NIS-2 Registrierungsfrist

NIS-2 – Was Pflegeeinrichtungen zur Registrierungsfrist wissen müssen

25. Juni 2026 | Lesezeit: ca. 8 Minuten

Die NIS-2-Richtlinie der EU ist seit dem 6. Dezember 2025 in deutschem Recht wirksam – und mit ihr die Pflicht zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Frist läuft am 6. März 2026 ab. Für Pflegeeinrichtungen stellt sich die zentrale Frage: Sind wir betroffen – und wenn ja, was müssen wir jetzt tun? Die gute Nachricht vorweg: Die meisten Pflegedienste, Pflegeheime und Einrichtungen des betreuten Wohnens fallen nicht direkt unter NIS-2. Die schlechte Nachricht: Über Lieferkettenpflichten kann es trotzdem zu indirekten Verpflichtungen kommen. Was das konkret bedeutet, wer betroffen ist und welche Schritte jetzt anstehen, lesen Sie in diesem Artikel.


NIS-2 auf einen Blick: Worum geht es?

Die NIS-2-Richtlinie (EU 2022/2555) ist die europäische Antwort auf die dramatisch gestiegene Bedrohung durch Cyberangriffe. Das BSI verzeichnete im vergangenen Jahr 726 Vorfälle in KRITIS-Sektoren – fast 50 Prozent mehr als im Vorjahr. Allein im Gesundheitssektor sind 222 Betreiber mit 341 Anlagen registriert; 37 Störungen wurden im laufenden Jahr gemeldet. NIS-2 verpflichtet „wichtige" und „besonders wichtige" Einrichtungen zu umfassenden Cybersicherheitsmaßnahmen: Risikomanagement, Angriffserkennung, Meldepflichten bei Sicherheitsvorfällen und – neu – eine verpflichtende Registrierung beim BSI.

In Deutschland wurde die Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2-RLUG) in nationales Recht überführt. Es trat am 6. Dezember 2025 in Kraft – ohne Übergangsfristen. Das BSI-Portal für die Registrierung ist seit dem 6. Januar 2026 freigeschaltet. Schätzungen zufolge sind in Deutschland bis zu 40.000 Unternehmen und Organisationen direkt oder indirekt von NIS-2 betroffen.

Quelle: BSI – NIS-2-regulierte Unternehmen

Die Registrierungsfrist: 6. März 2026

Alle von NIS-2 betroffenen Einrichtungen müssen sich spätestens bis zum 6. März 2026 im neuen BSI-Portal registrieren. Die dreimonatige Frist begann mit dem Inkrafttreten des NIS2-RLUG am 6. Dezember 2025. Wer die Frist versäumt, riskiert Bußgelder auf DSGVO-Niveau – die Geschäftsleitung haftet persönlich.

Die Registrierung erfolgt in zwei Schritten:

  1. Schritt 1: „Mein Unternehmenskonto" (MUK) einrichten. MUK ist der zentrale Identitäts- und Authentifizierungsdienst des Bundes, basierend auf ELSTER-Technologie. Voraussetzung ist eine deutsche Steuernummer. Für jede Person, die Zugang zum BSI-Portal benötigt, ist ein eigenes ELSTER-Organisationszertifikat erforderlich – dieses wird kostenlos bereitgestellt. Nach erfolgreicher Anmeldung werden die Unternehmensdaten (Name, Anschrift, Registerdaten) automatisch an das BSI-Portal übergeben.
  2. Schritt 2: Registrierung im BSI-Portal. Nach dem Login über MUK erfolgt die eigentliche NIS-2-Registrierung. Abgefragt werden unter anderem: NIS-2-Kontaktstelle und -Kontaktperson, Sektor und Branche, Einrichtungsart, EU-Mitgliedstaaten, in denen Dienste erbracht werden, Unternehmensgröße (Mitarbeitende, Umsatz, Bilanzsumme), öffentlich erreichbare IP-Adressbereiche sowie – falls zutreffend – die Institutions-ID als Betreiber kritischer Anlagen.

Wichtig: Nach der Erstregistrierung müssen Änderungen der Unternehmensdaten unverzüglich, spätestens innerhalb von zwei Wochen nachgetragen werden.

Quelle: dhpg – Registrierungspflicht nach NIS-2: BSI-Portal freigeschaltet

Sind Pflegeeinrichtungen von NIS-2 betroffen?

Die kurze Antwort: In der Regel nicht direkt. Die ausführliche Antwort erfordert einen genaueren Blick auf die gesetzliche Systematik.

Direkte Betroffenheit: Wer fällt unter NIS-2?

