Skip to content
    Quick Links
    conPrimo
    conQuaesso
    educaro
    nytroo
    KI & Innovation
    Frau liest Blogpost am iPhone

    Branchenmagazin

    conZepte

    Mit über 200 Artikeln zur Gesundheits- und Sozialwirtschaft bieten wir Ihnen umfassende Informationen zu den wichtigen Themen unserer Branche.

    Zum Magazin

    Frau zeigt einem Mann eine Studie am iPad

    Studien

    Frau liest Whitepaper an Laptop

    Whitepaper

    conTalk-4Kcover

    conTalk

    Unser Leadership-Podcast

    Mit Menschen, die die Zukunft der Sozialwirtschaft gestalten.

    Jetzt reinhören und inspirieren lassen

    contalk auf Spotify     contalk auf Apple Podcasts

     

    Leistungen

    Von A bis Z. Unser Leistungsspektrum lässt keine Wünsche offen. Wir begleiten Sie in jeder Phase und Situation Ihres Unternehmens.

     

     

     

    Branchen und Segmente

    Seit über 35 Jahren sind wir in der Sozialwirtschaft Deutschlands zu Hause. Zusammen haben wir in der Zeit schon viel erreicht!

     

     

     

    Unsere Veranstaltungen

    Workshops, Webinare, Seminare und das contec forum.

    Unsere Veranstaltungen bieten fundiertes Wissen, praxisnahe Impulse und relevanten Austausch für die Sozial- und Gesundheitswirtschaft.

    Alle Veranstaltungen

    Teaser-Demokratiefeindliche-Haltungen

    Demokratie­feindliche Haltungen

     
    12. Mai 2026, Online

    Jetzt anmelden

    contecforum2027-Websitemenue

    contec forum 2027

     

    27.-28. Januar 2027, Berlin

    Jetzt anmelden

    Über contec

    Karriere & Kontakt

    Logo_Menue_klein_mitte

    Seit über 35 Jahren beraten wir Unternehmen und Organisationen der Gesundheit- und Sozialwirtschaft. Lernen wir uns kennen.

    NIS-2: Was Gesundheits- und Sozial­unter­nehmen wissen sollten

    Mit dem NIS-2-Umsetzungsgesetz steigen die Anforderungen an IT-Sicherheit und die persönliche Verantwortung der Geschäftsleitung. Wir schaffen Klarheit zur Anwendbarkeit, unterstützen nach Bedarf bei der Registrierung beim BSI und begleiten Sie generell bei der strukturierten Umsetzung eines Informationssicherheits-Managementsystems (ISMS). 

    contec Teaser_Personalberatung

    Zur Anwendbarkeit und Umsetzung der regulatorischen Anforderungen im Kontext von NIS-2 erreichen uns zuletzt vermehrt Anfragen. Der aktuelle Anlass: Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes müssen sich betroffene Unternehmen der Gesundheits- und Sozialwirtschaft bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Gleichzeitig verschärfen sich die Anforderungen an IT-Sicherheit und Risikomanagement erheblich. Für die Umsetzung der gesetzlichen Pflichten sowie für Schäden aus IT-Risiken haften die Mitglieder der Geschäftsleitung persönlich (§ 38 BSIG).

    Mit dem Umsetzungsgesetz aus dem Dezember 2025 wird die NIS-2-Richtlinie der EU in deutsches Recht umgesetzt, insbesondere durch die Änderung des BSI-Gesetzes (BSIG). Der Anwendungsbereich wird damit deutlich größer, die Anzahl der betroffenen, neu regulierten Organisationen steigt nach Schätzungen von rund 4.500 auf etwa 29.500  (Quelle: IDW). Die einzuhaltenden strengeren Regeln für betroffene Organisationen umfassen u. a. Meldefristen bei Sicherheitsvorfällen ebenso wie Schutzmaßnahmen.

    Zu beachten: Sowohl die Richtlinie als auch das NIS-2-Umsetzungsgesetz lassen in einzelnen Konstellationen Auslegungsspielräume zu.

