{"id":5379843,"date":"2026-01-13T08:43:37","date_gmt":"2026-01-13T07:43:37","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=5379843"},"modified":"2026-01-13T08:46:30","modified_gmt":"2026-01-13T07:46:30","slug":"nis-2","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/","title":{"rendered":"NIS-2 zur Cybersecurity: Wahrscheinlich betrifft es Sie!"},"content":{"rendered":"\n<p>Die <strong>NIS-2 (Network and Information Security) Richtline<\/strong> ist eine europ\u00e4ische Richtlinie (Directive (EU) 2022\/2555), die innerhalb der EU die Mindeststandards f\u00fcr die Cybersecurity festlegt.<\/p>\n\n\n\n<p>Betrifft diese Richtlinie auch IVD- und Medizinproduktehersteller? Falls ja, was verlangt sie und was sollten die Hersteller tun? Antworten gibt Ihnen dieser Fachartikel.<\/p>\n\n\n\n<!--more-->\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 50 50\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><rect width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"39.73\" width=\"10.16\" height=\"10.27\"><\/rect><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Key take-aways<\/span><\/div>\n<ul class=\"wp-block-list\">\n<li>Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft, welches im Kern die \u00c4nderung des BSI-Gesetzes enth\u00e4lt und die EU NIS-2-Richtlinie in nationales Recht umsetzt.<\/li>\n\n\n\n<li>Nur &#8222;kritische&#8220; Medizinprodukte- und IVD-Hersteller sind betroffen. <\/li>\n\n\n\n<li>Betroffene Unternehmen unterlegen einer Registrierungspflicht, einer Meldepflicht sowie Anforderungen an das IT-Security-Risk-Management.<\/li>\n\n\n\n<li>Das Johner Institut unterst\u00fctzt die Unternehmen dabei, herauszufinden, ob sie betroffen sind, und die Anforderungen zu erf\u00fcllen.<\/li>\n\n\n\n<li>Weitere Anforderungen an die IT-Sicherheit (z.B. aus der MDR, IVDR) bestehen unabh\u00e4ngig von NIS-2.<\/li>\n<\/ul>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">1. Worum geht es bei NIS-2?<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Zielsetzung<\/h3>\n\n\n\n<p>Die Bedrohungen der IT-Infrastrukturen durch Cyberangriffe nehmen zu. Entsprechend stellen die Gesetzgeber zunehmend mehr Anforderungen, die die Unternehmen einhalten m\u00fcssen.<\/p>\n\n\n\n<p>Ein Beispiel ist die <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/?uri=CELEX:02022L2555-20221227\">NIS-2, die EU-Richtlinie 2022\/2555<\/a>, welche die EU am 27.12.2022 ver\u00f6ffentlicht hat. NIS steht f\u00fcr \u201eNetwork and Information Security\u201c. Die Ziffer zwei deutet an, dass es bereits eine \u00e4ltere Richtlinie zur Cybersecurity aus dem Jahr 2016 gibt.<\/p>\n\n\n\n<p>Die wichtigsten Ziele der NIS-2 sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Erh\u00f6hung der Cybersicherheit durch die Verbesserung der Sicherheit von Netzwerk- und Informationssystemen<\/li>\n\n\n\n<li>Bessere Zusammenarbeit durch verst\u00e4rkte Kommunikation und Informationsaustausch zwischen den EU-Mitgliedsstaaten<\/li>\n\n\n\n<li>H\u00f6here Widerstandsf\u00e4higkeit wichtiger Sektoren wie Energie, Verkehr und Gesundheitswesen gegen\u00fcber Cyberbedrohungen<\/li>\n\n\n\n<li>Einf\u00fchrung der Meldepflicht von Sicherheitsvorf\u00e4llen f\u00fcr Betreiber kritischer Dienste und digitale Dienstanbieter<\/li>\n\n\n\n<li>Verst\u00e4rkter Schutz der Vertraulichkeit und Integrit\u00e4t von Daten, insbesondere personenbezogener Daten<\/li>\n\n\n\n<li>Unterst\u00fctzung bei der Erkennung und Reaktion auf Cyberangriffe<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">b) Nationale Umsetzung<\/h3>\n\n\n\n<p>Wie alle EU-Richtlinien zwingt auch die NIS-2 die EU-Mitgliedsstaaten, die Anforderungen in nationales Recht zu \u00fcberf\u00fchren. In diesem Fall musste das bis Oktober 2024 geschehen sein.