Das NIS2-RLUG (BSIG) unterscheidet drei Kategorien regulierter Einrichtungen:

  • Betreiber kritischer Anlagen (KRITIS): Bereits vor NIS-2 reguliert, automatisch „besonders wichtige Einrichtungen" (bwE). Im Gesundheitswesen z. B. Krankenhäuser mit ≥ 30.000 vollstationären Fällen pro Jahr.
  • Besonders wichtige Einrichtungen (bwE): ≥ 250 Mitarbeitende oder Jahresumsatz > 50 Mio. € und Bilanzsumme > 43 Mio. € – sofern sie einer Einrichtungsart der Anlage 1 BSIG zugeordnet sind.
  • Wichtige Einrichtungen (wE): ≥ 50 Mitarbeitende oder Jahresumsatz > 10 Mio. € und Bilanzsumme > 10 Mio. € – sofern sie einer Einrichtungsart der Anlage 1 oder 2 BSIG zugeordnet sind.

Die für die Pflegebranche entscheidende Frage ist: Fallen Pflegeeinrichtungen unter eine der Einrichtungsarten in Anlage 1 oder 2?

Die Ausnahme für die Langzeitpflege

Das BSIG verweist für den Sektor Gesundheit auf Gesundheitsdienstleister im Sinne von Artikel 3 Buchstabe g der Richtlinie 2011/24/EU (Patientenmobilitätsrichtlinie). Entscheidend ist der Erwägungsgrund 14 dieser Richtlinie. Dort heißt es ausdrücklich:

„Diese Richtlinie sollte nicht für Dienstleistungen gelten, deren primäres Ziel darin besteht, Personen zu unterstützen, die auf Hilfe bei routinemäßigen alltäglichen Verrichtungen angewiesen sind. […] beispielsweise nicht für Dienstleistungen der Langzeitpflege, die von häuslichen Pflegediensten, im Rahmen von betreuten Wohnformen und in Wohnheimen oder -stätten („Pflegeheimen") erbracht werden."

– Erwägungsgrund 14, Richtlinie 2011/24/EU

Das bedeutet konkret:

Einrichtungstyp Direkt betroffen? Begründung
Ambulante Pflegedienste Nein Langzeitpflege mit Schwerpunkt auf alltäglichen Verrichtungen
Stationäre Pflegeheime Nein Explizit in Erwägungsgrund 14 genannt
Betreutes Wohnen Nein Ebenfalls von der Ausnahme erfasst
Tagespflege Nein Teil der Langzeitpflege
Hospize Wahrscheinlich nein Keine Rechtsprechung, aber nach herrschender Meinung nicht erfasst
Außerklinische Intensivpflege (Beatmung, Wachkoma) Möglicherweise ja Medizinischer Schwerpunkt – Einzelfallprüfung nötig
Pflegeeinrichtungen großer Träger (> 50 MA / > 10 Mio. € Umsatz) Im Einzelfall zu prüfen Abhängig von Trägerstruktur und Leistungsspektrum

Quelle: BSI – #nis2know: Gesundheitswesen

Indirekte Betroffenheit: Lieferkettenpflichten als unterschätztes Risiko

Auch wenn die meisten Pflegeeinrichtungen nicht direkt unter NIS-2 fallen, besteht eine indirekte Betroffenheit über Lieferkettenpflichten. Der Mechanismus ist vergleichbar mit dem Lieferkettensorgfaltspflichtengesetz: KRITIS-Krankenhäuser und andere NIS-2-pflichtige Einrichtungen müssen sicherstellen, dass auch ihre Partner und Dienstleister höhere IT-Sicherheitsstandards einhalten.

Konkret betrifft das Pflegeeinrichtungen, die:

  • Regelmäßig sensible Daten mit Krankenhäusern austauschen (z. B. Überleitungsbögen, Medikationspläne, Pflegedokumentation)
  • In das Notfall- und Krisenmanagement von Krankenhäusern eingebunden sind
  • Als Dienstleister oder Zulieferer für NIS-2-pflichtige Einrichtungen tätig sind
  • Über Trägerstrukturen mit regulierten Einrichtungen verbunden sind

In der Praxis bedeutet das: Ein Krankenhaus, das selbst unter NIS-2 fällt, kann von seinen Partner-Pflegediensten vertraglich verlangen, bestimmte IT-Sicherheitsstandards nachzuweisen – etwa eine aktuelle Firewall, verschlüsselte Kommunikation oder ein dokumentiertes Notfallmanagement. Wer diese Anforderungen nicht erfüllt, riskiert den Verlust von Kooperationsverträgen.

Quelle: Althammer & Kill – NIS-2 in Gesundheits- und Pflegeeinrichtungen

Was Pflegeeinrichtungen jetzt tun müssen – 6 konkrete Schritte

Unabhängig davon, ob Ihre Einrichtung direkt oder indirekt betroffen ist: Die folgenden sechs Schritte sollten Sie jetzt einleiten.

