Die NIS2-Richtlinie ist in Deutschland Gesetz – mit drastischen Folgen für IT-Sicherheit. Krankenhäuser und Unternehmen müssen neue Pflichten erfüllen, um Cyberrisiken zu minimieren und Sanktionen zu vermeiden.
Zu Beginn von Lewis Carrolls Alice im Wunderland fällt der Protagonistin ein weißes Kaninchen auf, das murmelt: „Oh weh! Oh weh! Ich werde zu spät kommen!“ Alice sprang ihm hinterher in den Kaninchenbau und stürzte damit in eine Welt, in der die bekannte Logik nur noch bedingt gilt.
30.000 Unternehmen betroffen
Viel zu spät trat am 6. Dezember 2025 das deutsche Umsetzungsgesetz zu NIS2, der zweiten Netzwerk- und Informationssicherheitsrichtlinie der Europäischen Union (EU), in Kraft, das viel mehr Unternehmen als bisher ins Wunderland der IT-Security führen wird. Waren bislang etwa 2.000 Unternehmen betroffen, die als Kritische Infrastruktur (KRITIS) gelten, kann man nun von 30.000 betroffenen Unternehmen ausgehen – darunter auch viele Einrichtungen des Gesundheitswesens –, da der Anwendungsbereich deutlich ausgeweitet wurde.
Die Intention hinter NIS2 ist unbestritten: mehr Cybersicherheit und mehr Resilienz. Doch die Umsetzung erzeugt Reibungsverluste. Neue Meldepflichten, Interpretationsspielräume und ein enormer administrativer Aufwand treffen auf Unternehmen, die schon jetzt kaum mit der Dynamik digitaler Bedrohungen Schritt halten. Während der Gesetzgeber versucht, möglichst viele potenzielle Risikopunkte zu erfassen, entsteht für die Praxis ein Graubereich, der Planungssicherheit untergräbt. Wer vorsorgt, zahlt drauf. Wer abwartet, riskiert Sanktionen. Gleichzeitig nimmt NIS2 ausdrücklich die Klinikleitung in die persönliche Verantwortung und unterwirft sie einer Schulungspflicht.
Keine Umsetzungsfrist
Wie ernst es dem Gesetzgeber mit den Sanktionen ist, zeigt § 61 Abs. 9 Satz 2 Nr. 2 des BSI-Gesetzes (neu), gemäß dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) – mit Umweg über die Fachaufsichtsbehörde – Geschäftsleitungen von KRITIS-Unternehmen, die den Anweisungen der Behörde nicht folgen, vorübergehend absetzen lassen kann. Alice traf auf den Hutmacher, der sich in einer endlosen Teestunde befand, da für ihn die Zeit angehalten wurde. So ähnlich lief es mit NIS2, denn die EU-Richtlinie stammt aus dem Jahr 2022 und hätte schon bis zum 17. Oktober 2024 umgesetzt sein müssen. Da die Bundesregierung dies verpasst hat, gibt es nun keine Umsetzungsfrist.
Für mittelständische Unternehmen wie kleinere Krankenhäuser hat NIS2 massive Auswirkungen – zumal wenn sie jetzt erst beginnen, sich mit Informationssicherheit zu beschäftigen. Der initiale Aufwand für den Aufbau angemessener Sicherheitsmaßnahmen ist immens und Fachkräfte sind kaum zu bekommen. Den klassischen Krankenhaus-ITler kann man damit aber nicht alleinlassen, denn allzu oft ist er faktischen Zwängen unterworfen und wird Funktionalität meist höher gewichten als Sicherheit. Gleichwohl sind die geforderten Maßnahmen kein bürokratischer Blödsinn – sie dienen direkt dem Schutz des Krankenhauses.
Hilfsmittel vom BSI und von Verbänden
NIS2 gleicht ein wenig der berühmten Grinsekatze, die in paradoxen und doppeldeutigen Sätzen spricht. So ähnlich kommen einem möglicherweise die NIS2-Regelungen vor, wenn man sich zum ersten Mal damit beschäftigt. Gleichwohl gibt es viele praktische Hilfsmittel von Behörden wie dem BSI und Verbänden, mit denen man sich tunlichst beschäftigen sollte. Denn einen Ausweg gibt es nicht. Erinnern Sie sich, wie Alice das Wunderland verlässt? Sie erwacht aus ihrem Traum. NIS2 ist kein Wunderland, sondern jetzt gesetzliche Realität.
