Cyberangriffe sind in der Pflege längst kein abstraktes IT-Risiko mehr. Wenn digitale Pflegedokumentation, Dienstpläne, Telefonie oder Zutrittssysteme ausfallen, wird aus einem Sicherheitsvorfall schnell ein reales Versorgungsproblem. Genau hier setzt die NIS-2-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union an, die in Deutschland mit dem NIS-2-Umsetzungsgesetz vom 05.12.2025 nunmehr umgesetzt wurde und die Anforderungen an die Cybersicherheit deutlich verschärft. Die vollständige Fassung des Gesetzes finden Sie im Bundesgesetzblatt: https://www.recht.bund.de/bgbl/1/2025/301/VO.html
Für Erbringer von Gesundheitsdienstleistungen – insbesondere mit Leistungen nach SGB V (v.a. Krankenhäuser, Leistungserbringer für häusliche Krankenpflege und Einrichtungen der außerklinischen Intensivpflege) – stellen sich nun zentrale Fragen:
- Welche Einrichtungen sind betroffen?
- Ab welchen Schwellenwerten greifen Pflichten?
- Welche organisatorischen und technischen Maßnahmen sind im Pflegealltag umzusetzen – und wie lassen sich die entstehenden Aufwände refinanzieren?
NIS-2 verpflichtet Leitungsgremien nicht nur zur formalen Kenntnisnahme, sondern zur aktiven Steuerung der Cybersicherheit. Dazu gehören insbesondere:
- Umsetzungspflicht: Geschäftsleitungen müssen geeignete technische und organisatorische Maßnahmen (Risikomanagement, Notfall- und Wiederanlaufpläne, Sicherheitskonzepte) aktiv einführen und an die Bedürfnisse der jeweiligen Einrichtung anpassen.
- Überwachungspflicht: Die Wirksamkeit der Maßnahmen ist fortlaufend zu kontrollieren; Defizite müssen erkannt und nachgesteuert werden. Cybersicherheit wird damit zu einem dauerhaften Compliance-Thema.
- Schulungspflicht: Leitungspersonen müssen selbst über ausreichende Kenntnisse verfügen und sicherstellen, dass Mitarbeitende regelmäßig geschult werden – etwa zu Phishing oder anderen Social-Engineering-Angriffen sowie Meldewegen bei Sicherheitsvorfällen.
Verstöße können nicht nur Bußgelder nach sich ziehen, sondern auch organisations- und haftungsrechtliche Risiken für Geschäftsleitungen begründen.
Diesen Fragen widmet sich der aktuelle Fachbeitrag „Cybersicherheit und NIS-2: Neue Pflichten für die Pflege“ unseres Kollegen Eike Klaan in der Zeitschrift „Altenheim“ (Ausgabe 02/2026, S. 30 f.). Der Artikel ordnet die neue Rechtslage praxisnah ein, zeigt typische Fallstricke bei der Einordnung von Pflegeanbietern auf und gibt konkrete Handlungsempfehlungen – von der Betroffenheitsprüfung über Notfallprozesse bis hin zur strategischen Einbindung von IT-Dienstleistern und zur Vorbereitung auf Prüfungen. Lesen Sie den vollständigen Beitrag in der Altenheim und erfahren Sie, warum NIS-2 nicht nur eine neue Pflicht, sondern auch eine Chance zur Stärkung der Versorgungs- und Rechtssicherheit in der Pflege ist.
Gern unterstützen wir Sie bei der rechtlichen Einordnung, der Beratung von Geschäftsleitungen sowie bei der strukturierten Umsetzung und Dokumentation der NIS-2-Anforderungen.
