Am 6. März 2026 lief die Frist zur NIS-2-Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ab. Das Ergebnis: Nur rund 11.500 von geschätzt 29.850 betroffenen Unternehmen hatten sich rechtzeitig registriert. (Quelle: Security Insider, 10.03.2026) In vielen Kommentaren ist von Nachlässigkeit die Rede. Doch wer genauer hinsieht, erkennt ein anderes Muster, besonders im Gesundheitswesen.
Die Zahlen wirken auf den ersten Blick alarmierend: 61,5 Prozent der betroffenen Unternehmen fehlen im BSI-Portal. Doch das BSI selbst räumt ein, dass die Prüfung der Betroffenheit und die zweistufige Registrierung im Einzelfall aufwendig sein können. Für viele Einrichtungen im Gesundheitswesen trifft das in besonderem Maße zu.
Kliniken, größere Arztpraxen und Pflegeeinrichtungen, die unter die NIS-2-Richtlinie fallen, stehen vor einer spezifischen Herausforderung: Sie verfügen selten über ein dediziertes IT-Security-Team. Es gibt häufig keine eigene Compliance-Funktion. Und die Leitungsebene ist im Tagesgeschäft mit Patientenversorgung gebunden, nicht mit der Interpretation europäischer Richtlinien. Die fehlende Registrierung ist deshalb in vielen Fällen kein Zeichen mangelnden Bewusstseins. Sie ist das Symptom einer Kapazitätslücke.
Dieser Unterschied ist wichtig, ändert aber nichts an den Konsequenzen. Unternehmen, die die Frist versäumt haben, müssen mit Zwangsgeldern rechnen. Das BSI kann Compliance-Prüfungen anordnen und in schwerwiegenden Fällen das gesamte Sicherheitskonzept einer Einrichtung unter die Lupe nehmen.
Hinzu kommt: Die Registrierung war nur der erste Schritt. Die eigentlichen NIS-2-Pflichten stehen den meisten Einrichtungen noch bevor. Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden. Regelmäßige Sicherheitsaudits werden Pflicht. Mitarbeitende müssen geschult werden. Für Einrichtungen, die bereits die Registrierung nicht aus eigener Kraft stemmen konnten, wird die Umsetzung dieser Anforderungen ohne externe Unterstützung kaum realistisch sein.
Die gute Nachricht: Das BSI zeigt sich gegenüber Nachregistrierungen offen. Die signifikante Steigerung der Registrierungen in den letzten Tagen vor dem Stichtag deutet darauf hin, dass die Bereitschaft grundsätzlich vorhanden ist. Entscheidend ist jetzt, den Rückstand nicht planlos, sondern systematisch aufzuholen.
Ein externer Blick kann dabei helfen, den eigenen NIS-2-Status realistisch einzuschätzen und die nächsten Schritte zu priorisieren. Keine einmalige Beratung ersetzt den Aufbau eigener Kompetenz innerhalb der Einrichtung. Aber eine strukturierte Begleitung schafft die Grundlage, auf der alle weiteren Maßnahmen aufbauen.
Für Gesundheitseinrichtungen, die vor genau dieser Herausforderung stehen, bietet sepp.med eine Cybersecurity-Beratung mit Schwerpunkt NIS-2-Konformität an. Der Fokus liegt auf pragmatischer Umsetzung: von der Gap-Analyse über die Registrierung bis zur Vorbereitung auf Incident-Reporting und Audit-Anforderungen.
Gesundheitseinrichtungen fallen unter NIS-2, wenn sie bestimmte Größenschwellen überschreiten. Die Prüfung der Betroffenheit ist der notwendige erste Schritt und kann über das BSI-Portal erfolgen.
Das BSI kann Zwangsgelder festsetzen und Compliance-Prüfungen anordnen. Eine zeitnahe Nachregistrierung reduziert das Risiko erheblich.
Die wesentlichen Pflichten umfassen Incident Reporting innerhalb von 24 Stunden, regelmäßige Sicherheitsaudits und die Schulung von Mitarbeitenden.
Das hängt von Ihren internen Kapazitäten ab. Einrichtungen ohne eigenes IT-Security-Team profitieren von einer strukturierten Begleitung, die Wissen aufbaut, statt Abhängigkeiten zu schaffen.
Ja. Die NIS-2-Richtlinie sieht eine direkte Haftung der Leitungsebene für die Einhaltung der Cybersicherheitspflichten vor.
Vorname:
Nachname:
E-Mail-Adresse:
Telefonnummer:
Betreff:
Ihre Nachricht:
Ja, ich bin einverstanden, dass meine personenbezogenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden nur zum Zweck der Beantwortung meiner Anfragen verwendet. Die Datenschutzhinweise habe ich zur Kenntnis genommen.
Sie sehen gerade einen Platzhalterinhalt von OpenStreetMap. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Sie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.