NIS-2-Gesetz trifft Kliniken: Sofortige Anmeldung beim BSI nötig

Die Frist ist abgelaufen: Seit dem 6. Dezember 2025 gilt das verschärfte IT-Sicherheitsgesetz NIS-2 für Deutschlands Gesundheitswesen. Kliniken und Medizinische Versorgungszentren (MVZ) müssen sich jetzt unverzüglich registrieren – sonst drohen Millionenstrafen. Der Countdown läuft.

Das NIS-2-Umsetzungsgesetz markiert einen Paradigmenwechsel. Es zieht Tausende bisher nicht regulierter Einrichtungen in den Kreis der überwachten „kritischen“ und „wichtigen“ Entitäten. Eine Übergangsfrist gibt es nicht mehr. Die Rechtsanwälte von CMS Law-Now warnen in einer aktuellen Analyse vor Zögern.

Das Gesetz unterscheidet zwei Kategorien:
* Besonders wichtige Einrichtungen: Dazu zählen große Klinikketten und kritische Labore. Sie müssen sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
* Wichtige Einrichtungen: Diese Gruppe erfasst viele größere MVZ und Fachkliniken mit über 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Für sie gilt die Anmeldepflicht „unverzüglich“ – also sofort.

Der Unterschied ist entscheidend. Während „besonders wichtige“ Einrichtungen proaktiv überprüft werden, geschieht die Aufsicht bei „wichtigen“ Einrichtungen reaktiv, etwa nach einem Vorfall. Die Strafen für beide sind hart: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes können fällig werden.

Kliniken und MVZ sehen sich durch NIS‑2 plötzlich mit engen Meldefristen, persönlicher Geschäftsführerverantwortung und neuen Nachweispflichten konfrontiert. Viele Einrichtungen fragen sich, wie sie 24‑/72‑Stunden‑Meldefristen, Patch‑Management und Lieferkettensicherheit praktisch implementieren sollen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ bietet praxisnahe Maßnahmen für Risikomanagement, Incident‑Handling und Business‑Continuity speziell für das Gesundheitswesen – inklusive Checkliste zur BSI‑Registrierung. Kostenlosen Cyber‑Security‑Leitfaden für Kliniken herunterladen

Erste Pflicht: Registrierung und Risikomanagement

Für IT-Leiter und Compliance-Beauftragte steht die Klassifizierung ihrer Einrichtung nun an erster Stelle. Viele MVZ fallen durch die gesenkten Schwellenwerte erstmals unter die Aufsicht.

Die anschließende Registrierung über das BSI-Portal ist Pflicht. Doch der eigentliche Kern der NIS-2-Compliance liegt in den Risikomanagement-Maßnahmen. Kliniken müssen nachweisen, dass sie:
* Incident-Handling beherrschen: Sie müssen Cyber-Vorfälle erkennen, analysieren und eindämmen können.
* Lieferkettensicherheit gewährleisten: Die IT-Sicherheit von Software-Anbietern und Medizingeräteherstellern muss überprüft werden.
* Business Continuity sicherstellen: Notfall- und Wiederherstellungspläne müssen nicht nur existieren, sondern auch regelmäßig getestet werden.

Die Meldepflichten wurden deutlich verschärft. Erhebliche Cyber-Bedrohungen sind nun innerhalb von 24 Stunden (Frühwarnung) und detailliert binnen 72 Stunden an das BSI zu melden. Diese Frist gilt für Sicherheitsvorfälle – auch wenn noch kein Diebstahl personenbezogener Daten bestätigt ist.

BSI-Warnung unterstreicht die Dringlichkeit

Die Aktualität der Gefahr zeigte eine BSI-Warnung vom 15. Dezember. Die Behörde stufte eine kritische Schwachstelle in React Server Components – einer weit verbreiteten Web-Technologie – als „sehr hoch“ ein.

Dieser Fall ist ein Lackmustest für die neue Rechtslage. Unter NIS-2 kann das Unterlassen zeitnaher Patches bei bekannten kritischen Lücken als „grobfahrlässig“ gewertet werden. Das Gesetz macht Geschäftsführer persönlich für die Umsetzung von Cybersicherheitsmaßnahmen haftbar. Die Verantwortung kann nicht mehr vollständig an die IT-Abteilung delegiert werden.

Hinzu kommt die künftige Integration des Europäischen Gesundheitsdatenraums (EHDS). Die dort geforderte grenzüberschreitende Datenaustauschfähigkeit wird die ohnehin komplexe IT-Architektur der Kliniken weiter fordern.

Doppelbelastung durch „Digital Omnibus“ und EDPB-Fokus

Der regulatorische Druck kommt nicht allein von NIS-2. Der von der EU-Kommission im November vorgelegte „Digital Omnibus“ soll zwar langfristig die vielen Digital-Gesetze harmonisieren. Kurzfristig bedeutet er jedoch zusätzliche Unsicherheit für die Branche.

Bis zur Klärung müssen Kliniken vorerst doppelt melden: Datenschutzverletzungen an die Aufsichtsbehörden (LfDI/BfDI) und Sicherheitsvorfälle an das BSI.

Für 2026 hat der Europäische Datenschutzausschuss (EDPB) zudem seinen Schwerpunkt angekündigt. Nach dem „Recht auf Vergessenwerden“ 2025 wird die Einhaltung der Transparenz- und Informationspflichten überprüft werden. Die oft unverständlichen Datenschutzerklärungen, die Patienten bei der Aufnahme erhalten, geraten damit auf den Prüfstand. Behörden werden auf klare, verständliche Informationen drängen.

Die Botschaft der Regulierer ist eindeutig: Wer noch keine NIS-2-Analyse gestartet hat, sollte dies sofort tun. Selbst wenn die volle Compliance Monate dauert – der dokumentierte Fortschritt ist der beste Schutz vor den neuen, empfindlichen Strafen. Für die Verwaltungen im Gesundheitswesen dürfte die Weihnachtspause dieses Jahr anders ausfallen.

PS: Sorgen Sie dafür, dass ein NIS‑2‑Vorfall nicht zur existenziellen Bedrohung wird. Der Gratis‑Guide liefert konkrete, sofort anwendbare Vorlagen für Krankenhäuser: Anti‑Phishing‑Checks, klare Rollen für Incident‑Reporting, Patch‑Management‑Prozesse und Testpläne für Business‑Continuity. Die Praxis‑Checklisten helfen, Meldewege ans BSI und Anforderungen des EHDS strukturiert zu erfüllen. Jetzt kostenlosen Cyber‑Security‑Leitfaden sichern