Wer ist betroffen und bestehen Abgrenzungsfragen?
Das BSI-Gesetz (BSIG) als deutsche Umsetzung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) hat eine Registrierungspflicht für betroffene Einrichtungen mit einer Frist bis zum 6. März 2026 vorgesehen. Stand April 2026 haben sich jedoch laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) lediglich etwa 15.500 Unternehmen bislang registriert – und damit deutlich weniger als die Zahl der tatsächlich zu erwartenden betroffenen Einrichtungen. Der Grund für die Verzögerung liegt regelmäßig darin, dass Einrichtungen bei der Prüfung ihrer Betroffenheit auf Unsicherheiten und Abgrenzungsfragen stoßen. Das gilt insbesondere für den Gesundheitssektor.
Einordnung in der Praxis oft schwierig
Trotz der in den Anlagen 1 und 2 des BSIG genannten Einrichtungsarten der einzelnen Sektoren bestehen in der Praxis Unsicherheiten. Das liegt insbesondere an offenen Formulierungen, fehlenden Definitionen zentraler Begriffe sowie zahlreichen Verweisen auf andere europäische und nationale Rechtsakte. Gerade im Gesundheitssektor müssen Einrichtungen häufig mehrere Regelwerke berücksichtigen, um zu bestimmen, ob sie unter das BSIG fallen.
Erbringer von Gesundheitsdienstleistungen
Von Anlage 1 Nr. 4 BSIG im Sektor “Gesundheit” erfasst sind Erbringer von Gesundheitsdienstleistungen. Das Gesetz verweist dabei auf die Patientenmobilitätsrichtlinie (Richtlinie 2011/24/EU). Nach Art. 3 lit. g dieser Richtlinie ist ein Gesundheitsdienstleister jede natürliche oder juristische Person oder sonstige Einrichtung, die […] rechtmäßig Gesundheitsdienstleistungen erbringt. Gesundheitsdienstleistungen werden definiert als Dienstleistungen, die von Angehörigen der Gesundheitsberufe gegenüber Patienten erbracht werden, um deren Gesundheitszustand zu beurteilen, zu erhalten oder wiederherzustellen, einschließlich der Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten (Art. 3 lit. a). Der Begriff ist weit gefasst und erfasst damit deutlich mehr als nur Krankenhäuser oder Arztpraxen. Gerade diese weite Formulierung in Verbindung mit dem Verweis des BSIG auf die Patientenmobilitätsrichtlinie führt in der Praxis zu Abgrenzungsfragen, etwa bei Rettungsdiensten oder Pflegeeinrichtungen.
Rettungsdienste
In der Praxis wurde zuletzt intensiv diskutiert, ob Rettungsdienste als Gesundheitsdienstleister gelten. Auslöser war eine BSI-Information, die Rettungsdienste zunächst nicht als solche einordnete. Diese Einschätzung hat das BSI inzwischen revidiert und stuft Rettungsdienste nunmehr als Gesundheitsdienstleister im Sinne des BSIG ein.
Das Ergebnis mag im Hinblick auf den Sinn und Zweck des BSIG und den weiten Begriff der Gesundheitsdienstleistungen nachvollziehbar erscheinen. Die rechtliche Herleitung bleibt bislang jedoch unklar. Der EuGH hat bereits 2019 entschieden, dass Notfallrettung und qualifizierter Krankentransport der Gefahrenabwehr und damit der öffentlichen Sicherheit zuzuordnen sind (EuGH, Urteil vom 27.06.2019 – C‑465/17). Für Tätigkeiten im Bereich der öffentlichen Sicherheit enthält Art. 2 Abs. 7 der NIS-2-Richtlinie jedoch eine ausdrückliche Ausnahme vom Anwendungsbereich. Vor diesem Hintergrund bleibt erklärungsbedürftig, weshalb das BSI Rettungsdienste nunmehr dem Gesundheitssektor zuordnet und damit in den Anwendungsbereich des BSIG einbezieht.
Pflegeeinrichtungen
Im Bereich der Pflegeeinrichtungen ist die Langzeitpflege vom Anwendungsbereich des BSIG ausdrücklich ausgenommen. Die Patientenmobilitätsrichtlinie enthält eine Ausnahme für Dienstleistungen, deren Ziel darin besteht, Personen bei routinemäßigen, alltäglichen Verrichtungen zu unterstützen. In der Folge geht die Gesetzesbegründung zum BSIG ausdrücklich davon aus, dass Einrichtungen der Langzeitpflege nicht als Gesundheitsdienstleister im Sinne des Gesetzes gelten.
Dogmatisch wurde diese Ausnahme teilweise diskutiert, da die NIS-2-Richtlinie selbst keine Ausnahme für Langzeitpflege enthält und auch nicht auf die Ausnahme der Patientenmobilitätsrichtlinie verweist. Für eine entsprechende Auslegung spricht jedoch der aktuelle Vorschlag der EU-Kommission zur Änderung der NIS-2-Richtlinie, der die Langzeitpflege nun ausdrücklich vom Anwendungsbereich ausschließen soll.
