Die NIS-2 (Network and Information Security) Richtline ist eine europäische Richtlinie (Directive (EU) 2022/2555), die innerhalb der EU die Mindeststandards für die Cybersecurity festlegt.
Betrifft diese Richtlinie auch IVD- und Medizinproduktehersteller? Falls ja, was verlangt sie und was sollten die Hersteller tun? Antworten gibt Ihnen dieser Fachartikel.
- Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft, welches im Kern die Änderung des BSI-Gesetzes enthält und die EU NIS-2-Richtlinie in nationales Recht umsetzt.
- Nur „kritische“ Medizinprodukte- und IVD-Hersteller sind betroffen.
- Betroffene Unternehmen unterlegen einer Registrierungspflicht, einer Meldepflicht sowie Anforderungen an das IT-Security-Risk-Management.
- Das Johner Institut unterstützt die Unternehmen dabei, herauszufinden, ob sie betroffen sind, und die Anforderungen zu erfüllen.
- Weitere Anforderungen an die IT-Sicherheit (z.B. aus der MDR, IVDR) bestehen unabhängig von NIS-2.
1. Worum geht es bei NIS-2?
a) Zielsetzung
Die Bedrohungen der IT-Infrastrukturen durch Cyberangriffe nehmen zu. Entsprechend stellen die Gesetzgeber zunehmend mehr Anforderungen, die die Unternehmen einhalten müssen.
Ein Beispiel ist die NIS-2, die EU-Richtlinie 2022/2555, welche die EU am 27.12.2022 veröffentlicht hat. NIS steht für „Network and Information Security“. Die Ziffer zwei deutet an, dass es bereits eine ältere Richtlinie zur Cybersecurity aus dem Jahr 2016 gibt.
Die wichtigsten Ziele der NIS-2 sind:
- Erhöhung der Cybersicherheit durch die Verbesserung der Sicherheit von Netzwerk- und Informationssystemen
- Bessere Zusammenarbeit durch verstärkte Kommunikation und Informationsaustausch zwischen den EU-Mitgliedsstaaten
- Höhere Widerstandsfähigkeit wichtiger Sektoren wie Energie, Verkehr und Gesundheitswesen gegenüber Cyberbedrohungen
- Einführung der Meldepflicht von Sicherheitsvorfällen für Betreiber kritischer Dienste und digitale Dienstanbieter
- Verstärkter Schutz der Vertraulichkeit und Integrität von Daten, insbesondere personenbezogener Daten
- Unterstützung bei der Erkennung und Reaktion auf Cyberangriffe
b) Nationale Umsetzung
Wie alle EU-Richtlinien zwingt auch die NIS-2 die EU-Mitgliedsstaaten, die Anforderungen in nationales Recht zu überführen. In diesem Fall musste das bis Oktober 2024 geschehen sein.
In Deutschland trat erst am 05.12.2025 das NIS-2-Umsetzungsgesetz in Kraft, welches – wie der Name sagt – die Vorgaben der EU-Richtlinie in nationales Recht implementiert. Dieses Umsetzungsgesetz wiederum legt fest, dass das „BSI-Gesetz“ (BSIG) und insgesamt 32 andere Gesetze und Verordnungen wie das Telekommunikationsgesetz und das DIGA-Gesetz geändert werden (s. Abb. 1). Es bestimmt auch das BSI zur verantwortlichen nationalen Behörde.
Das NIS-2 möchte, dass die Mitgliedstaaten nationale Sicherheitsstrategien verabschieden und zuständige nationale Behörden für das Cyberkrisenmanagement sowie zentrale Anlaufstellen und Computer-Notfallteams benennen oder einrichten.
Die Richtlinie NIS-2 kann durch Durchführungsakte ergänzt werden.
Die Webseite des BSI listet wesentliche Pflichten, die durch das NIS-2-Umsetzungsgesetz entstehen.
2. Wer ist von NIS-2 betroffen?
Der Artikel 30 des NIS-2-Umsetzungsgesetzes sowie die darin referenzierten Anlagen 1 und 2 lassen sich zusammenfassen:
Jeder IVD- oder Medizinproduktehersteller, der mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanz von jeweils über 10 Millionen EUR aufweist, fällt in den Anwendungsbereich der NIS-2.
