Zum Inhalt springen

Detaillierte NIS-2-Umsetzung für Labore im deutschen Gesundheitswesen – Stand März 2026

Das Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsG) ist seit dem 6. Dezember 2025 ohne Übergangsfrist in Kraft. Es erweitert den Kreis regulierter Einrichtungen von rund 4.500 auf etwa 29.500 und macht Cybersicherheit zur Managementaufgabe. Der Sektor Gesundheit gehört zu den besonders wichtigen Sektoren (Anhang 1 des neuen BSIG). Er umfasst ausdrücklich Erbringer von Gesundheitsdienstleistungen, darunter die Laboratoriumsdiagnostik, EU-Referenzlabore sowie Forschung und Herstellung von Arzneimitteln und Medizinprodukten.

Betroffenheit für Labore

Labore im Bereich Labormedizin fallen unter NIS-2, wenn sie medizinische Diagnostik, Therapiekontrolle oder verwandte Dienstleistungen erbringen. Das gilt für:

  • Klassische medizinische Labore (menschliche Medizin),
  • Referenzlabore,
  • Laborinformationsverbünde (LIS/LIMS-Netzwerke mit Probenlogistik, Auftragseingang und Befundübermittlung).

Zusätzlich gelten KRITIS-Schwellen für kritische Anlagen: Ein Labor ist kritisch, wenn es jährlich 1,5 Millionen Aufträge für labormedizinische Untersuchungen überschreitet (entspricht etwa 500.000 versorgten Personen bei durchschnittlich drei Untersuchungen pro Person). Laborinformationsverbünde erreichen die Schwelle kumulativ bei 1,5 Millionen Aufträgen im Netz.

NIS-2 erfasst zusätzlich Unternehmen ab bestimmten Größen:

  • Wichtige Einrichtungen (wE): ≥ 50 Mitarbeiter oder ≥ 10 Mio. € Jahresumsatz und Bilanzsumme ≥ 10 Mio. €.
  • Besonders wichtige Einrichtungen (bwE): ≥ 250 Mitarbeiter oder ≥ 50 Mio. € Umsatz und Bilanzsumme ≥ 43 Mio. €.

Viele mittelgroße und große Labore (auch private oder in MVZ/Klinikverbünden) erreichen diese Schwellen schnell. Langzeitpflege oder reine ambulante Pflege sind in der Regel ausgenommen, es sei denn, sie erbringen zusätzliche diagnostische Leistungen mit eigenständiger Versorgungsrelevanz.

KRITIS-Betreiber (z. B. große Labore mit hohem Auftragsvolumen) gelten automatisch als bwE. Das geplante KRITIS-Dachgesetz (voraussichtlich Frühjahr 2026) wird die Pflichten für kritische Anlagen weiter angleichen und um physische Sicherheit sowie BBK-Beteiligung erweitern.

Registrierungspflicht

Alle betroffenen Labore müssen sich bis spätestens 6. März 2026 beim BSI registrieren. Der Prozess läuft zweistufig und ist elektronisch:

  1. Anlegen eines „Mein Unternehmenskonto“ (MUK) mit ELSTER-Organisationszertifikat (über mein-unternehmenskonto.de).
  2. Registrierung im BSI-Portal (portal.bsi.bund.de, seit 6. Januar 2026 live).

Zu übermitteln sind: Name, Rechtsform, Kontaktdaten, IP-Adressbereiche, Sektorzuordnung und Angaben zu Dienstleistungen. Änderungen sind jährlich oder innerhalb von zwei Wochen zu melden. Versäumnis der Frist kann Bußgelder bis 500.000 € auslösen.

Kernpflichten (gilt für wE und bwE)

NIS-2 fordert risikobasierte Maßnahmen auf dem Stand der Technik – ohne Unterschied zwischen wE und bwE bei der Umsetzung:

  • Risikomanagement und ISMS: Regelmäßige Bedrohungs- und Risikoanalysen, Dokumentation, technische und organisatorische Maßnahmen (TOM). Ein vollständiges Informationssicherheits-Managementsystem (ISMS) ist Standard.
  • Business Continuity Management (BCMS): Business-Impact-Analyse (BIA), Notfallpläne, Wiederherstellungsprozesse für LIS, Analysengeräte und Befundübermittlung.
  • Lieferkettensicherheit: Verträge mit Lieferanten und Dienstleistern müssen Sicherheitsanforderungen enthalten; Prüfung von Produkten und Zertifizierungen.
  • Technische Maßnahmen: Zugriffskontrollen, Multi-Faktor-Authentifizierung (MFA), Verschlüsselung, Netzwerksegmentierung (OT/IT-Trennung bei Analysengeräten), Angriffserkennung.
  • Personelle und organisatorische Maßnahmen: Schulungen für alle Mitarbeiter, Awareness-Programme, klare Verantwortlichkeiten.
  • Governance: Die Geschäftsführung trägt persönliche Gesamtverantwortung – sie darf nicht vollständig delegiert werden. Regelmäßige Fortbildungen der Leitungsebene sind Pflicht.

