Veröffentlichungen des Paritätischen Gesamtverbandes, Teil 1064Redaktion
Berlin (Weltexpresso) - Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) setzt die NIS-2-Richtlinie (EU) 2022/2555 in deutsches Recht um. Eine EU-Richtlinie ist grundsätzlich nicht unmittelbar anwendbar, sondern bedarf – wie hier geschehen – eine Umsetzung durch den nationalen Gesetzgeber.
Das deutsche Gesetz ist bereits seit Dezember 2025 in Kraft.
Das NIS2UmsuCG ändert bereits bestehende Gesetze, unter anderem fasst es das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) neu, Art. 1 NIS2UmsuCG. In diesem Gesetz ist geregelt, welche Unternehmen von den Pflichten für mehr Cybersicherheit betroffen sind und welche Anforderungen an sie im Detail bestehen.
Inhalt und Ziel der Regelungen
Durch die Regelungen sollen Gefahren im Bereich der Cybersicherheit begegnet werden. Unternehmen und öffentliche Einrichtungen, die für die Gesellschaft eine besonders relevante Dienstleistung erbringen, sind nun verpflichtet, verschärfte Risikomanagements-Vorgaben umzusetzen. Durch die gesetzlichen Änderungen sollen die Anforderungen an die Cybersicherheit vereinheitlicht und teilweise verschärft werden. Der deutsche Gesetzgeber geht davon aus, dass nun circa 30.000 Unternehmen betroffen sind, unter anderem auch Einrichtungen im Gesundheitswesen. Die Einrichtungen müssen jeweils für sich selbst prüfen, ob sie von den Regelungen erfasst sind und sodann die vorgeschriebenen Maßnahmen umsetzen.
Für wen gelten die neuen Regelungen?
- 28 BSIG legt fest, für welche Einrichtungen die neuen Regelungen gelten.
Für die Wohlfahrtspflege besonders relevant ist die Betroffenheit juristischer Personen, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten und einer in den Anlagen 1 und 2 des BSIG aufgeführten Einrichtungsart zuzuordnen sind.
Als besonders relevant für soziale Träger ist der in der Anlage 1 genannte Sektor Gesundheit hervorzuheben. Hierunter zählen – neben Unternehmen im Bereich der Arzneimittelforschung und der Herstellung von Medizinprodukten – auch die Erbringer von Gesundheitsdienstleistungen im Sinne der Richtlinie (EU) 2011/24. In dieser Richtlinie sind „Gesundheitsdienstleister“ als Personen oder Einrichtungen definiert, die in einem EU-Mitgliedsstaat rechtmäßig Gesundheitsdienstleistungen erbringen. Gesundheitsdienstleistungen sind wiederum Maßnahmen, die den Gesundheitszustand einer Person beurteilen, erhalten oder wiederherstellen. Davon umfasst ist auch die Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten.
Angehörige von Gesundheitsberufen – die regelmäßig solche Gesundheitsdienstleistungen erbringen – sind Ärzt*innen, Zahnärzt*innen, Pflegefachpersonen für allgemeine Pflege, Hebammen, Apotheker*innen sowie weitere Fachkräfte, die im Gesundheitsbereich tätig sind und deren Tätigkeit durch die RL 2005/36/EG reglementiert ist sowie solche die nach den Regelungen des jeweiligen EU-Mitgliedsstaates als Angehörige eines Gesundheitsberufes gelten (z. B. Diätassistent*innen, Ergo-, und Physiotherapeut*innen, Logopäd*innen, medizinische Technolog*innen, Notfallsanitäter*innen, Psychotherapeut*innen, Tierärzt*innen, weitere Berufe finden sich auf der Website des Bundesgesundheitsministeriums).
Davon ausgenommen sind jedoch Dienstleistungen in der Langzeitpflege. Die Richtlinie (EU) 2011/24 nimmt häusliche Pflegedienste und betreute Wohnformen in Wohnheimen oder -stätten („Pflegeheime“) explizit von ihrem Anwendungsbereich aus. Da das BSIG auf die Definition dieser Richtlinie verweist, gilt die Ausnahme gleichermaßen für die Anwendbarkeit des BSIG. Auch in der Gesetzesbegründung zum NIS2UmsuCG wird die Ausnahme für Einrichtungen der Langzeitpflege, deren Ziel darin besteht, Personen zu unterstützen, die auf Hilfe bei routinemäßigen, alltäglichen Verrichtungen angewiesen sind, betont (BT-Drs. 21/1501, S. 177, 178).
