Anhang I Sektor 5 NIS 2

Sind wir ein Krankenhaus nach NIS 2?

NIS 2 bindet Sie, wenn Sie Gesundheitsdienstleister nach Richtlinie 2011/24/EU sind und die EU-Größenschwelle für mittlere Unternehmen erreichen. Die 30.000 vollstationären Krankenhausfälle KRITIS sind ein zweites, strengeres deutsches Regime. Zwei Prüfungen, zwei Antworten.

Simon OrzelSimon Orzel·

Die Kurzfassung

Krankenhäuser stehen in Anhang I Sektor 5 NIS 2 (Gesundheitswesen). Die Richtlinie erfasst sie als Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU. Der Sektor ist breiter als nur Krankenhäuser: EU-Referenzlaboratorien, Forschung und Entwicklung an Arzneimitteln, pharmazeutische Hersteller und Hersteller kritischer Medizinprodukte fallen ebenfalls in Sektor 5.

Ob NIS 2 Sie bindet, entscheidet Artikel 2(1). Sie sind im Anwendungsbereich, wenn Sie ein mittleres Unternehmen nach Empfehlung 2003/361/EG sind oder darüber liegen. Die Schwelle für mittlere Unternehmen liegt bei 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme. Eine Klinik mit 60 Beschäftigten ist drin. Eine Facharztpraxis mit 20 Beschäftigten in der Regel nicht.

In Deutschland läuft daneben ein zweites Regime: KRITIS. Die BSI-Kritisverordnung legt für Krankenhäuser eine Schwelle von 30.000 vollstationären Krankenhausfällen pro Jahr fest. KRITIS-Krankenhäuser sind weiterhin NIS 2 Einrichtungen, tragen aber zusätzlich die strengeren Pflichten aus den KRITIS-Abschnitten des BSIG. KRITIS ist nicht die NIS 2 Schwelle. Zwei Prüfungen.

Die Rechtsgrundlage
Drei Schichten. Die Richtlinie benennt den Sektor. Richtlinie plus EU-Empfehlung legen die Größenschwelle fest. Die deutsche Umsetzung operationalisiert beides, mit der KRITIS-Verordnung obendrauf.

Anhang I Sektor 5 NIS 2 Richtlinie (2022/2555)

Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU; EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371; Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG ausüben; Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen; Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.

Wortlaut aus ABl. L 333/145. Sektor 5 erfasst fünf Kategorien. Ein Krankenhaus ist die erste. Labore, Arzneimittel-F&E, pharmazeutische Hersteller und Hersteller kritischer Medizinprodukte sind die anderen vier.

Artikel 2(1) NIS 2 + Empfehlung 2003/361/EG

Diese Richtlinie gilt für öffentliche und private Einrichtungen einer in Anhang I oder II genannten Art, die als mittlere Unternehmen nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG einzustufen sind oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes Artikels überschreiten.

Artikel 2(1) ist die Anwendungsregel. Die Größenschwelle aus 2003/361/EG für mittlere Unternehmen liegt bei 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme. Eine der beiden Schwellen reicht.

§28 BSIG und KRITIS-Verordnung (Deutschland)

§28 BSIG setzt den Anwendungsbereich nach Anhang I in deutsches Recht um. Die BSI-Kritisverordnung legt für KRITIS-Zwecke die Schwelle von 30.000 vollstationären Krankenhausfällen pro Jahr fest.

Zwei deutsche Regelwerke übereinander. §28 BSIG setzt den NIS 2 Anwendungsbereich um (Sektor plus Größe). Die KRITIS-Verordnung schiebt für systemisch wichtige Krankenhäuser eine zweite, strengere Schicht darüber. Erst NIS 2, dann KRITIS.

Drei Prüfungen, die Ihre Antwort entscheiden
In dieser Reihenfolge. Wer die Sektorprüfung nicht besteht, ist draußen. Wer die Sektorprüfung besteht, aber die Größenprüfung nicht, ist draußen. Beides bestanden, sind Sie in NIS 2. KRITIS ist eine separate Frage.
Prüfung 1

Sektorprüfung

Sind Sie Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU? Das umfasst Krankenhäuser, Kliniken, ambulante Versorger, Zahnarztpraxen und jeden Heilberuf, der durch einen Mitgliedstaat reguliert ist. Labore, Arzneimittelentwickler, pharmazeutische Hersteller und Hersteller kritischer Medizinprodukte sind ebenfalls in Sektor 5, jeweils als eigene Unterkategorie.