<\/p>\n\n\n\n<p>In Deutschland trat erst am 05.12.2025 das <a href=\"https:\/\/www.recht.bund.de\/bgbl\/1\/2025\/301\/VO.html\">NIS-2-Umsetzungsgesetz<\/a> in Kraft, welches &#8211; wie der Name sagt &#8211; die Vorgaben der EU-Richtlinie in nationales Recht implementiert. Dieses Umsetzungsgesetz wiederum legt fest, dass das \u201eBSI-Gesetz\u201c (BSIG) und insgesamt 32 andere Gesetze und Verordnungen wie das Telekommunikationsgesetz und das DIGA-Gesetz ge\u00e4ndert werden  (s. Abb. 1). Es bestimmt auch das BSI zur verantwortlichen nationalen Beh\u00f6rde.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-NIS2UmsuCG-BSI-Gesetz.jpg\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"403\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-NIS2UmsuCG-BSI-Gesetz-1024x403.jpg\" alt=\"Die NIS-2 muss als EU-Richtlinie in nationales Recht \u00fcberf\u00fchrt werden. \" class=\"wp-image-5379845\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-NIS2UmsuCG-BSI-Gesetz-1024x403.jpg 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-NIS2UmsuCG-BSI-Gesetz-300x118.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-NIS2UmsuCG-BSI-Gesetz-768x302.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-NIS2UmsuCG-BSI-Gesetz.jpg 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 1: Die NIS-2 muss als EU-Richtlinie in nationales Recht \u00fcberf\u00fchrt werden. <\/figcaption><\/figure>\n\n\n\n<p>Das NIS-2 m\u00f6chte, dass die Mitgliedstaaten nationale Sicherheitsstrategien verabschieden und zust\u00e4ndige nationale Beh\u00f6rden f\u00fcr das Cyberkrisenmanagement sowie zentrale Anlaufstellen und Computer-Notfallteams benennen oder einrichten.<\/p>\n\n\n\n<p>Die Richtlinie NIS-2 kann durch Durchf\u00fchrungsakte erg\u00e4nzt werden.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p><a href=\"https:\/\/www.bsi.bund.de\/dok\/nis-2-pflichten\">Die Webseite des BSI listet wesentliche Pflichten<\/a>, die durch das NIS-2-Umsetzungsgesetz entstehen. <\/p>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\">2. Wer ist von NIS-2 betroffen?<\/h2>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Zusammenfassung<\/span><\/div>\n<p>Der Artikel 30 des NIS-2-Umsetzungsgesetzes sowie die darin referenzierten Anlagen 1 und 2 lassen sich zusammenfassen:<\/p>\n\n\n\n<p><strong>Jeder IVD- oder Medizinproduktehersteller, der mindestens 50 Mitarbeiter besch\u00e4ftigt oder einen Jahresumsatz und eine Jahresbilanz von jeweils \u00fcber 10 Millionen EUR aufweist, f\u00e4llt in den Anwendungsbereich der NIS-2.<\/strong><\/p>\n<\/div>\n\n\n\n<p>Die NIS-2 bestimmt ihren Anwendungsbereich im Artikel 2. Betroffen sind demnach wichtige und besonders wichtige Einrichtungen. Was dazu z\u00e4hlt, bestimmt f\u00fcr Deutschland der \u00a7 28 BSIG. Dieser Paragraf verweist auf seine Anh\u00e4nge I und II.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">a) Sektoren besonders wichtiger und wichtiger Einrichtungen<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Definition gem\u00e4\u00df Anhang I und Anhang II<\/h4>\n\n\n\n<p>Die Anlage 1 des BSIG listet die \u201eSektoren besonders wichtiger und wichtiger Einrichtungen\u201c. Sie nennt im Kontext von IVD und Medizinprodukten:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><em>Unternehmen, die Medizinprodukte herstellen, die w\u00e4hrend einer Notlage im Bereich der \u00f6ffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022\/123 des Europ\u00e4ischen Parlaments und des Rates vom 25. Januar 2022 zu einer verst\u00e4rkten Rolle der Europ\u00e4ischen Arzneimittel-Agentur bei der Krisenvorsorge und -bew\u00e4ltigung in Bezug auf Arzneimittel und Medizinprodukte (ABl. L 20 vom 31.1.2022, S. 1) (\u201eListe kritischer Medizinprodukte f\u00fcr Notlagen im Bereich der \u00f6ffentlichen Gesundheit\u201c) eingestuft werden<\/em><\/p>\n<\/blockquote>\n\n\n\n<p>Die genannte <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/?uri=CELEX%3A32022R0123\">EU-Verordnung 2022\/123<\/a> bestimmt allerdings keine Liste der kritischen Medizinprodukte. Vielmehr verpflichtet sie eine <em>\u201ehochrangige Lenkungsgruppe f\u00fcr Engp\u00e4sse bei Medizinprodukten\u201c<\/em>, <em>\u201enach Feststellung einer Notlage im Bereich der \u00f6ffentlichen Gesundheit\u201c<\/em> eine Liste der Kategorien kritischer Medizinprodukte <em>\u201eanzunehmen\u201c<\/em>. Im Englischen hei\u00dft es \u201eadopt\u201c.