NIS2 im Gesundheitswesen: Was Unternehmen jetzt tun müssen
In Kürze: Das Gesundheitswesen zählt zu den Anlage-1-Sektoren (hohe Kritikalität) des NISG 2026. Erfasst sind insbesondere Gesundheitsdienstleister (dazu zählen vor allem Krankenanstalten, Spitäler und Kliniken), EU-Referenzlaboratorien sowie bestimmte Akteure rund um Arzneimittel und kritische Medizinprodukte. Maßgeblich ist die tatsächliche Tätigkeit zusammen mit den Größenschwellen: ab mittlerer Größe (ab 50 Mitarbeitern — oder, davon unabhängig, ab mehr als 10 Mio. € Jahresumsatz und mehr als 10 Mio. € Bilanzsumme) entsteht in der Regel eine Betroffenheit. Große Einrichtungen werden voraussichtlich als wesentliche, mittlere als wichtige Einrichtungen eingestuft. Erstregistrierung bis 31.12.2026.
Kaum ein Sektor ist so exponiert wie das Gesundheitswesen: sensible Patientendaten, lebenswichtige Versorgung und eine hohe Zahl von Ransomware-Angriffen machen Krankenhäuser und Gesundheitsdienstleister zum bevorzugten Ziel. Das NISG 2026 (Umsetzung der NIS2-Richtlinie in Österreich) trägt dem mit klaren Pflichten Rechnung. Dieser Beitrag fasst zusammen, wer betroffen ist, was bis wann zu tun ist und worauf der Sektor besonders achten sollte.
Welche Teilsektoren erfasst das Gesundheitswesen?
Das Gesundheitswesen ist in Anlage 1 des NISG 2026 (Sektoren mit hoher Kritikalität) geregelt. Die folgenden Einrichtungstypen sind dort ausdrücklich genannt:
| Teilsektor | Erfasste Einrichtungen (Anlage 1, Sektor 5) |
|---|---|
| Gesundheitsdienstleister | im Sinne des Art. 3 lit. g der Richtlinie 2011/24/EU (Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung) — dazu zählen insbesondere Krankenanstalten, Spitäler und Kliniken |
| EU-Referenzlaboratorien | im Sinne des Art. 15 der Verordnung (EU) 2022/2371 (schwerwiegende grenzüberschreitende Gesundheitsgefahren) |
| Arzneimittel-Forschung & -Entwicklung | Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des § 1 Abs. 1 Arzneimittelgesetz (AMG) ausüben |
| Pharmazeutische Herstellung | Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C, Abteilung 21 der Statistischen Systematik der Wirtschaftszweige (NACE Rev. 2) herstellen |
| Kritische Medizinprodukte | Hersteller von Medizinprodukten, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch eingestuft werden (Art. 22 der Verordnung (EU) 2022/123) |
Hinweis zu Medizinprodukten und verarbeitendem Gewerbe. Anlage 1 erfasst die Herstellung von Medizinprodukten nur, soweit sie auf der „Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit" stehen. Wer Medizinprodukte oder medizinische Waren außerhalb dieser engen Definition herstellt, kann je nach Tätigkeit stattdessen über den Anlage-2-Sektor „Verarbeitendes Gewerbe / Herstellung von Waren" erfasst sein. Die genaue Einordnung nehmen Sie am besten im Scope-Wizard vor.
Eine kleine Ordination unter den Größenschwellen ist in der Regel nicht direkt erfasst — ein mittleres Klinikum dagegen sehr wohl.
Ab welcher Größe greift NIS2?