Ab 2028 können bwE zusätzlich zu Audits und Nachweisen verpflichtet werden.

Meldepflichten bei Sicherheitsvorfällen

Erhebliche Vorfälle (die Verfügbarkeit, Integrität oder Vertraulichkeit beeinträchtigen und die Versorgung gefährden) müssen unverzüglich gemeldet werden:

  • Erstmeldung innerhalb von 24 Stunden,
  • Detaillierte Aktualisierung nach 72 Stunden,
  • Abschlussbericht nach einem Monat.

Meldung erfolgt ausschließlich über das BSI-Portal. Frühere KRITIS-Meldewege (z. B. MIP) gelten ergänzend für kritische Anlagen.

Aufsicht und Sanktionen

Das BSI ist zentrale Aufsichtsbehörde. Es kann Nachweise, Aktionspläne oder unabhängige Audits verlangen. Bei Verstößen drohen:

  • Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (bei bwE),
  • Persönliche Haftung der Geschäftsführung (auch mit Privatvermögen),
  • Mögliche Betriebsuntersagungen oder Widerruf von Zulassungen in Extremfällen.

Die Aufsicht startet sofort; erste Inspektionen für bwE sind ab 2028 vorgesehen.

Integration mit KRITIS und Ausblick

Bestehende KRITIS-Pflichten (z. B. nach BSI-KritisV) bleiben erhalten und werden durch NIS-2 ergänzt. Das KRITIS-Dachgesetz (2026) wird einheitliche Standards für ISMS, BCMS und Lieferkettensicherheit schaffen und auch physische Sicherheit sowie BBK-Beteiligung einbeziehen. Für Labore bedeutet das: Frühere KRITIS-Labore müssen nur zusätzliche NIS-2-Elemente (z. B. erweiterte Meldefristen, Managementverantwortung) nachrüsten.

Praktische Umsetzung für Labore

  1. Sofortprüfung: Betroffenheitsanalyse (Größe + Tätigkeit + Auftragsvolumen) durchführen – idealerweise mit externer juristischer oder IT-Sicherheitsberatung.
  2. MUK und Portal: ELSTER-Zertifikate beantragen und bis 6. März 2026 registrieren.
  3. Gap-Analyse: Bestehendes ISMS (z. B. ISO 27001) gegen NIS-2-Anforderungen abgleichen; BCMS aufbauen.
  4. Prioritäten: LIS/LIMS und vernetzte Analysengeräte segmentieren, Lieferantenverträge anpassen, Schulungsprogramme starten.
  5. Dokumentation: Alles nachweisbar machen – BSI kann jederzeit Prüfungen anfordern.

NIS-2 macht Cybersicherheit in der Labormedizin zur Pflicht auf Managementebene. Größere Labore profitieren langfristig von höherer Resilienz, während kleinere Einrichtungen unterhalb der Schwellen weiterhin nur allgemeine IT-Sicherheitsstandards (z. B. aus IT-Sicherheitsgesetz oder Medizinprodukteverordnung) beachten müssen.

Diese Übersicht basiert ausschließlich auf dem geltenden NIS2UmsG, BSIG 2025 und offiziellen BSI-Vorgaben. Für individuelle Betroffenheitsprüfung oder Umsetzungspläne empfehlen sich direkte Konsultationen beim BSI oder spezialisierten Beratern. Bei Bedarf kann die Übersicht zu einzelnen Punkten (z. B. Mustervorlagen für Meldeprozesse oder Lieferkettenklauseln) vertieft werden.

Autoren-Avatar
LabNews.AI
The Editors in Chief of labnews.ai are Marita Vollborn and Vlad Georgescu. They are bestselling authors, science writers and science journalists.More details on X-Press Journalistenbüro GbRFind out more abot their books on Bestsellerwerkstatt.More Info on Wikipedia:https://de.wikipedia.org/wiki/Marita_Vollbornhttps://de.wikipedia.org/wiki/Vlad_Georgescu
Vollständige Bio ansehen