Sind wir ein Krankenhaus nach NIS 2?
NIS 2 bindet Sie, wenn Sie Gesundheitsdienstleister nach Richtlinie 2011/24/EU sind und die EU-Größenschwelle für mittlere Unternehmen erreichen. Die 30.000 vollstationären Krankenhausfälle KRITIS sind ein zweites, strengeres deutsches Regime. Zwei Prüfungen, zwei Antworten.
Die Kurzfassung
Krankenhäuser stehen in Anhang I Sektor 5 NIS 2 (Gesundheitswesen). Die Richtlinie erfasst sie als Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU. Der Sektor ist breiter als nur Krankenhäuser: EU-Referenzlaboratorien, Forschung und Entwicklung an Arzneimitteln, pharmazeutische Hersteller und Hersteller kritischer Medizinprodukte fallen ebenfalls in Sektor 5.
Ob NIS 2 Sie bindet, entscheidet Artikel 2(1). Sie sind im Anwendungsbereich, wenn Sie ein mittleres Unternehmen nach Empfehlung 2003/361/EG sind oder darüber liegen. Die Schwelle für mittlere Unternehmen liegt bei 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme. Eine Klinik mit 60 Beschäftigten ist drin. Eine Facharztpraxis mit 20 Beschäftigten in der Regel nicht.
In Deutschland läuft daneben ein zweites Regime: KRITIS. Die BSI-Kritisverordnung legt für Krankenhäuser eine Schwelle von 30.000 vollstationären Krankenhausfällen pro Jahr fest. KRITIS-Krankenhäuser sind weiterhin NIS 2 Einrichtungen, tragen aber zusätzlich die strengeren Pflichten aus den KRITIS-Abschnitten des BSIG. KRITIS ist nicht die NIS 2 Schwelle. Zwei Prüfungen.
Anhang I Sektor 5 NIS 2 Richtlinie (2022/2555)
Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU; EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371; Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG ausüben; Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen; Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.
Wortlaut aus ABl. L 333/145. Sektor 5 erfasst fünf Kategorien. Ein Krankenhaus ist die erste. Labore, Arzneimittel-F&E, pharmazeutische Hersteller und Hersteller kritischer Medizinprodukte sind die anderen vier.
Artikel 2(1) NIS 2 + Empfehlung 2003/361/EG
Diese Richtlinie gilt für öffentliche und private Einrichtungen einer in Anhang I oder II genannten Art, die als mittlere Unternehmen nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG einzustufen sind oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes Artikels überschreiten.
Artikel 2(1) ist die Anwendungsregel. Die Größenschwelle aus 2003/361/EG für mittlere Unternehmen liegt bei 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme. Eine der beiden Schwellen reicht.
§28 BSIG und KRITIS-Verordnung (Deutschland)
§28 BSIG setzt den Anwendungsbereich nach Anhang I in deutsches Recht um. Die BSI-Kritisverordnung legt für KRITIS-Zwecke die Schwelle von 30.000 vollstationären Krankenhausfällen pro Jahr fest.
Zwei deutsche Regelwerke übereinander. §28 BSIG setzt den NIS 2 Anwendungsbereich um (Sektor plus Größe). Die KRITIS-Verordnung schiebt für systemisch wichtige Krankenhäuser eine zweite, strengere Schicht darüber. Erst NIS 2, dann KRITIS.
Sektorprüfung
Sind Sie Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU? Das umfasst Krankenhäuser, Kliniken, ambulante Versorger, Zahnarztpraxen und jeden Heilberuf, der durch einen Mitgliedstaat reguliert ist. Labore, Arzneimittelentwickler, pharmazeutische Hersteller und Hersteller kritischer Medizinprodukte sind ebenfalls in Sektor 5, jeweils als eigene Unterkategorie.
Größenprüfung (Art. 2(1))
Haben Sie 50 Beschäftigte oder mehr, oder 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme oder mehr? Eine der beiden Schwellen reicht. Darunter sind Sie draußen, mit den engen Ausnahmen aus Art. 2(2) und (3) (Anwendung unabhängig von der Größe für Alleinanbieter, öffentliche Verwaltung, qualifizierte Vertrauensdiensteanbieter und einige weitere).
KRITIS-Überschneidung (nur Deutschland)
Erreichen Sie 30.000 vollstationäre Krankenhausfälle pro Jahr? Das ist die Schwelle aus der BSI-Kritisverordnung. Darüber sind Sie KRITIS und tragen die strengeren §31-32 BSIG Pflichten zusätzlich zu den regulären NIS 2 Pflichten. Darunter sind Sie nur NIS 2. KRITIS ist deutschlandspezifisch; NL, FR und AT haben eigene Benennungsregeln.
NIS 2 ist nicht KRITIS
Zwei Regime, zwei Gesetze, zwei Schwellen. NIS 2 nutzt die EU-Definition mittlerer Unternehmen (50 Beschäftigte, 10 Millionen Euro). KRITIS nutzt sektorspezifische Volumenschwellen (Krankenhäuser: 30.000 vollstationäre Fälle). Die meisten Krankenhäuser, die in NIS 2 sind, sind nicht in KRITIS. Umgekehrt geht nicht: Jedes KRITIS-Krankenhaus ist auch NIS 2 Einrichtung.