Für Anlage-1-Sektoren wie das Gesundheitswesen entscheidet die Unternehmensgröße über die Einstufung. Die Schwellen (§ 25 NISG 2026, auf Basis der EU-Empfehlung 2003/361/EG) sind:
| Größe | Schwellenwert | Voraussichtliche Einstufung im Gesundheitswesen |
|---|---|---|
| Mittleres Unternehmen | ab 50 Mitarbeitern — oder, davon unabhängig, > 10 Mio. € Jahresumsatz und > 10 Mio. € Bilanzsumme | wichtige Einrichtung |
| Großes Unternehmen | ab 250 Mitarbeitern — oder, davon unabhängig, > 50 Mio. € Jahresumsatz und > 43 Mio. € Bilanzsumme | wesentliche Einrichtung |
Wichtig: Das finanzielle Kriterium ist kumulativ — Umsatz und Bilanzsumme müssen die Schwelle überschreiten. Die häufig verkürzte Formel „ab 50 Mitarbeitern oder 10 Mio. € Umsatz" ist daher ungenau. Die Details und Sonderfälle (z. B. unabhängige Tochtergesellschaften nach § 25 Abs. 4) erklärt der Beitrag Schwellenwerte; den Unterschied zwischen den Kategorien vertieft wesentliche vs. wichtige Einrichtungen.
Unabhängig von der Größe kann die Cybersicherheitsbehörde einzelne Einrichtungen nach § 26 als wesentlich oder wichtig einstufen. In solchen Fällen ist die Einordnung im Einzelfall zu prüfen.
Warum der Sektor besonders im Fokus steht
- Patientensicherheit: Ein IT-Ausfall kann unmittelbar die Versorgung gefährden.
- Sensible Daten: Gesundheitsdaten sind nach DSGVO besonders geschützt — NIS2 und DSGVO greifen hier ineinander.
- Bedrohungslage: Gesundheitseinrichtungen sind ein Hauptziel von Ransomware und Lieferketten-Angriffen.
Welche Pflichten gelten?
Es gelten dieselben Pflichtblöcke wie für alle betroffenen Einrichtungen — Registrierung (§ 29), Risikomanagement (§ 32), Wirksamkeitsnachweis (§ 33), Vorfallmeldung (§ 34/35) und Governance (§ 31). Den Gesamtüberblick gibt der Beitrag NIS2-Pflichten.
Im Gesundheitswesen besonders relevant sind diese Maßnahmen aus dem Mindestkatalog des § 32 Abs. 4:
- Aufrechterhaltung des Betriebs (Maßnahme c — Backup-Management, Wiederherstellung nach Notfall, Krisenmanagement) — der Klinikbetrieb muss auch bei einem Vorfall weiterlaufen.
- Personalsicherheit, Zugriffskontrolle und Asset-Management (Maßnahme i) sowie Multi-Faktor-Authentifizierung und gesicherte Kommunikation (Maßnahme j) — für klinische Systeme und Patientendaten.
- Sicherheit der Lieferkette (Maßnahme d) — Medizintechnik, Labordienste und IT-Dienstleister gehören mit in die Risikobetrachtung.
Der Katalog a–j ist als Mindestinhalt zu verstehen; die Cybersicherheitsbehörde kann nähere Anforderungen per Verordnung festlegen. Welche Maßnahmen im Detail gemeint sind, beschreibt der Beitrag Risikomanagement-Maßnahmen.
Vorfälle: an wen und in welchen Fristen melden?
Erhebliche Vorfälle (§ 35) sind nicht direkt an die Cybersicherheitsbehörde, sondern an das zuständige sektorspezifische CSIRT (in Ermangelung an das nationale CSIRT) zu melden; dieses leitet unverzüglich an die Behörde weiter (§ 34 Abs. 1). Die Fristen (§ 34 Abs. 2):
- 24 Stunden: Frühwarnung nach Kenntnisnahme,
- 72 Stunden: Meldung mit Bewertung und Schweregrad,
- spätestens 1 Monat nach der 72-Stunden-Meldung: Abschlussbericht.
Details zu Schwellen und Ablauf finden Sie unter NIS2-Meldepflicht.
Fristen im Überblick
| Frist | Was | Rechtsgrundlage |
|---|---|---|
| 31.12.2026 | Erstregistrierung bei der Cybersicherheitsbehörde (elektronisch) | § 29 Abs. 3 (3 Monate ab Inkrafttreten am 01.10.2026) |
| 30.09.2027 | Selbstdeklaration zum Wirksamkeitsnachweis | § 33 Abs. 1 (12 Monate ab Inkrafttreten) |
| 24 h / 72 h / 1 Monat | Frühwarnung / Meldung / Abschlussbericht bei erheblichem Vorfall | § 34 Abs. 2 |
| laufend | Risikomanagement nach § 32 umsetzen und aufrechterhalten | § 32 |
Die Selbstdeklaration und die §-29-Angaben sind in eigenen Beiträgen ausführlich erklärt. Registriert wird bei der Cybersicherheitsbehörde über einen sicheren, strukturierten elektronischen Kanal.
