Mit freundlicher Unterstützung von DextraData
Mit fast 20-monatiger Verspätung hat der Deutsche Bundestag am 13. November 2025 das Gesetz zur Umsetzung der NIS2-Richtlinie verabschiedet. Wichtig: Sobald das Gesetz auch den Bundesrat passiert hat, wird es keine Übergangsfrist geben. NIS2 gilt dann ab sofort. Betroffene Sanitätshäuser bekommen keinen Brief oder Ähnliches. Sie müssen selbst prüfen, ob sie NIS2-pflichtig sind. Die Galgenfrist ist vorüber, die Eigenverantwortung in der Umsetzung ist hoch. Es ist fünf vor zwölf.
Warum Sanitätshäuser betroffen sind
Die EU und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) verfolgen das Ziel, besonders wichtige Einrichtungen bei Cyberangriffen widerstandsfähiger zu machen. Sanitätshäuser erbringen Gesundheitsdienstleistungen. Dieser Teilsektor ist in NIS2 ausdrücklich erfasst. Damit gilt das Gesetz nicht nur für Kliniken und Hersteller, sondern auch für Betriebe, die Medizinprodukte bereitstellen oder abgeben. Wer dieses Profil erfüllt, gehört zum Sektor „Gesundheit“ und fällt in den Anwendungsbereich, sobald die Größenmerkmale erreicht sind.
Die Eintrittsschwelle
Wichtige Einrichtung ab etwa 50 Mitarbeitende oder bei Umsatz und Bilanzsumme jeweils über zehn Millionen Euro. Besonders wichtige Einrichtung ab etwa 250 Mitarbeitende oder bei Umsatz über 50 Millionen Euro und Bilanzsumme über 43 Millionen Euro. Wer wächst, rutscht hinein. Wer bereits heute darüber liegt, ist drin.
Was du jetzt dringend tun solltest
Die Einstufung prüfen. Zählt Dein Sanitätshaus anhand Mitarbeiterzahl, Umsatz und Bilanzsumme dazu, muss das Sanitätshaus registriert werden. Das erfolgt über das Melde- und Informationsportal (MIP). Als Nächstes muss ein Gremium zusammengestellt werden, das die NIS2-Umsetzung organisiert. Es wird immer wieder darauf hingewiesen, dass die Geschäftsführung bei Verstößen haften muss. Die Geschäftsführung gehört also an die Spitze des Gremiums.
Starte dann eine Gap-Analyse. NIS2 verlangt ein systematisches Risikomanagement, technische und organisatorische Schutzmaßnahmen, Prozesse für Vorfallmeldungen sowie Berichtsfähigkeit gegenüber der Aufsicht.
Und jetzt wird es knifflig
Es müssen die Governance, Rollen, Richtlinien, Schulung, Lieferkette, Monitoring, Backup und auch Wiederanlaufpläne geprüft werden. Für jedes Thema muss es KPIs und Verantwortliche geben.
Wenn das nicht geregelt ist, wird das in der NIS2-Richtlinie so wichtige Vorfallmanagement nicht funktionieren: Meldewege, Eskalation, Fristen und Kontaktpunkte beim BSI sind hier notwendig.
Auch Verträge und Lieferketten müssen geprüft werden. NIS2 verlangt, dass Risiken aus Dienstleistern und IT-Beschaffungen aktiv gesteuert werden. Außerdem bringt NIS2 Aufsicht und Kontrollen. Es muss also sehr viel Kleinteiliges unter verschiedenen Personen aufgeteilt, organisiert und dokumentiert werden.
Dann kommt die Entscheidung: Excel oder NIS2-Software?
Excel startet schnell, endet aber oft in Intransparenz: Versionen zirkulieren per Mail, Fristen verstreichen, Zuständigkeiten bleiben unklar, Evidenzen sind nicht revisionssicher, KPI und Berichte kommen zu spät und das Vorfallmanagement hakt bei Meldewegen und Schnittstellen.
Eine dedizierte NIS2-Lösung, wie unser Partner DextraData auf LEOS.HealthCloud anbietet, bündelt Rollen, Workflows, Kontrollen, Maßnahmen, Eskalationen, Fristensteuerung, Lieferkettenprüfung, Audit-Trail und Berichte an einem Ort. Wer seine Haftungsrisiken senken, Auditaufwände reduzieren und Meldepflichten zuverlässig erfüllen will, braucht diese Fähigkeiten integriert statt in Tabellen.