    • In Zweifelsfällen kann daher die Einholung einer juristischen Einschätzung sinnvoll sein.
    • Die Erwägungen, die der Einordnung der Betroffenheit zugrundeliegen, sollten nachvollziehbar dokumentiert werden.

    Auch jenseits der gesetzlichen Festschreibungen empfehlen wir Sozialunternehmen: Nehmen Sie das zunehmend zentrale Thema IT-Sicherheit und Krisenprävention für Ihr Compliance-Management-System aktiv in die Hand und setzen Sie  Ihr Informationssicherheits-Managementsystem (ISMS) um bzw. bauen Sie es auf NIS-2 Niveau aus!

    Kontakt

    Sie möchten mehr erfahren?

    Wenn Sie konkrete Hilfe bei der Registrierung benötigen oder sich mit der Umsetzung Ihres Informationssicherheits-Managementsystem (ISMS) jetzt sicher aufstellen wollen, steht unsere Boutique-Beratung conPrimo mit unserem zertifizierten Experten Matthias Adler und Team gern an Ihrer Seite. Kommen Sie einfach auf uns zu!

    Gespräch vereinbaren
    Portrait von Matthias Adler Geschäftsbereichsleiter Gesundheitswirtschaft - contec GmbH - Unternehmensberatung und Personalberatung der Gesundheitswirtschaft und Sozialwirtschaft
    Nicht nur große KRITIS-Betreiber

    Sektor Gesundheitswesen: Wer ist betroffen?

    Während die KritisV für (Akut-)Krankenhäuser ab einem Schwellenwert von 30 Tsd. vollstationären Fällen p.a. (Anlage 5 BSI-KritisV) gilt, sind von NIS-2 nun Erbringer von Gesundheitsdienstleistungen und weitere Einrichtungsarten, letztlich nahezu alle Unternehmen bzw. Einrichtungen in der Gesundheitswirtschaft, betroffen. Bei der Überschreitung bestimmter Schwellenwerte gelten die Unternehmen sogar als wichtige Einrichtung  bzw.  besonders wichtige Einrichtung

    Bei der Definition von Gesundheitsdienstleistungen ist die EU-Richtlinie 2011/24 relevant: Gemäß Anlage 1 BSIG zum NIS 2 Umsetzungsgesetz (Stand 12/2025) sind Gesundheitseinrichtungen wie folgt definiert:

    Gesundheitsdienstleistungen, die von Angehörigen der Gesundheitsberufe gegenüber Patienten erbracht werden, um deren Gesundheitszustand zu beurteilen, zu erhalten oder wiederherzustellen, einschließlich der Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten.

    Wie wird die Betroffenheit geprüft?

    01

    Branchenzuordnung: Zunächst gilt es, festzustellen, ob die Einrichtung Waren oder Dienstleistungen aus Anlage 1 oder 2 des Gesetzes erbringt: Bei der Zuordnung zu einer Branche bzw. Einrichtungsart können Geschäftsfelder und Marktsegmente unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung bzw. des Unternehmens vernachlässigbar sind (§ 28 Abs. 3 BSIG).

    • Als Anhaltspunkte für diese Bewertung können insbesondere die AZ der Mitarbeitenden oder Umsatzanteil bzw. anteilige Bilanzsumme des betreffenden Geschäftsbereichs herangezogen werden.

    • Per Gesetz ist kein konkreter Grenzwert definiert, bis zu welchem Umfang eine Vernachlässigbarkeit anzunehmen ist. Eine ausdrückliche Nennung des Geschäftsbereichs/Marktsegments im Gesellschaftsvertrag oder in der Satzung ist jedoch ein klares Indiz für eine notwendige NIS-2-Anwendung.