<\/p>\n\n\n\n<p>Die Anlage 1 (Abschnitt 4) listet ebenfalls:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Erbringer von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011\/24\/EU<\/li>\n\n\n\n<li>EU-Referenzlaboratorien nach Artikel 15 der Verordnung (EU) 2022\/2371<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Ausnahmen<\/h4>\n\n\n\n<p>Ausgenommen sind \u201eEinrichtungen\u201c mit weniger als 250 Mitarbeitenden, bei denen entweder der Jahresumsatz unter 50 Mio. EUR liegt oder die Jahresbilanzsumme 43 Mio. EUR unterschreitet.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Zusammenfassung<\/h4>\n\n\n\n<p>IVD- und MP-Hersteller fallen nur dann unter die Definition, wenn eine oder mehrere ihrer Produkte im Fall einer Notlage in die Liste der kritischen Produkte aufgenommen werden und sie als zumindest mittelst\u00e4ndische Unternehmen z\u00e4hlen (gem\u00e4\u00df der genannten Mitarbeiter- und Finanzzahlen).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Sektoren wichtiger Einrichtungen<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Definition gem\u00e4\u00df Anhang II<\/h4>\n\n\n\n<p>Der Anlage 2 Abschnitt 5.1.1 des BSIG listet die \u201eSektoren wichtiger Einrichtungen\u201c. Das erscheint nicht \u00fcberschneidungsfrei mit Anlage 1, ist es allerdings definitionsgem\u00e4\u00df.<\/p>\n\n\n\n<p>Er betrifft im Kontext von Medizinprodukten und IVD:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Unternehmen, die Medizinprodukte nach Artikel 2 Nummer 1 der Verordnung (EU) 2017\/745 herstellen, und Unternehmen, die In-vitro-Diagnostika nach Artikel 2 Nummer 2 der Verordnung (EU) 2017\/746 herstellen, mit Ausnahme von Unternehmen, die Medizinprodukte herstellen, die w\u00e4hrend einer Notlage im Bereich der \u00f6ffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022\/123 (\u201eListe kritischer Medizinprodukte f\u00fcr Notlagen im Bereich der \u00f6ffentlichen Gesundheit\u201c) eingestuft werden.<\/p>\n<\/blockquote>\n\n\n\n<h4 class=\"wp-block-heading\">Ausnahmen<\/h4>\n\n\n\n<p>Ausgenommen sind \u201eEinrichtungen\u201c mit weniger als 50 Mitarbeitenden, bei denen entweder der Jahresumsatz unter 10 Mio. EUR oder die Jahresbilanzsumme unter 10 Mio. EUR liegt.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Zusammenfassung<\/h4>\n\n\n\n<p>Alle IVD- und Medizinproduktehersteller fallen unter diese zweite Definition, falls sie nicht zu den kleinen Unternehmen (gem\u00e4\u00df der genannten Mitarbeiter- und Finanzzahlen) z\u00e4hlen. Hersteller, die zur ersten Kategorie z\u00e4hlen, sind ebenfalls ausgenommen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Was sind die wichtigsten Anforderungen?<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) \u00dcberblick<\/h3>\n\n\n\n<p>Das BSI verlangt von den wichtigen und besonders wichtigen Einrichtungen, dass sie sich nach dem Stand der Technik wirksam durch technische und organisatorische Ma\u00dfnahmen sch\u00fctzen. Sie verlangt ein <strong>Risikomanagementsystem<\/strong> (Fokus IT-Sicherheit) inklusive Risikoanalyse, Risikobewertung und (z.T. vorgegeben) risikominimierenden Ma\u00dfnahmen.<\/p>\n\n\n\n<p>Weiter bestehen <strong>Meldepflichten<\/strong>, die Pflicht zur <strong>Registrierung<\/strong> beim BSI sowie <strong>Umsetzungs-, \u00dcberwachungs- und Schulungspflichten<\/strong> f\u00fcr Gesch\u00e4ftsf\u00fchrungen.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Achtung!