Sektor 5 ist breiter als Krankenhäuser
Anhang I Sektor 5 fasst fünf Kategorien zusammen: Gesundheitsdienstleister, EU-Referenzlaboratorien, Arzneimittel-F&E, pharmazeutische Hersteller und Hersteller kritischer Medizinprodukte. Ein Diagnostiklabor mit 60 Beschäftigten, das Krankenhäuser beliefert, ist in Sektor 5 aus eigenem Recht, nicht als Zulieferer. Gleiche Größenprüfung, gleiche Pflichten.
BSI / §28 BSIG und KRITIS-Verordnung
Das BSI veröffentlicht sektorspezifische FAQ für das Gesundheitswesen zum NIS2-Umsetzungsgesetz und führt das KRITIS-Benennungsverfahren getrennt. §28 BSIG ist der NIS 2 Anwendungshebel. Die BSI-Kritisverordnung legt die 30.000-Fälle KRITIS-Schwelle fest. Beide können dasselbe Krankenhaus betreffen.
ENISA NIS 2 Transpositionsübersicht
ENISA veröffentlicht eine NIS 2 Transpositionsseite, die nationale Gesetze und zuständige Behörden pro Mitgliedstaat auflistet. Das ist die sauberste Einzelquelle für grenzüberschreitende Klinikverbünde, die wissen müssen, bei welcher Behörde sie in welchem Land melden.
Nationale Umsetzungsgesetze
Anhang I Sektor 5 bindet Gesundheitsdienstleister EU-weit. NL über das Cyberbeveiligingswet, FR über Ordonnance n° 2024-1093, AT über das NISG. Die Sektorprüfung ist gleich. Die Größenprüfung ist gleich. Meldekanäle und zuständige Behörden unterscheiden sich.
Wir liegen unter 30.000 Fällen pro Jahr, also sind wir raus.
Das ist die KRITIS-Schwelle, nicht die NIS 2 Schwelle. NIS 2 nutzt Artikel 2(1): 50 Beschäftigte oder 10 Millionen Euro Umsatz. Eine Regionalklinik mit 60 Beschäftigten und 8.000 Fällen pro Jahr ist in NIS 2 und nicht in KRITIS. Beides kann gleichzeitig zutreffen.
NIS 2 betrifft nur die IT-Systeme, nicht den Rest des Krankenhauses.
Anwendung läuft auf Ebene der Einrichtung, nicht des Systems. Wenn Ihr Krankenhaus eine NIS 2 Einrichtung ist, fällt jedes System, das den Anhang-I-Dienst stützt (Patientenakten, Stationssysteme, vernetzte Medizinprodukte, Lieferantensysteme) unter die §30 BSIG Pflichten. Es gibt keinen Klinik-IT-Karenzbereich.
Die Apotheke im Haus ist außerhalb des Anwendungsbereichs.
Kommt auf die Rechtsform und Größe an. Ist die Apotheke eine eigenständige juristische Person, läuft sie ihre eigene NIS 2 Prüfung. Ist sie Teil des Krankenhauses, erbt sie dessen NIS 2 Status. Pharmazeutische Hersteller (eine eigene Sektor-5-Unterkategorie) prüfen ihre Größe gesondert.
Typischer Fall: Regionalklinik mit 50 Betten, 60 Beschäftigten und 12 Millionen Euro Jahresumsatz. Sektorprüfung bestanden (Gesundheitsdienstleister). Größenprüfung bestanden (über beiden Schwellen für mittlere Unternehmen). KRITIS-Prüfung nicht bestanden (weit unter 30.000 vollstationären Fällen). Ergebnis: in NIS 2, nicht in KRITIS. Vollständige §30 BSIG Pflichten gelten, dazu §32 BSIG Meldepflichten. Kein KRITIS-Auditzyklus.
Was Praktiker tatsächlich tun: Erst Sektorprüfung, dann Größenprüfung, beides in einer schriftlichen Anwendbarkeitsprüfung dokumentiert und vom Leitungsorgan unterzeichnet. Die KRITIS-Frage bekommt ein eigenes Dokument, weil sie beim BSI einen anderen Prozess auslöst. Die Trennung hält die Prüfspur sauber.
Die Anwendbarkeitsprüfung läuft alle drei Tests in der richtigen Reihenfolge: Sektorklassifikation nach Anhang I, Größenschwelle nach Artikel 2(1), und die deutsche KRITIS-Überschneidung nach BSI-Kritisverordnung. Sechs Fragen, am Ende eine schriftliche Anwendbarkeitsprüfung, die Sie Ihrem Auditor übergeben können.
Das Ergebnis ist kein Ja/Nein. Es ist eine Begründung: welcher Sektor und welche Unterkategorie, welche Größenschwelle erreicht ist, und ob die KRITIS-Schwelle eine Rolle spielt. Vom Leitungsorgan unterzeichnet, mit Prüfspur archiviert, versionsgebunden an den EU- und BSIG-Wortlaut, den wir zitieren.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 5 und Artikel 2(1): eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie 2011/24/EU, Artikel 3 Buchstabe g (Definition Gesundheitsdienstleister): eur-lex.europa.eu/eli/dir/2011/24/oj
- Empfehlung 2003/361/EG, Anhang Artikel 2 (Definition mittleres Unternehmen)
- BSI-Gesetz (BSIG), §28 in der Fassung des NIS2-Umsetzungsgesetzes
- BSI-Kritisverordnung, Sektor Gesundheitswesen, Schwelle 30.000 vollstationäre Krankenhausfälle pro Jahr
- ENISA NIS 2 Transpositionsübersicht: enisa.europa.eu/topics/nis-directive