Bußgelder bei Verstößen
Das NISG 2026 kennt ein zweistufiges Strafsystem (§ 45):
- Administrative Verstöße wie die nicht fristgerechte Registrierung oder eine verspätete Änderungs-/Selbstdeklaration fallen unter § 45 Abs. 4 — bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 €.
- Inhaltliche Pflichtverstöße (Governance § 31, Risikomanagement § 32, Vorfallmeldung § 34) können bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes (der höhere Betrag), bei wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 % betragen.
Die bloße Nicht-Registrierung fällt also unter die niedrigere Stufe — die zweistellige Millionenschwelle gilt für die inhaltlichen Sicherheitspflichten. Mehr dazu im Beitrag NIS2-Strafen.
Erste Schritte
- Betroffenheit & Kategorie klären → kostenloser Check
- Registrierung vorbereiten (§-29-Angaben) → bis 31.12.2026
- Risikomanagement nach § 32 strukturieren — mit Schwerpunkt Betriebskontinuität und Zugriffsschutz
- Meldeprozess für Vorfälle aufsetzen (24 h / 72 h / 1 Monat, Meldung an das CSIRT)
Unsere Plattform unterstützt Sie bei dieser Vorbereitung: vom Scope-Wizard zur detaillierten Einstufung über die Registrierungs-Mappe bis zu prüffesten Nachweisen — mit unveränderlichen Snapshots und einem manipulationssicheren Audit-Ledger.
Sind Sie als Gesundheitseinrichtung betroffen?
Wählen Sie „Gesundheit" und Ihre Größe und sehen Sie sofort Ihre voraussichtliche Einstufung. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Sind Krankenhäuser von NIS2 betroffen? Ja. Das Gesundheitswesen ist ein Anlage-1-Sektor des NISG 2026. Krankenanstalten zählen zu den Gesundheitsdienstleistern; ab mittlerer Größe entsteht in der Regel eine Betroffenheit — große Einrichtungen voraussichtlich als wesentliche, mittlere als wichtige Einrichtung.
Ist meine Arztpraxis betroffen? Kleine Ordinationen, die unter den Größenschwellen bleiben (weniger als 50 Mitarbeiter und nicht zugleich über 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme), sind in der Regel nicht direkt erfasst. Die genaue Einordnung klärt der Betroffenheits-Check.
Fallen Pharma- und Medizinprodukte-Hersteller unter das Gesundheitswesen? Teilweise. Anlage 1 erfasst ausdrücklich die Forschung und Entwicklung von Arzneimitteln (AMG), die Herstellung pharmazeutischer Erzeugnisse (NACE Rev. 2, Abschnitt C, Abteilung 21) sowie Hersteller von Medizinprodukten, die für Notlagen im Bereich der öffentlichen Gesundheit als kritisch gelten. Andere Hersteller medizinischer Waren können stattdessen über den Anlage-2-Sektor „Verarbeitendes Gewerbe" betroffen sein.
Bis wann muss sich eine Gesundheitseinrichtung registrieren? Die Erstregistrierung bei der Cybersicherheitsbehörde hat bis 31.12.2026 zu erfolgen (3 Monate ab Inkrafttreten des NISG 2026 am 01.10.2026).
Wie verhalten sich NIS2 und DSGVO im Gesundheitswesen? Sie ergänzen einander: Die DSGVO schützt die Gesundheitsdaten als besondere Kategorie personenbezogener Daten, das NISG verlangt die Cybersicherheit der Netz- und Informationssysteme, auf denen diese Daten verarbeitet werden. Das NISG verweist an mehreren Stellen auf die DSGVO, begründet aber eigene Sicherheits- und Meldepflichten.
Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS / BGBl. I Nr. 94/2025, nis.gv.at, WKO.