<\/span><\/div>\n<p>Die Anh\u00e4nge unterscheiden zwar zwischen \u201eSektoren besonders wichtiger und wichtiger Einrichtungen\u201c und \u201eSektoren wichtiger Einrichtungen\u201c. Aber die Anforderungen unterscheiden kaum zwischen \u201ewichtigen Einrichtungen und besonders wichtigen Einrichtungen\u201c. Das hei\u00dft, dass sie f\u00fcr alle IVD- und Medizinproduktehersteller ab den genannten Gr\u00f6\u00dfen gelten.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">b) Zusammenfassung<\/h3>\n\n\n\n<p>Die Anforderungen der NIS-2-Richtlinie bzw. die Anforderungen des im NIS2UmsuCG \u00fcberarbeiteten BSIG haben eine hohe \u00dcberschneidung mit den Anforderungen eines Informationssicherheitsmanagementsystems (ISMS) z. B. nach ISO 27001:2022.<\/p>\n\n\n\n<p><strong>In anderen Worten: Die Umstellung auf NIS-2-Konformit\u00e4t ist f\u00fcr Hersteller, die kein Informationssicherheitsmanagementsystem (ISMS) implementiert haben, mit erheblichen Aufw\u00e4nden verbunden.<\/strong><\/p>\n\n\n\n<p>Umgekehrt erf\u00fcllen die Unternehmen, die bereits ISO 27001:2022-konform arbeiten, bereits (weitgehend) die Anforderungen der NIS-2 bzw. der nationalen Gesetze. Das British Standards Institute hat ein <a href=\"https:\/\/www.bsigroup.com\/globalassets\/localfiles\/de-de\/isoiec-27001\/ressourcen\/bsi-ce-nis2-mapping-tool-de-de-en.pdf?utm_source=pardot&amp;utm_medium=email&amp;utm_term=corporate-newsletter&amp;utm_campaign=CE-as-cross-brand-os-ot-nsp-mp-corporatenewsletter-0024\">Mapping-Tool<\/a> entwickelt, das die Anforderungen der NIS-2 mit dem Anhang A der ISO 27001:2022 gegen\u00fcberstellt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Was sind gute n\u00e4chste Schritte?<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 1: Betroffenheit kl\u00e4ren<\/h3>\n\n\n\n<p>Sobald das NIS2UmsuCG in Kraft tritt, m\u00fcssen die Hersteller die Anforderungen erf\u00fcllt haben. Eine \u00dcbergangsfrist ist nicht zu erwarten. Unternehmen sollten also zeitnah pr\u00fcfen, ob sie unter NIS-2 bzw. NIS2UmsuCG fallen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 2: Nicht erf\u00fcllte Anforderungen bestimmen<\/h3>\n\n\n\n<p>Falls ja, m\u00fcssen sie sich mit der EU-Richtlinie bzw. mit dem NIS2UmsuCG auseinandersetzen und die nicht erf\u00fcllten Anforderungen bestimmen.<\/p>\n\n\n\n<p>Unternehmen mit einem ISMS nach ISO 27001:2022 wird dies sehr leichtfallen. Denn deren Informationssicherheitsbeauftragter (ISB) d\u00fcrfte leicht verstehen, was zu tun ist, und k\u00f6nnte die Deltas identifizieren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 3: ISMS etablieren oder erg\u00e4nzen<\/h3>\n\n\n\n<p>Auch bei diesem Schritt werden sich die Unternehmen mit einem ISMS leichter tun, wenn es darum geht, die L\u00fccken im ISMS zu schlie\u00dfen. Dazu z\u00e4hlt auch die Festlegung eines Meldeprozesses sowie die Erg\u00e4nzung des Risikomanagements.<\/p>\n\n\n\n<p>F\u00fcr die anderen Unternehmen steht der Aufbau eines ISMS an. Denn die Vorgaben der NIS-2 und des deutschen Gesetzes laufen genau darauf hinaus, selbst wenn keine Konformit\u00e4t mit einer Norm wie der ISO 27001 gefordert wird.<\/p>\n\n\n\n<p>Insbesondere ist eine Zertifizierung nach ISO 27001 oder den BSI-Standards optional.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Tipp!<\/span><\/div>\n<p>Ersparen Sie sich unn\u00f6tige Aufw\u00e4nde! Implementieren Sie neben dem QMS <strong>kein(!)<\/strong> weiteres Managementsystem. Streben Sie vielmehr ein integriertes Managementsystem nach ISO 13485 und ISO 27001 (und ggf. weiteren Normen) an!<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">Schritt 4: Registrierung durchf\u00fchren<\/h3>\n\n\n\n<p>Falls sie betroffen sind, m\u00fcssen Sie Ihr Unternehmen registrieren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">5. Fazit und Zusammenfassung<\/h2>\n\n\n\n<p>An regulatorischen Vorgaben mangelt es den IVD- und Medizinproduktehersteller sicherlich nicht. Daher w\u00e4re es vollkommen nachvollziehbar, wenn sie \u00fcber noch mehr Richtlinien, Gesetze und Verordnungen wie die NIS-2 bzw. das NIS2UmsuCG bzw. das BSIG klagten. Sicherlich ist es auch diskussionsw\u00fcrdig, weshalb gerade diese Hersteller als \u201ewichtige Einrichtungen\u201c gelten.