Die NIS-2 bestimmt ihren Anwendungsbereich im Artikel 2. Betroffen sind demnach wichtige und besonders wichtige Einrichtungen. Was dazu zählt, bestimmt für Deutschland der § 28 BSIG. Dieser Paragraf verweist auf seine Anhänge I und II.
a) Sektoren besonders wichtiger und wichtiger Einrichtungen
Definition gemäß Anhang I und Anhang II
Die Anlage 1 des BSIG listet die „Sektoren besonders wichtiger und wichtiger Einrichtungen“. Sie nennt im Kontext von IVD und Medizinprodukten:
Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates vom 25. Januar 2022 zu einer verstärkten Rolle der Europäischen Arzneimittel-Agentur bei der Krisenvorsorge und -bewältigung in Bezug auf Arzneimittel und Medizinprodukte (ABl. L 20 vom 31.1.2022, S. 1) („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden
Die genannte EU-Verordnung 2022/123 bestimmt allerdings keine Liste der kritischen Medizinprodukte. Vielmehr verpflichtet sie eine „hochrangige Lenkungsgruppe für Engpässe bei Medizinprodukten“, „nach Feststellung einer Notlage im Bereich der öffentlichen Gesundheit“ eine Liste der Kategorien kritischer Medizinprodukte „anzunehmen“. Im Englischen heißt es „adopt“.
Die Anlage 1 (Abschnitt 4) listet ebenfalls:
- Erbringer von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU
- EU-Referenzlaboratorien nach Artikel 15 der Verordnung (EU) 2022/2371
Ausnahmen
Ausgenommen sind „Einrichtungen“ mit weniger als 250 Mitarbeitenden, bei denen entweder der Jahresumsatz unter 50 Mio. EUR liegt oder die Jahresbilanzsumme 43 Mio. EUR unterschreitet.
Zusammenfassung
IVD- und MP-Hersteller fallen nur dann unter die Definition, wenn eine oder mehrere ihrer Produkte im Fall einer Notlage in die Liste der kritischen Produkte aufgenommen werden und sie als zumindest mittelständische Unternehmen zählen (gemäß der genannten Mitarbeiter- und Finanzzahlen).
b) Sektoren wichtiger Einrichtungen
Definition gemäß Anhang II
Der Anlage 2 Abschnitt 5.1.1 des BSIG listet die „Sektoren wichtiger Einrichtungen“. Das erscheint nicht überschneidungsfrei mit Anlage 1, ist es allerdings definitionsgemäß.
Er betrifft im Kontext von Medizinprodukten und IVD:
Unternehmen, die Medizinprodukte nach Artikel 2 Nummer 1 der Verordnung (EU) 2017/745 herstellen, und Unternehmen, die In-vitro-Diagnostika nach Artikel 2 Nummer 2 der Verordnung (EU) 2017/746 herstellen, mit Ausnahme von Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022/123 („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden.
Ausnahmen
Ausgenommen sind „Einrichtungen“ mit weniger als 50 Mitarbeitenden, bei denen entweder der Jahresumsatz unter 10 Mio. EUR oder die Jahresbilanzsumme unter 10 Mio. EUR liegt.
Zusammenfassung
Alle IVD- und Medizinproduktehersteller fallen unter diese zweite Definition, falls sie nicht zu den kleinen Unternehmen (gemäß der genannten Mitarbeiter- und Finanzzahlen) zählen. Hersteller, die zur ersten Kategorie zählen, sind ebenfalls ausgenommen.
3. Was sind die wichtigsten Anforderungen?
a) Überblick
Das BSI verlangt von den wichtigen und besonders wichtigen Einrichtungen, dass sie sich nach dem Stand der Technik wirksam durch technische und organisatorische Maßnahmen schützen. Sie verlangt ein Risikomanagementsystem (Fokus IT-Sicherheit) inklusive Risikoanalyse, Risikobewertung und (z.T. vorgegeben) risikominimierenden Maßnahmen.
Weiter bestehen Meldepflichten, die Pflicht zur Registrierung beim BSI sowie Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsführungen.