Ferner müssen die Einrichtungen im Gesundheitssektor, die vom BSIG erfasst sind, zusätzlich bestimmte Schwellenwerte überschreiten:
- Als wichtige Einrichtung werden entweder mindestens 50 Mitarbeiter*innen beschäftigt oder es liegt ein Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro vor, § 28 Abs. 2 Nr. 3 BSIG.
- Als besonders wichtige Einrichtung werden entweder mindestens 250 Mitarbeiter*innen beschäftigt oder es liegt ein Jahresumsatz von über 50 Millionen Euro und eine Jahresbilanzsumme von über 43 Millionen Euro vor, § 28 Abs. 1 Nr. 4 BSIG.
- Ebenfalls zu den besonders wichtigen Einrichtungen gehören auch Betreiber kritischer Anlagen:
Wer als Betreiber einer kritischen Anlage gilt, wird durch die Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-KritisV) geregelt. Nach dieser Verordnung können ebenfalls Dienstleistungen im Gesundheits-Sektor als kritische Anlage bezeichnet werden und gehören damit zu den besonders wichtigen Einrichtungen. Voraussetzung dafür ist, dass es sich um eine Einrichtung im Sinne von § 6 Abs. 1 BSI-KritisV handelt. Beispielhaft kommen hier Krankenhäuser als stationäre medizinische Versorgung infrage. Die Einrichtung muss als zusätzliche Voraussetzung ebenfalls bestimmte Schwellenwerte überschreiten. Ein Krankenhaus muss vollstationäre Fallzahlen von 30.000 pro Jahr aufweisen § 6 Abs. 4 BSI-KritisV i. V. m. Anlage 5 der BSI-KristisV.
Welche wichtigen Pflichten gelten für die betroffenen Unternehmen?
1. Risikomanagement-Maßnahmen, § 30 BSIG
In § 30 Abs. 2 BSIG findet sich ein Mindestkatalog von technischen und organisatorischen Maßnahmen, die sowohl von den wichtigen als auch von den besonders wichtigen Einrichtungen umgesetzt werden müssen. Dazu gehören unter anderem die Erstellung von Konzepten in Bezug auf die Risikoanalyse und die Gewährleistung eines Backup-Managements.
Für die Umsetzung und Überwachung der Maßnahmen sind die Geschäftsleitungen verantwortlich, § 38 Abs. 1 BSIG.
Für Betreiber von kritischen Anlagen gelten darüber hinaus gehende Anforderungen, die in § 31 BSIG geregelt sind.
2. Meldepflichten, § 32 BSIG
Bei einem erheblichen Sicherheitsvorfall besteht eine dreistufige Meldepflicht. Für Betreiber kritischer Anlagen bestehen nach § 32 Abs. 4 BSIG in einer solchen Situation weitergehende Verpflichtungen. Zusätzlich kann ein Sicherheitsvorfall auch mit Unterrichtungspflichten nach Art. 35 BSIG einhergehen.
Daneben ist ebenfalls zu prüfen, ob durch den Sicherheitsvorfall auch Pflichten aus der DSGVO entstanden sind.
3. Registrierungspflicht, § 33 BSIG
Wichtige und besonders wichtige Einrichtungen im Sinne des BSIG müssen sich innerhalb von drei Monaten als solche registrieren.
4. Schulungspflichten, § 38 Abs. 3 BSIG
Die Geschäftsleitungen der wichtigen und besonders wichtigen Einrichtungen müssen regelmäßig Schulungen zu den relevanten Themen von Sicherheit der Informationstechnik und Risikomanagements-Praktiken besuchen.
5. Nachweispflichten, § 39 BSIG
Für Betreiber kritischer Anlagen gelten regelmäßige Nachweispflichten.
Dokumente zum Download
Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) (1 MB)
Foto:
©Fraunhofer IESE