  1. Betroffenheitsprüfung durchführen. Prüfen Sie anhand der Schwellenwerte (≥ 50 Mitarbeitende oder > 10 Mio. € Jahresumsatz) und Ihres Leistungsspektrums, ob Ihre Einrichtung direkt unter NIS-2 fällt. Das BSI stellt eine unverbindliche NIS-2-Betroffenheitsprüfung zur Verfügung. Bei Unsicherheit empfiehlt sich externe juristische Unterstützung.
  2. Bei direkter Betroffenheit: Jetzt registrieren. Die Frist läuft am 6. März 2026 ab. Richten Sie umgehend ein MUK-Konto ein und registrieren Sie sich im BSI-Portal. Beschaffen Sie ELSTER-Organisationszertifikate für alle Personen, die Zugang benötigen.
  3. Lieferkettenanforderungen antizipieren. Auch wenn Sie nicht direkt betroffen sind: Bereiten Sie sich darauf vor, dass Krankenhäuser und andere NIS-2-pflichtige Partner künftig IT-Sicherheitsnachweise von Ihnen verlangen werden. Dokumentieren Sie Ihre Sicherheitsmaßnahmen – das schafft Verhandlungssicherheit.
  4. ISMS aufbauen oder erweitern. Ein Informationssicherheits-Managementsystem (ISMS) ist das zentrale Werkzeug, um Cybersicherheit strukturiert zu managen. Es muss nicht sofort perfekt sein – ein pragmatischer Einstieg mit den wichtigsten Bausteinen (Risikoanalyse, Notfallplan, Zugriffskontrolle) ist besser als gar nichts.
  5. Technische Basismaßnahmen umsetzen. Dazu gehören: aktuelle Firewall mit Netzwerksegmentierung, Endpoint-Schutz auf allen Geräten, Multi-Faktor-Authentisierung für alle kritischen Systeme, verschlüsselte Kommunikation (E-Mail, Datenübertragung) und regelmäßige Backups mit getesteter Wiederherstellung.
  6. Mitarbeitende schulen. Phishing ist nach wie vor der häufigste Angriffsvektor. Regelmäßige Sensibilisierungsschulungen – mindestens einmal jährlich – sind keine Kür, sondern Pflicht. Das gilt auch unabhängig von NIS-2, denn die DSGVO (Art. 32) verlangt ohnehin angemessene technisch-organisatorische Maßnahmen nach dem Stand der Technik.

Quelle: Rödl & Partner – NIS-2 Umsetzung in der Gesundheits- und Sozialwirtschaft

Meldepflichten bei Sicherheitsvorfällen – das dreistufige Verfahren

Für direkt betroffene Einrichtungen gelten verschärfte Meldepflichten. Das BSI verlangt ein dreistufiges Meldeverfahren bei erheblichen Sicherheitsvorfällen – und zwar auch bei bloßem Verdacht:

Stufe Frist Inhalt
Erstmeldung Innerhalb von 24 Stunden Erste Informationen und Einschätzung zum Vorfall
Detailmeldung Innerhalb von 72 Stunden Schweregrad, Auswirkungen, Ursachen, Kompromittierungsindikatoren
Abschlussmeldung Innerhalb von 30 Tagen Endbewertung, ergriffene Maßnahmen, ggf. Fortschrittsmeldung

Ein Vorfall gilt als erheblich, wenn Betriebsstörungen, finanzielle Verluste oder Beeinträchtigungen Dritter eintreten oder drohen. Die Kontaktstelle muss ständig erreichbar sein – auch am Wochenende.

Für nicht direkt betroffene Pflegeeinrichtungen gilt: Auch ohne gesetzliche Meldepflicht nach NIS-2 sollten Sie Sicherheitsvorfälle intern dokumentieren. Im Schadensfall – etwa bei einem Datenabfluss nach Art. 33 DSGVO – müssen Sie ohnehin innerhalb von 72 Stunden die zuständige Datenschutzaufsichtsbehörde informieren.

Quelle: Rödl & Partner – NIS-2 Meldepflicht

Haftung der Geschäftsleitung: Das unterschätzte Risiko

Ein zentraler Punkt, der oft übersehen wird: Die Geschäftsleitung haftet persönlich. § 38 Abs. 2 BSIG stellt klar, dass die Leitungsebene für die Einhaltung der Cybersicherheitspflichten verantwortlich ist – und bei Pflichtverletzungen zur Rechenschaft gezogen werden kann. Das BSI hat hierzu eine eigene Handreichung zur Geschäftsleitungsschulung veröffentlicht.

Für Pflegeeinrichtungen, die nicht direkt unter NIS-2 fallen, gilt die Geschäftsleitungshaftung nach NIS-2 zwar nicht. Aber: Die DSGVO kennt ebenfalls eine persönliche Haftung der Verantwortlichen – und die Aufsichtsbehörden fragen bei Datenschutzvorfällen zunehmend nach den getroffenen technischen und organisatorischen Schutzmaßnahmen. Cybersicherheit ist längst Chefsache.

