Zur Übersicht
Khosla·Compliance
NIS2 · Maßnahmenstatus
Sektor Gesundheit · NIS2 Anhang I
NIS2 für Pflegedienste und Gesundheitsdienstleister

NIS2 im Pflegebetrieb – was konkret zu tun ist

Viele Einrichtungen merken erst bei Registrierung, Vorfall oder Prüfung, dass nicht die IT fehlt, sondern die saubere Linie aus Einordnung, Maßnahmen und Nachweisen. Genau dort beginnt die eigentliche Arbeit.

NIS2 im Pflegebetrieb umsetzenAnforderungen verstehenDokumentation aufbauenNachweise vorbereiten
Einordnung
18

Sektoren werden unter NIS2 ausdrücklich adressiert – Gesundheit gehört dazu.

Quelle: EU-Kommission · NIS2 Directive

Warum der Gesundheitssektor besonders betroffen ist
Gesundheit ist Anhang-I-Sektor — das bedeutet: strenger, früher, mit GF-Haftung.

NIS2 listet Gesundheitsdienstleister explizit in Anhang I der EU-Richtlinie. Wer 50+ Mitarbeitende hat oder als kritische Gesundheitsinfrastruktur gilt, ist unmittelbar betroffen — inklusive persönlicher Geschäftsführerhaftung nach §38 BSIG. Viele ambulante Pflegeorganisationen unterschätzen das, weil IT bisher "nebenbei" lief.

Strategische Einordnung
Viele lösen einzelne Pflichten separat. Später fehlt dann die Linie.

Registrierung, Meldeprozess, IT-Inventar und GF-Einbindung werden in der Praxis oft getrennt behandelt. Das reduziert kurzfristig Druck. Belastbar wird die Situation erst, wenn diese Punkte nachvollziehbar zusammengeführt und operativ geführt werden. Genau darauf ist der NIS2-Arbeitsplatz ausgelegt.

Kurzantwort für Pflegedienste

  • Ambulante Pflegedienste mit 50+ Mitarbeitenden fallen i.d.R. unter NIS2 — Sektor Gesundheit, Anhang I.
  • Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Die Registrierung kann weiterhin nachgeholt werden, aber Untätigkeit ist der schlechtere Weg.
  • Patientendaten, digitale Patientenakten und Abrechnungssysteme sind meldepflichtige IT-Infrastruktur.
  • Auch wenn die IT outgesourct ist: die Verantwortung bleibt beim Betreiber.
Was zählt: nicht "ob betroffen", sondern "mit welchem Nachweis".

Die drei größten Missverständnisse im Pflegesektor

„Wir sind zu klein“Die Größenschwelle liegt bei 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz. Viele ambulante Pflegeorganisationen überschreiten das — besonders wenn mehrere GmbHs zusammengerechnet werden (Gruppenregel §28 BSIG).
„IT macht unser Softwareanbieter“Outsourcing entbindet nicht von der Betreiberpflicht. NIS2 adressiert den Dienstleister als Einrichtung, nicht den IT-Anbieter. Die Meldepflicht bei Vorfällen liegt beim Pflegedienst selbst.
„Das gilt erst später“Die Registrierungsfrist beim BSI war der 6. März 2026. Wer sich noch nicht registriert hat, ist formal im Verzug. Die Registrierung kann weiterhin nachgeholt werden — aber sie ist keine Antwort auf fehlende Governance.

Was konkret zu tun ist — in dieser Reihenfolge

1. Betroffenheit schriftlich festhaltenMitarbeiterzahl, Umsatz, Sektor — dokumentiert, versioniert, von der Geschäftsführung gezeichnet. Das ist das Fundament für alles Folgende.
2. BSI-Registrierung nachholenÜber das BSI-Portal. Pflichtangaben: Kontaktdaten, Sektorzuordnung, Ansprechpartner für Sicherheitsfragen. Dauer: 20–30 Minuten.
3. IT-Inventar erstellenWelche Systeme sind im Einsatz? Patientendaten-Software, Abrechnungssystem, Kommunikationsdienste — alle in einer Liste mit Kritikalitätsbewertung.
4. Meldeprozess für Vorfälle definierenWer meldet was bis wann dem BSI? Im Pflegesektor ist die 24-Stunden-Frist bei erheblichen Vorfällen absolut — auch nachts, auch am Wochenende.
5. GF-Kenntnisnahme dokumentieren§38 BSIG macht die Geschäftsführung persönlich verantwortlich. Eine dokumentierte Kenntnisnahme schützt — fehlende Dokumentation haftet.