<\/p>\n\n\n\n<p>Allerdings sind die Cyber-Bedrohungen inzwischen so massiv geworden, dass es aus Sicht einer Gesch\u00e4ftsf\u00fchrung unverantwortlich (und sogar illegal) w\u00e4re, diesen potenziell existenzgef\u00e4hrdenden Bedrohungen nichts entgegenzusetzen.<\/p>\n\n\n\n<p>Daher ist das neue Gesetz (mit Bu\u00dfgeldern in Millionenh\u00f6he) f\u00fcr manchen eine Motivation, das \u00dcberf\u00e4llige jetzt anzugehen.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 50 50\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><rect width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"39.73\" width=\"10.16\" height=\"10.27\"><\/rect><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Unterst\u00fctzung<\/span><\/div>\n<p>Das Johner Institut unterst\u00fctzt IVD- und Medizinproduktehersteller bei der Implementierung von integrierten Managementsystemen nach ISO 13485 und ISO 27001. Melden Sie sich, z. B. \u00fcber unsere <a href=\"\/kontakt\/\">Kontaktseite<\/a>.<\/p>\n<\/div>\n\n\n\n<p>\u00c4nderungshistorie<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2026-01-13: Das deutsche NIS-2-Umsetzungsgesetz ist in Kraft. Daher \n<ul class=\"wp-block-list\">\n<li>Einleitenden Abschnitt ge\u00e4ndert<\/li>\n\n\n\n<li>Key take-aways eingef\u00fcgt<\/li>\n\n\n\n<li>Abschnittre 1.b) und 2. \u00fcberarbeitet<\/li>\n\n\n\n<li>Absatz 4. 3. Schritt: Zweiten Satz eingef\u00fcgt<\/li>\n\n\n\n<li>Absatz 4: 4. Schritt erg\u00e4nzt<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>2024-11-05: Erste Version ver\u00f6ffentlicht<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Die NIS-2 (Network and Information Security) Richtline ist eine europ\u00e4ische Richtlinie (Directive (EU) 2022\/2555), die innerhalb der EU die Mindeststandards f\u00fcr die Cybersecurity festlegt. Betrifft diese Richtlinie auch IVD- und Medizinproduktehersteller? Falls ja, was verlangt sie und was sollten die Hersteller tun? Antworten gibt Ihnen dieser Fachartikel.<\/p>\n","protected":false},"author":83,"featured_media":5379846,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1091],"tags":[1126],"ppma_author":[1246],"class_list":["post-5379843","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-qualitaetsmanagement-iso-13485","tag-it-security","category-1091","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.2 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>NIS-2: Wann Sie die Cybersecurity-Richtlinie betrifft<\/title>\n<meta name=\"description\" content=\"Die NIS-2 ist eine EU-Richtlinie zur IT-Sicherheit, die auch viele Medizinprodukte- und IVD-Hersteller betrifft. Was die tun sollten\u2026\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"NIS-2: Wann Sie die Cybersecurity-Richtlinie betrifft\" \/>\n<meta property=\"og:description\" content=\"Die NIS-2 ist eine EU-Richtlinie zur IT-Sicherheit, die auch viele Medizinprodukte- und IVD-Hersteller betrifft. Was die tun sollten\u2026\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-01-13T07:43:37+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-01-13T07:46:30+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"465\" \/>\n\t<meta property=\"og:image:height\" content=\"464\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Katrin Schnetter\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Katrin Schnetter\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"8\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/\"},\"author\":{\"name\":\"Katrin Schnetter\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/1a92845814e42dd212d0c3c1343454eb\"},\"headline\":\"NIS-2 zur Cybersecurity: Wahrscheinlich betrifft es Sie!