziale Einrichtungen in Brandenburg bei der NIS2-konformen Ausrichtung ihrer IT-Sicherheit. Dazu gehören die initiale Bestandsaufnahme (Gap-Analyse), die Erstellung eines Sicherheitskonzepts nach Enterprise-Standards, die technische Umsetzung von Sicherheitsmaßnahmen sowie die Einrichtung von Monitoring und Incident-Response-Prozessen. Unsere langjährige Erfahrung in der IT-Betreuung von Pflegediensten ermöglicht praxisnahe Lösungen, die zu Ihrem Betrieb passen — ohne überdimensionierte Konzepte.
NIS2 mag komplex erscheinen, aber die wesentlichen Maßnahmen — strukturiertes Patch-Management, Zugriffskontrolle, Datensicherung und Vorfallsdokumentation — sind für jeden Pflegedienst umsetzbar und sollten ohnehin zum Standard gehören.