Die Anhänge unterscheiden zwar zwischen „Sektoren besonders wichtiger und wichtiger Einrichtungen“ und „Sektoren wichtiger Einrichtungen“. Aber die Anforderungen unterscheiden kaum zwischen „wichtigen Einrichtungen und besonders wichtigen Einrichtungen“. Das heißt, dass sie für alle IVD- und Medizinproduktehersteller ab den genannten Größen gelten.
b) Zusammenfassung
Die Anforderungen der NIS-2-Richtlinie bzw. die Anforderungen des im NIS2UmsuCG überarbeiteten BSIG haben eine hohe Überschneidung mit den Anforderungen eines Informationssicherheitsmanagementsystems (ISMS) z. B. nach ISO 27001:2022.
In anderen Worten: Die Umstellung auf NIS-2-Konformität ist für Hersteller, die kein Informationssicherheitsmanagementsystem (ISMS) implementiert haben, mit erheblichen Aufwänden verbunden.
Umgekehrt erfüllen die Unternehmen, die bereits ISO 27001:2022-konform arbeiten, bereits (weitgehend) die Anforderungen der NIS-2 bzw. der nationalen Gesetze. Das British Standards Institute hat ein Mapping-Tool entwickelt, das die Anforderungen der NIS-2 mit dem Anhang A der ISO 27001:2022 gegenüberstellt.
4. Was sind gute nächste Schritte?
Schritt 1: Betroffenheit klären
Sobald das NIS2UmsuCG in Kraft tritt, müssen die Hersteller die Anforderungen erfüllt haben. Eine Übergangsfrist ist nicht zu erwarten. Unternehmen sollten also zeitnah prüfen, ob sie unter NIS-2 bzw. NIS2UmsuCG fallen.
Schritt 2: Nicht erfüllte Anforderungen bestimmen
Falls ja, müssen sie sich mit der EU-Richtlinie bzw. mit dem NIS2UmsuCG auseinandersetzen und die nicht erfüllten Anforderungen bestimmen.
Unternehmen mit einem ISMS nach ISO 27001:2022 wird dies sehr leichtfallen. Denn deren Informationssicherheitsbeauftragter (ISB) dürfte leicht verstehen, was zu tun ist, und könnte die Deltas identifizieren.
Schritt 3: ISMS etablieren oder ergänzen
Auch bei diesem Schritt werden sich die Unternehmen mit einem ISMS leichter tun, wenn es darum geht, die Lücken im ISMS zu schließen. Dazu zählt auch die Festlegung eines Meldeprozesses sowie die Ergänzung des Risikomanagements.
Für die anderen Unternehmen steht der Aufbau eines ISMS an. Denn die Vorgaben der NIS-2 und des deutschen Gesetzes laufen genau darauf hinaus, selbst wenn keine Konformität mit einer Norm wie der ISO 27001 gefordert wird.
Insbesondere ist eine Zertifizierung nach ISO 27001 oder den BSI-Standards optional.
Ersparen Sie sich unnötige Aufwände! Implementieren Sie neben dem QMS kein(!) weiteres Managementsystem. Streben Sie vielmehr ein integriertes Managementsystem nach ISO 13485 und ISO 27001 (und ggf. weiteren Normen) an!
Schritt 4: Registrierung durchführen
Falls sie betroffen sind, müssen Sie Ihr Unternehmen registrieren.
5. Fazit und Zusammenfassung
An regulatorischen Vorgaben mangelt es den IVD- und Medizinproduktehersteller sicherlich nicht. Daher wäre es vollkommen nachvollziehbar, wenn sie über noch mehr Richtlinien, Gesetze und Verordnungen wie die NIS-2 bzw. das NIS2UmsuCG bzw. das BSIG klagten. Sicherlich ist es auch diskussionswürdig, weshalb gerade diese Hersteller als „wichtige Einrichtungen“ gelten.
Allerdings sind die Cyber-Bedrohungen inzwischen so massiv geworden, dass es aus Sicht einer Geschäftsführung unverantwortlich (und sogar illegal) wäre, diesen potenziell existenzgefährdenden Bedrohungen nichts entgegenzusetzen.
Daher ist das neue Gesetz (mit Bußgeldern in Millionenhöhe) für manchen eine Motivation, das Überfällige jetzt anzugehen.
Das Johner Institut unterstützt IVD- und Medizinproduktehersteller bei der Implementierung von integrierten Managementsystemen nach ISO 13485 und ISO 27001. Melden Sie sich, z. B. über unsere Kontaktseite.