\",\"datePublished\":\"2026-01-13T07:43:37+00:00\",\"dateModified\":\"2026-01-13T07:46:30+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/\"},\"wordCount\":1527,\"commentCount\":16,\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg\",\"keywords\":[\"IT Security\"],\"articleSection\":[\"Qualit\u00e4tsmanagement &amp; ISO 13485\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/\",\"name\":\"NIS-2: Wann Sie die Cybersecurity-Richtlinie betrifft\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg\",\"datePublished\":\"2026-01-13T07:43:37+00:00\",\"dateModified\":\"2026-01-13T07:46:30+00:00\",\"description\":\"Die NIS-2 ist eine EU-Richtlinie zur IT-Sicherheit, die auch viele Medizinprodukte- und IVD-Hersteller betrifft. Was die tun sollten\u2026\",\"breadcrumb\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#primaryimage\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg\",\"width\":465,\"height\":464},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Qualit\u00e4tsmanagement &amp; ISO 13485\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"NIS-2 zur Cybersecurity: Wahrscheinlich betrifft es Sie!\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/JohnerInstitut\/\",\"https:\/\/x.com\/christianjohner\",\"https:\/\/www.youtube.com\/user\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/1a92845814e42dd212d0c3c1343454eb\",\"name\":\"Katrin Schnetter\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png8164ad51c76cd33600cb77983b335d79\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png\",\"caption\":\"Katrin Schnetter\"},\"url\":\"https:\/\/www.johner-institut.de\/blog\/author\/katrinschnetter\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"NIS-2: Wann Sie die Cybersecurity-Richtlinie betrifft","description":"Die NIS-2 ist eine EU-Richtlinie zur IT-Sicherheit, die auch viele Medizinprodukte- und IVD-Hersteller betrifft. Was die tun sollten\u2026","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/","og_locale":"de_DE","og_type":"article","og_title":"NIS-2: Wann Sie die Cybersecurity-Richtlinie betrifft","og_description":"Die NIS-2 ist eine EU-Richtlinie zur IT-Sicherheit, die auch viele Medizinprodukte- und IVD-Hersteller betrifft. Was die tun sollten\u2026","og_url":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2026-01-13T07:43:37+00:00","article_modified_time":"2026-01-13T07:46:30+00:00","og_image":[{"width":465,"height":464,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg","type":"image\/jpeg"}],"author":"Katrin Schnetter","twitter_misc":{"Verfasst von":"Katrin Schnetter","Gesch\u00e4tzte Lesezeit":"8\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/"},"author":{"name":"Katrin Schnetter","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/1a92845814e42dd212d0c3c1343454eb"},"headline":"NIS-2 zur Cybersecurity: Wahrscheinlich betrifft es Sie!","datePublished":"2026-01-13T07:43:37+00:00","dateModified":"2026-01-13T07:46:30+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/"},"wordCount":1527,"commentCount":16,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg","keywords":["IT Security"],"articleSection":["Qualit\u00e4tsmanagement &amp; ISO 13485"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/","url":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/","name":"NIS-2: Wann Sie die Cybersecurity-Richtlinie betrifft","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg","datePublished":"2026-01-13T07:43:37+00:00","dateModified":"2026-01-13T07:46:30+00:00","description":"Die NIS-2 ist eine EU-Richtlinie zur IT-Sicherheit, die auch viele Medizinprodukte- und IVD-Hersteller betrifft. Was die tun sollten\u2026","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg","width":465,"height":464},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/nis-2\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Qualit\u00e4tsmanagement &amp; ISO 13485","item":"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/"},{"@type":"ListItem","position":3,"name":"NIS-2 zur Cybersecurity: Wahrscheinlich betrifft es Sie!"