    02

    Größenprüfung und Schwellenwerte: Ist die Einrichtung bzw. das Unternehmen nach Betrachtung der vorstehenden Punkte einem der Anwendungsbereiche zuzuordnen, kommt es dann auf die Größe des Unternehmens bzw. der Organisation an, um die notwendige Meldung und Strukturierung des NIS-2 korrekt einzuordnen.

    Bei der Feststellung sind auch verbundene Unternehmen zu berücksichtigen, wenn die IT-Infrastruktur voneinander abhängig ist. In der Regel werden verbundene Unternehmen dann additiv bewertet (§ 28 Abs. 4). Dies ist der Regelfall für Komplexträgerkonzerne bei konzernweiter IT-Struktur. 

    • Ab 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von mindestens 10 Mio. € ist eine Einrichtung als "wichtige Einrichtung" zu klassifizieren.

    • Ab 250 Beschäftigten oder einem Jahresumsatz von mindestens 50 Mio. € und einer Bilanzsumme von mindestens 43 Mio. € liegt eine „besonders wichtige Einrichtung“ vor.

    Aus der Einstufung der Einrichtung bzw. des Unternehmens ergibt sich auch der Umfang der Meldung beim BSI (Registrierung über das ELSTER-Portal erforderlich) sowie die Ausprägung des vorzuhaltenden IT-Sicherheitsmanagement-Systems (ISMS).

    Keine eindeutige Abgrenzung

    Wie steht es um Sozialunternehmen? 

    Aktuell ist keine eindeutige, gesetzliche Abgrenzung für Sozialunternehmen vorgesehen.

    Eine Abgrenzung zwischen Gesundheitsdienstleistungen und Pflege kann bei Leistungen der Behandlungspflege, der Hilfsmittelversorgung oder der außerklinischen Intensivpflege zum Ergebnis führen, dass Gesundheitsdienstleistungen in Form von Langzeitpflege erbracht werden. Zu Einrichtungen der Langzeitpflege zählen in diesem Kontext auch Einrichtungen und Dienste der Eingliederungshilfe sowie der Kinder- und Jugendhilfe.

    Akut-Bereiche (z. B. MZEB, SPZ, Fachkrankenhäuser, Kinder- und Jugendpsychiatrien etc.) fallen wiederum nach der Definition von NIS-2 per se unter die obengenannten Regelungen und Schwellenwerte.

    Was jetzt wichtig ist

    Menschen

    Mehr regulierte Einrichtungen

    Das NIS-2-Umsetzungsgesetz erweitert deutlich den Kreis regulierter Einrichtungen im Gesundheitssektor.

    pexels-chevanon-photography-302902

    Registrierung beim BSI bis 6.3.

    Bis zum 6.3. muss für betroffene Einrichtungen die Registrierung beim BSI erfolgen. Bei verspäteter Registrierung drohen Bußgelder.

    pexels-chevanon-photography-302902

    Betroffenheit prüfen

    Sowohl die Richtlinie als auch das Umsetzungsgesetz lassen in einzelnen Konstellationen Auslegungsspielräume zu. In Zweifelsfällen kann die Einholung einer juristischen Einschätzung sinnvoll sein.

    Kontakt

    NIS-2: Kommen Sie auf uns zu!

    Portrait von Matthias Adler Geschäftsbereichsleiter Gesundheitswirtschaft - contec GmbH - Unternehmensberatung und Personalberatung der Gesundheitswirtschaft und Sozialwirtschaft

    Matthias Adler

    Geschäftsbereichsleitung Gesundheitswirtschaft, Mitglied der Geschäftsleitung & Partner
    Matthias Adler bringt über 20 Jahre Erfahrung in der Leitung von Kranken­häusern mit. Seine Beratungsschwerpunkte liegen in Strategie, Organisation, Personal sowie in der Krisenunterstützung, Sanierung und Restrukturierung von Krankenhäusern, MVZ und Reha-Zentren. Matthias Adler verfügt über eine zertifizierte Fortbildung als NIS2-Compliance Executive und KritisDachG-Compliance Executive.
    Referenzen

    Unsere Kunden