Änderungshistorie
- 2026-01-13: Das deutsche NIS-2-Umsetzungsgesetz ist in Kraft. Daher
- Einleitenden Abschnitt geändert
- Key take-aways eingefügt
- Abschnittre 1.b) und 2. überarbeitet
- Absatz 4. 3. Schritt: Zweiten Satz eingefügt
- Absatz 4: 4. Schritt ergänzt
- 2024-11-05: Erste Version veröffentlicht
Sehr nuetzlicher Artikel der die Situation schoen zusammenfasst. Eine Frage zu 2.a) – hier stellt die EMA eine Liste der ‚main therapeutic groups (MTGs) in crisis preparedness‘ zur Verfuegung (08 July 2022, EMA/243660/2022), die bei der Einordnung bzgl. besonders wichtiger Unternehmen hilft. Oder sehen Sie die Liste als nicht einschlaegig an?
Sehr geehrter Schatz, vielen Dank für Ihr wertschätzendes Feedback.
Zu Ihrer Frage, die List of the Main Therapeutic Groups of Medicinal Products bezieht sich derzeit nur auf pharmazeutische Produkte. Die in der Verordnung (EU) 2022/213 im Artikel 21 geforderte „Lenkungsgruppe für Engpässe bei Medizinprodukten“, welche u.a. für die „Liste kritischer Medizinprodukte und bereitzustellende Informationen“ verantwortlich ist, hat sich meines Wissens noch nicht formiert.
Mit freundlichen Grüßen
Katrin Schnetter
Ausgezeichneter Artikel, vielen Dank.
Eine Frage habe ich zu Kapitel 2
Sie schreiben:
…..50 Mitarbeiter beschäftigt ODER einen Jahresumsatz…..
Im Internet finde ich unterschiedliche Aussagen, ob es UND oder eine ODER ist.
Also Beispiel: Unternehmen mit 51 MA und 8,5 Jahresumsatz sind bei einem UND nicht betroffen, sehrwohl bei einem ODER.
Vielen Dank für ein Feedback
Sehr geehrter Herr Müller, vielen Dank für Ihr großartiges Feedback.
Im BSIG, Kapitel 1, Anwendungsbereich, § 28 sind die besonders wichtigen Einrichtungen und die wichtigen Einrichtungen definiert.
Besonders wichtige Einrichtungen: (4) mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.
Wichtige Einrichtungen: (4) mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.
Mit den besten Grüßen
Katrin Schnetter
Guten Tag,
das NIS2-Umsetzungsgesetz ist in Kraft getreten und das BSI hat eine FAQ dazu veröffentlicht. Darin wird erwähnt, dass auch Distributoren von Medizinprodukten unter die wichtigen Einrichtungen fallen.
Ich kann aber nirgendwo sonst erkennen, dass Distributoren ebenfalls von NIS 2 betroffen sein könnten.
Können Sie sagen, wie Sie diese Situation sehen?
Lieber Herr Breß,
Sie beziehen sich auf die FAQ des BSI.
Wenn ein Distributor (im MDR-Sinne) faktisch „Bereitstellung/Abgabe“ am Markt macht, lässt sich daraus ableiten: Er ist eine Einrichtung im Gesundheitssektor und kann damit grundsätzlich in den NIS2-Anwendungsbereich rutschen (wenn zusätzlich die Größen-/Schwellenlogik erfüllt ist). NIS2 spricht typischerweise von „Einrichtungen“, die in einem Sektor tätig sind (nicht von bestimmten Rollen in der Lieferkette).
Viele Artikel/Checklisten vereinfachen NIS2 auf „Krankenhäuser, Energie, Wasser, IT-Dienstleister …“ und lassen die feineren sektoralen Auslegungen (z.B. „Abgabe/Bereitstellung von Medizinprodukten“) weg. Das ist der Grund, warum Sie Distributoren sonst nicht explizit aufgeführt finden.
Bedenken Sie aber, dass nicht automatisch jeder Medizinprodukte-Distributor betroffen ist. Klassischer Großhandel/Distributor ohne „Versorgungsfunktion“ (reine B2B-Logistik, keine „Abgabe“ an Patient/Leistungserbringer im Sinne der Gesundheitsdienstleistung, eher Handel/Logistik): Hier ist die Einordnung als „Gesundheitsdienstleistung“ nicht automatisch klar. Oft wird man genauer auf die konkrete Tätigkeit und die Zuordnung schauen müssen.
Herzliche Grüße
Christian Rosenzweig