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/1a92845814e42dd212d0c3c1343454eb","name":"Katrin Schnetter","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png8164ad51c76cd33600cb77983b335d79","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png","caption":"Katrin Schnetter"},"url":"https:\/\/www.johner-institut.de\/blog\/author\/katrinschnetter\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/10\/NIS-2-BSI-Gesetz.jpg","jetpack-related-posts":[{"id":4724092,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/funkanlagenrichtlinie-red\/","url_meta":{"origin":5379843,"position":0},"title":"Funkanlagen-Richtlinie RED f\u00fcr vernetzte Medizinprodukte","author":"Mario Klessascheck","date":"2. Februar 2024","format":false,"excerpt":"F\u00fcr Ger\u00e4te, die WLAN oder RFID nutzen, gilt die Richtlinie 2014\/53\/EU (Funkanlagen-Richtlinie bzw. Radio Equipment Directive, RED). Auch Medizinprodukte, die \"funken\", etwa weil sie sich mit dem Internet verbinden oder \u00fcber eine Fernbedienung angesteuert werden, m\u00fcssen die Konformit\u00e4t mit der RED nachweisen, bevor sie auf den Markt d\u00fcrfen.\u00a0 Erfahren Sie\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/03\/funanlagenrichtline-anforderungen.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/03\/funanlagenrichtline-anforderungen.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/03\/funanlagenrichtline-anforderungen.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/03\/funanlagenrichtline-anforderungen.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":5371621,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/unterschiede-zwischen-mdr-und-mdd\/","url_meta":{"origin":5379843,"position":1},"title":"Unterschiede zwischen MDR und MDD","author":"Prof. Dr. Christian Johner","date":"20. April 2023","format":false,"excerpt":"Die Unterschiede zwischen der MDR und MDD sind gro\u00df. Dieser Artikel stellt diese Unterschiede vor. Damit verschafft er Herstellern, die ihre Produkte noch unter einer EU-Richtlinie (insbesondere MDD) in den Markt gebracht haben, einen \u00dcberblick \u00fcber die zu schlie\u00dfenden \u201eGaps\u201c. 1. Wie es zu den Unterschieden zwischen MDR und MDD\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/EU-Regulations-EU-Directives.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/EU-Regulations-EU-Directives.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/EU-Regulations-EU-Directives.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/EU-Regulations-EU-Directives.png?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/EU-Regulations-EU-Directives.png?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/04\/EU-Regulations-EU-Directives.png?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":8604,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/fda-guidance-zur-cybersecurity\/","url_meta":{"origin":5379843,"position":2},"title":"Die FDA Cybersecurity Guidance Documents","author":"Christian Rosenzweig","date":"3. September 2025","format":false,"excerpt":"Die Cybersecurity von Medizinprodukten ist nicht nur ein Schwerpunkt der FDA, sondern auch anderer Gesetzgeber und Beh\u00f6rden, sowohl in den US als auch anderen M\u00e4rkten. Das ist nachvollziehbar, weil einerseits die Cybersecurity-Bedrohungen st\u00e4ndig zunehmen und andererseits die Medizinprodukte immer vernetzter und damit angreifbarer sind. Zudem ist die Patientenversorgung wie die\u2026","rel":"","context":"In &quot;Risikomanagement &amp; ISO 14971&quot;","block_context":{"text":"Risikomanagement &amp; ISO 14971","link":"https:\/\/www.johner-institut.de\/blog\/category\/iso-14971-risikomanagement\/"},"img":{"alt_text":"FDA Postmarket Cybersecurity Guidance Cocument","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/09\/FDA-Postmarket-Cybersecurity-Guidance-Draft.png?