Typische Situation in Pflegeorganisationen

  • IT wird von einem externen Dienstleister „betreut“ — aber kein Vertrag mit Sicherheitsanforderungen
  • Patientendaten-Software läuft on-premise oder in einer Cloud ohne dokumentierte Schutzklasse
  • Kein definierter Ansprechpartner für IT-Sicherheitsvorfälle
  • Geschäftsführung wurde nie formal über NIS2-Pflichten informiert

Was NIS2 konkret bedeutet

Für einen ambulanten Pflegedienst mit 80 Mitarbeitenden und digitaler Patientenakte ist NIS2 kein abstraktes IT-Thema — es ist eine Betreiberpflicht mit Melde-, Dokumentations- und Nachweisanforderungen.

Diese Seite zeigt die Vorbereitung. Die eigentliche Strukturarbeit beginnt danach: Inventar, Meldepfad, Nachweise und Leitungseinbindung im Arbeitsplatz zusammenzuführen.

Häufige Fragen aus dem Pflegesektor

Gilt NIS2 auch für kleine Pflegedienste mit 30 Mitarbeitenden?
Nicht automatisch. Aber: wenn mehrere verbundene Unternehmen existieren oder der Pflegedienst für einen Krankenhaus-Verbund arbeitet, können Gruppenregeln greifen. Prüfung ist Pflicht.
Wir nutzen eine zertifizierte Pflegesoftware — reicht das?
Nein. NIS2 fordert organisatorische Maßnahmen: Governance, Meldeprozesse, Schulungen, Risikobewertung. Technik allein genügt nicht.
Was passiert, wenn wir uns nicht registriert haben?
Formal sind Sie im Verzug. Das BSI kann Bußgelder verhängen. Wichtiger: ein Sicherheitsvorfall ohne Meldung ist ein eigenständiger Verstoß mit hohem Bußgeldpotenzial.
Wer ist in der GF persönlich haftbar?
Nach §38 BSIG alle Mitglieder der Geschäftsleitung — also auch Pflegedirektoren und Prokuristen mit entsprechenden Leitungsfunktionen.

Weiterführend

Bin ich von NIS2 betroffen? — Allgemeine Prüfung NIS2-BSI-Frist verpasst – was jetzt? Die 24-Stunden-Meldepflicht erklärt
KMU-Kontext
99%

Viele Pflege- und Gesundheitsorganisationen sind klein oder mittelgroß, aber trotzdem nachweisgetrieben im Systemdruck.

Quelle: Eurostat

Wenn Sie den Gesamtstand strukturiert führen möchten

Kurze Einordnung für Gesundheitsdienstleister Optional: Wenn Sie Registrierung, Inventar, Meldeprozess und Leitungseinbindung in einer Linie zusammenführen möchten, können Sie hier den Einstieg vorbereiten.
Frage 1 von 5
Scoping · Gesundheitssektor

Welche Rolle hat Ihr Unternehmen im Gesundheitssektor?

Die NIS2-Pflichten unterscheiden sich je nach Rolle und Größe — auch innerhalb des Gesundheitssektors.

Scoping

Wie groß ist Ihre Organisation?

Im Gesundheitssektor gilt: auch mehrere verbundene Pflegegesellschaften werden zusammengerechnet.

Scoping

Trifft einer dieser Punkte zu?

Diese Situationen erhöhen die Dringlichkeit unabhängig von der Größe.

Scoping

Arbeiten Sie für Kunden oder Auftraggeber, die bereits Nachweise fordern?

Krankenkassen, Krankenhausträger und öffentliche Auftraggeber beginnen, NIS2-Nachweise einzufordern.

Scoping

Sind Sie Teil eines Trägerverbunds oder einer übergeordneten Organisation?

Kirchliche Träger, AWO, DRK und ähnliche Verbünde entwickeln gerade zentrale NIS2-Vorgaben für ihre Mitglieder.

Ergebnis

Ihr Einstieg in den NIS2-Arbeitsplatz

Startprofil wird ermittelt

Wir leiten jetzt Ihr Startprofil ab.

Das laden wir für Sie

  • Vorkonfiguration wird erstellt

Wichtig für den Einstieg

Zum NIS2-Arbeitsplatz
Das Ergebnis richtet Ihren NIS2-Arbeitsplatz auf den Gesundheitssektor vor. Alle Arbeitspakete, Vorlagen und Nachweisdokumente sind bereits auf Ihren Sektor abgestimmt.