Bundestag beschließt NIS-2-Umsetzungsgesetz

20. November 2025 von Synagon | Keine Kommentare

Am 13. November 2025 hat der Bundestag das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beschlossen. Mit diesem Gesetz wird die EU-Richtlinie NIS 2 verbindlich in deutsches Recht überführt. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt dies eine grundlegende Modernisierung des IT-Sicherheitsrechts dar.

Das Gesetz erweitert den Anwendungsbereich des BSI-Gesetzes (BSIG) erheblich, sodass künftig deutlich mehr Unternehmen und Einrichtungen den gesetzlichen Vorgaben unterliegen. Gleichzeitig werden die Meldepflichten bei Cybervorfällen verschärft und durch ein mehrstufiges Meldesystem ergänzt, das eine strukturierte und zeitnahe Meldung sicherheitsrelevanter Ereignisse gewährleistet. Unternehmen, die Opfer eines Cyberangriffs werden, sind verpflichtet, den Vorfall innerhalb von 24 Stunden nach dessen Entdeckung dem BSI zu melden. Ein Zwischenbericht ist innerhalb von 72 Stunden vorzulegen, ein Abschlussbericht spätestens nach einem Monat einzureichen.

Darüber hinaus erhält das BSI zusätzliche Aufsichts-, Kontroll- und Durchsetzungsbefugnisse, wodurch seine Rolle als zentrale Cybersicherheitsbehörde gestärkt wird. Für die Bundesverwaltung wird ein zentrales Sicherheitsmanagement eingeführt, das durch den neu geschaffenen „CISO Bund“ koordiniert wird. Das BSI kündigt an, betroffene Organisationen bei der Umsetzung der neuen Anforderungen zu unterstützen, unter anderem durch Betroffenheitsprüfungen und weitere Orientierungshilfen.

Mit dem Bundestagsbeschluss ist ein wesentlicher Schritt zur nationalen Umsetzung der NIS-2-Richtlinie erfolgt. Für das Inkrafttreten des Gesetzes sind jedoch noch der Beschluss des Bundesrats und die anschließende Verkündung im Bundesgesetzblatt erforderlich. Erst ab dem im Gesetz festgelegten Datum gelten die neuen Vorgaben verbindlich für Unternehmen und Einrichtungen in Deutschland.

Krankenhäuser gelten in der Regel als „besonders wichtige Einrichtung“, da sie über 250 Beschäftigten oder einen Jahresumsatz von über 50 Mio. Euro haben. In dieser Funktion unterliegen sie einer 3-stufigen Meldepflicht bei Sicherheitsvorfällen, der Registrierungspflicht beim BSI sowie der Pflicht zur Umsetzung einer Reihe von Maßnahmen zur Gewährleistung der IT-Sicherheit (vgl. § 30 der NIS-2-Richtlinie):

  1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
  2. Bewältigung von Sicherheitsvorfällen,
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
  7. grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
  8. Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,
  9. Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen,
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Außerdem müssen sie ein Informationssicherheitsmanagementsystem (ISMS) betreiben, was aber ohnehin schon seit den Vorgaben zur Patientensicherheit durch das Patientenrechtegesetz (Februar 2013) gefordert war und aktuell im § 391 SGB V verankert ist. Wichtig: Es müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOMs) ergriffen werden, um die IT-Sicherheit von Komponenten und Prozesse zu gewährleisten und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Diese TOMs sind durch die Einrichtungen zu dokumentieren.

Das Krankenhaus kann darüber hinaus auch als Betreiber kritischer Anlagen gelten (Einordnung als KRITIS-Betreiber). Betreiber kritischer Anlagen sind Einrichtungen, deren Betrieb für die Erbringung einer kritischen Dienstleistung von erheblicher Bedeutung ist. Für diese KRITIS-Betreiber gelten zusätzliche Pflichten, wie bspw. einer Pflicht zur Erbringung regelmäßiger Nachweise (Audits) durch Sicherheitsaudits, Prüfungen oder Zertifizierungen von unabhängigen Stellen.

Welche Anlagen als kritisch eingestuft werden, richtet sich nach branchenspezifischen Schwellenwerten, die in der Rechtsverordnung BSI-KritisV (künftig: Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz) festgelegt sind. Die Kategorie KRITIS wird im Rahmen der Umsetzung der NIS-2-Richtlinie als zusätzliche Kategorie für besonders schützenswerte Unternehmen weitergeführt.

Krankenhäuser, die bereits als KRITIS-Betreiber gelten, sind automatisch als besonders wichtige Einrichtungen eingestuft – unabhängig von Umsatz oder Mitarbeiterzahl. (Quelle: BSI – Sektorspezifische FAQ zu NIS-2)

Kunden von Synagon, die über ein professionell eingerichtetes und gepflegtes Informationssicherheitsmanagementsystem verfügen, sind gut aufgestellt, um die neuen gesetzlichen Anforderungen sicher und effizient umzusetzen.

Quellen
Bundesamt für Sicherheit in der Informationstechnik (BSI), Pressemitteilung
Deutscher Bundestag – Kurzmitteilung
BSI – Sektorspezifische FAQ zu NIS-2

Themenverwandte Artikel
  • Erfahrungen für die Lösung komplexer Herausforderungen
  • Bundesministerium für Gesundheit (BMG) legt Krankenhauszukunftsgesetz vor
    •

    Schreibe einen Kommentar