NIS-2 als branchenübergreifender Standard

Auch wenn die meisten Pflegeeinrichtungen heute nicht direkt unter NIS-2 fallen: Die Richtlinie entwickelt sich zum branchenübergreifenden Orientierungsrahmen für Informationssicherheit. Was heute nur für KRITIS-Betreiber und große Einrichtungen gilt, wird morgen zum „Stand der Technik" – und damit zum Maßstab für alle.

Drei Entwicklungen verstärken diesen Trend:

  1. Cyberversicherungen verlangen zunehmend den Nachweis eines funktionierenden ISMS – orientiert an NIS-2-Standards.
  2. Die DSGVO fordert „angemessene" Schutzmaßnahmen nach dem „Stand der Technik" (Art. 32). Was angemessen ist, definiert sich zunehmend über NIS-2.
  3. Kooperationsverträge mit Krankenhäusern und großen Trägern werden künftig IT-Sicherheitsklauseln enthalten, die sich an NIS-2 orientieren.

Quelle: Altenheim.net – Cybersicherheit: Was Pflegeeinrichtungen jetzt beachten müssen

Fazit: Nicht in Panik verfallen – aber jetzt handeln

Die NIS-2-Richtlinie ist für die allermeisten Pflegeeinrichtungen kein Grund zur Panik. Ambulante Pflegedienste, stationäre Pflegeheime, Tagespflegen und Einrichtungen des betreuten Wohnens sind von der direkten Anwendung ausgenommen. Die Registrierungsfrist zum 6. März 2026 betrifft Sie nur dann, wenn Sie die Schwellenwerte überschreiten oder außerklinische Intensivpflege anbieten.

Dennoch wäre es ein Fehler, NIS-2 zu ignorieren. Drei Gründe, warum Sie jetzt aktiv werden sollten:

  1. Lieferkettenpflichten: Ihre Krankenhaus-Partner werden künftig IT-Sicherheitsnachweise von Ihnen verlangen. Wer vorbereitet ist, sichert sich Wettbewerbsvorteile.
  2. DSGVO gilt immer: Auch ohne NIS-2 sind Sie zu angemessenen Schutzmaßnahmen verpflichtet. Die Anforderungen beider Regelwerke überschneiden sich stark.
  3. Cyberangriffe nehmen zu: Der BSI-Lagebericht 2025 dokumentiert 138 sicherheitsrelevante Vorfälle im Gesundheitswesen – mit erheblicher Dunkelziffer. Pflegeeinrichtungen sind aufgrund oft fehlender IT-Ressourcen ein bevorzugtes Ziel.

Die Kernbotschaft: Führen Sie eine Betroffenheitsprüfung durch. Setzen Sie technische Basismaßnahmen um. Dokumentieren Sie Ihre Sicherheitsarchitektur. Und bereiten Sie sich auf Lieferkettenanforderungen vor. Cybersicherheit ist keine einmalige Projektaufgabe, sondern ein kontinuierlicher Prozess – aber einer, der Ihre Einrichtung, Ihre Daten und die Ihnen anvertrauten Menschen schützt.

Quellen

  1. BSI – NIS-2-regulierte Unternehmen (Registrierung, Fristen, Portal)
  2. BSI – #nis2know: Gesundheitswesen (Betroffenheit, Fallbeispiele)
  3. Rödl & Partner – NIS-2 Umsetzung in der Gesundheits- und Sozialwirtschaft
  4. Althammer & Kill – NIS-2 in Gesundheits- und Pflegeeinrichtungen
  5. Solidaris – Sind Pflege-Einrichtungen von NIS-2 betroffen?
  6. dhpg – Registrierungspflicht nach NIS-2: BSI-Portal freigeschaltet
  7. Altenheim.net – Cybersicherheit: Was Pflegeeinrichtungen jetzt beachten müssen

NIS-2, DSGVO, Cyberangriffe – die regulatorischen Anforderungen an Pflegeeinrichtungen wachsen. Wir von IT-Hilfe-Sofort vermitteln Ihnen itbuddy.care – die digitale Komplettlösung für Pflegedienste, Pflegeheime und Tagespflegen. Mit Hosting in Deutschland, vollständiger Ende-zu-Ende-Verschlüsselung, 24/7-Überwachung und einem dokumentierten Sicherheitskonzept, das Sie für Lieferkettenanforderungen und DSGVO-Audits wappnet. Vereinbaren Sie jetzt Ihren persönlichen Demo-Termin.

Jetzt Demo-Termin vereinbaren

Bereit fuer die digitale Zukunft?

Kostenlose Erstberatung — wir finden die passende IT-Loesung fuer Ihre Einrichtung.

Jetzt Beratungsgespraech vereinbaren