Ursprünglich hatte das BSI auf seiner Website lediglich auf die ausdrückliche Ausnahme für Langzeitpflege hingewiesen, weshalb eine Abgrenzung zur Tages- und Kurzzeitpflege erforderlich war. Von dieser Abgrenzung ist das BSI inzwischen abgerückt und stellt fest, dass – je nach Einzelfall – auch ambulante Pflegedienste sowie Pflegeheime und Einrichtungen zur Tages- und Kurzzeitpflege grundsätzlich nicht in den Geltungsbereich des BSIG fallen und eine Registrierung in der Regel nicht notwendig ist.
Maßgeblich hierfür ist, dass nicht die Art der Pflege, sondern die konkrete Tätigkeit relevant für eine NIS‑2 bzw. BSIG-Betroffenheit ist. Entscheidend ist demnach, dass die Pflegedienstleistung, entsprechend des Erwägungsgrunds 14 der Patientenmobilitätsrichtlinie, primär darauf abzielt, „Personen zu unterstützen, die auf Hilfe bei routinemäßigen, alltäglichen Verrichtungen angewiesen sind“. Diese Definition dient als Ausgangspunkt für eine Prüfung, ob eine Tätigkeit in den Anwendungsbereich des BSIG fällt und damit eine Registrierungspflicht besteht. Begründet wird dieser Kurswechsel des BSI mit der Annahme, dass bei einem Ausfall im Rahmen solcher Dienstleistungen keine erhebliche Gefährdung der öffentlichen Sicherheit im Sinne des BSIG entsteht.
Eine Abgrenzung nach dieser Definition kann im Einzelfall schwierig sein, insbesondere wenn die Pflegeleistung durch weitere medizinische Dienstleistungen ergänzt wird. In solchen Fällen ist eine sorgfältige Einzelfallabwägung erforderlich, um eine Betroffenheit nach dem BSIG zu beurteilen.
Hersteller von Medizinprodukten und IVD
Auch im Sektor “Verarbeitendes Gewerbe/Herstellung von Waren” im Bereich der Hersteller von Medizinprodukten und IVD (Anlage 2 Nr. 5 BSIG) bestehen in der Praxis Abgrenzungsfragen. Dies betrifft insbesondere Unternehmen, die Produkte nicht selbst herstellen, sondern herstellen lassen, umverpacken und anschließend unter eigenem Namen vertreiben.
Weder das BSIG noch die NIS-2-Richtlinie enthalten eine eigene Herstellerdefinition. Das BSIG verweist – wie auch die Richtlinie – auf die MDR und die IVDR. Nach diesen produktrechtlichen Regeln ist Hersteller jede natürliche oder juristische Person, die ein Produkt entwickelt oder herstellen lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt. Der Fokus liegt somit auf der Marktverantwortung für das Produkt, nicht zwingend auf dem operativen Produktionsprozess. Diese Definition folgt der Logik des Produktsicherheitsrechts.
Ziel der NIS-2-Regulierung ist jedoch die Cybersicherheit kritischer Einrichtungen. Maßgeblich ist daher insbesondere die Kritikalität der Einrichtung und ihrer operativen Prozesse. Zudem verweist NIS‑2 auf unterschiedliche europäische Regelwerke, die unterschiedliche Herstellerbegriffe verwenden. So knüpfen etwa die REACH-Verordnung oder die NACE-Systematik an den tatsächlichen Herstellungsprozess. In der Literatur (so auch Hessel/Schneider, MMR 2025, 243) wird deshalb betont, dass der europäische Gesetzgeber keine uneinheitliche Herstellerdefinition zugrunde legen wollte. Vielmehr ist ein eigenständiger, cybersicherheitsbezogener Herstellerbegriff heranzuziehen. Danach ist Hersteller derjenige, der den operativen Herstellungsprozess tatsächlich durchführt.
Fazit
Die Betroffenheitsprüfung nach NIS‑2 bleibt gerade im Gesundheitssektor komplex. Offene Begriffe, Verweise auf andere EU-Regelwerke und unterschiedliche regulatorische Zielrichtungen führen dazu, dass die Einordnung einzelner Einrichtungen häufig nicht auf den ersten Blick möglich ist.
Für die Praxis bedeutet das: Einrichtungen sollten ihre Betroffenheit nicht allein anhand formaler Kategorien, sondern anhand ihrer konkreten Tätigkeit und funktionalen Rolle im Gesundheitssektor prüfen. Besonders in Grenzbereichen ist eine differenzierte Einordnung entscheidend.
Prüfen Sie jetzt mit unserem kostenlosen Quick-Check, ob die NIS-2-Richtlinie auf Ihre Einrichtung anwendbar ist: www.nis2-check.de.
zurück