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":12813,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/it-sicherheit-im-gesundheitswesen\/","url_meta":{"origin":5379843,"position":3},"title":"IT-Sicherheit im Gesundheitswesen","author":"Christian Rosenzweig","date":"17. Februar 2023","format":false,"excerpt":"Wie gef\u00e4hrdet die IT-Sicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher achten die Beh\u00f6rden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gew\u00e4hrleisten. In diesem Artikel erhalten Sie einen \u00dcberblick\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"IT Security Trend 2009 bis 2018","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-compress.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-compress.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-compress.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2019\/10\/IT-Security-Trend-compress.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":13158,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/richtlinie-80-181-ewg\/","url_meta":{"origin":5379843,"position":4},"title":"Richtlinie 80\/181\/EWG: Messeinheiten","author":"Prof. Dr. Christian Johner","date":"13. Mai 2016","format":false,"excerpt":"Die Richtlinie 80\/181\/EWG nennt sich Richtlinie \u201ezur Angleichung der Rechtsvorschriften der Mitgliedstaaten \u00fcber die Einheiten im Messwesen\u201c. Wie alle europ\u00e4ischen Richtlinien bedarf sie einer \u00dcberf\u00fchrung in nationales Recht, was im Fall von Deutschland durch die Einheitenverordnung und in \u00d6sterreich durch das Ma\u00df- und Eichgesetz erfolgt. Was die Richtlinie 80\/181\/EWG regelt\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"Richtlinie 80\/181\/EWG","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2016\/04\/Richtlinie-80-181-EWG-300x144.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":3235878,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/eu-white-paper-on-artificial-intelligence\/","url_meta":{"origin":5379843,"position":5},"title":"EU White Paper \u201cOn Artificial Intelligence\u201d","author":"Prof. Dr. Christian Johner","date":"27. Februar 2020","format":false,"excerpt":"Am 19. Februar 2020 hat die EU ein White Paper \u201eOn Artificial Intelligence \u2013 A European approach to excellence and trust\u201d ver\u00f6ffentlicht. Dieser Beitrag verschafft einen schnellen \u00dcberblick \u00fcber das 27-seitige Dokument und beleuchtet die Konsequenzen f\u00fcr Medizinprodukte\u00adhersteller. Damit haben Hersteller die M\u00f6glichkeit, sich auf neue Anforderungen vorzubereiten oder sogar\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/02\/EU-White-Paper-AI.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/02\/EU-White-Paper-AI.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/02\/EU-White-Paper-AI.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/02\/EU-White-Paper-AI.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/02\/EU-White-Paper-AI.jpg?resize=1050%2C600&ssl=1 3x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-mzxF","jetpack_sharing_enabled":true,"authors":[{"term_id":1246,"user_id":83,"is_guest":0,"slug":"katrinschnetter","display_name":"Katrin Schnetter","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Katrin_Schnetter_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5379843","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/83"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=5379843"}],"version-history":[{"count":8,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5379843\/revisions"}],"predecessor-version":[{"id":5382245,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5379843\/revisions\/5382245"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media\/5379846"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=5379843"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=5379843"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=5379843"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=5379843"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}