Prüfung 2

Größenprüfung (Art. 2(1))

Haben Sie 50 Beschäftigte oder mehr, oder 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme oder mehr? Eine der beiden Schwellen reicht. Darunter sind Sie draußen, mit den engen Ausnahmen aus Art. 2(2) und (3) (Anwendung unabhängig von der Größe für Alleinanbieter, öffentliche Verwaltung, qualifizierte Vertrauensdiensteanbieter und einige weitere).

Prüfung 3

KRITIS-Überschneidung (nur Deutschland)

Erreichen Sie 30.000 vollstationäre Krankenhausfälle pro Jahr? Das ist die Schwelle aus der BSI-Kritisverordnung. Darüber sind Sie KRITIS und tragen die strengeren §31-32 BSIG Pflichten zusätzlich zu den regulären NIS 2 Pflichten. Darunter sind Sie nur NIS 2. KRITIS ist deutschlandspezifisch; NL, FR und AT haben eigene Benennungsregeln.

Zwei Regeln, an denen die meisten scheitern
Zwei strukturelle Punkte, die beim ersten Lesen übersehen werden. Beide tauchen in fast jedem Anwendbarkeitsgespräch mit Krankenhaus-CIOs auf.

NIS 2 ist nicht KRITIS

Zwei Regime, zwei Gesetze, zwei Schwellen. NIS 2 nutzt die EU-Definition mittlerer Unternehmen (50 Beschäftigte, 10 Millionen Euro). KRITIS nutzt sektorspezifische Volumenschwellen (Krankenhäuser: 30.000 vollstationäre Fälle). Die meisten Krankenhäuser, die in NIS 2 sind, sind nicht in KRITIS. Umgekehrt geht nicht: Jedes KRITIS-Krankenhaus ist auch NIS 2 Einrichtung.

Sektor 5 ist breiter als Krankenhäuser

Anhang I Sektor 5 fasst fünf Kategorien zusammen: Gesundheitsdienstleister, EU-Referenzlaboratorien, Arzneimittel-F&E, pharmazeutische Hersteller und Hersteller kritischer Medizinprodukte. Ein Diagnostiklabor mit 60 Beschäftigten, das Krankenhäuser beliefert, ist in Sektor 5 aus eigenem Recht, nicht als Zulieferer. Gleiche Größenprüfung, gleiche Pflichten.

Wie nationale Behörden das wirklich umsetzen
Die EU setzt eine Anwendungsregel. Jeder Mitgliedstaat hebt sie in nationales Recht und veröffentlicht sektorspezifische Hinweise. Inhaltlich gleich, mechanisch leicht unterschiedlich.
Deutschland

BSI / §28 BSIG und KRITIS-Verordnung

Das BSI veröffentlicht sektorspezifische FAQ für das Gesundheitswesen zum NIS2-Umsetzungsgesetz und führt das KRITIS-Benennungsverfahren getrennt. §28 BSIG ist der NIS 2 Anwendungshebel. Die BSI-Kritisverordnung legt die 30.000-Fälle KRITIS-Schwelle fest. Beide können dasselbe Krankenhaus betreffen.

EU-weit

ENISA NIS 2 Transpositionsübersicht

ENISA veröffentlicht eine NIS 2 Transpositionsseite, die nationale Gesetze und zuständige Behörden pro Mitgliedstaat auflistet. Das ist die sauberste Einzelquelle für grenzüberschreitende Klinikverbünde, die wissen müssen, bei welcher Behörde sie in welchem Land melden.

Andere Mitgliedstaaten

Nationale Umsetzungsgesetze

Anhang I Sektor 5 bindet Gesundheitsdienstleister EU-weit. NL über das Cyberbeveiligingswet, FR über Ordonnance n° 2024-1093, AT über das NISG. Die Sektorprüfung ist gleich. Die Größenprüfung ist gleich. Meldekanäle und zuständige Behörden unterscheiden sich.

Drei Lesefehler, die wir ständig sehen
Drei Lesarten, die in fast jedem Anwendbarkeitsgespräch mit Krankenhaus-CIO oder Geschäftsführung auftauchen. Alle drei führen zu falschen Scoping-Entscheidungen.
  • Wir liegen unter 30.000 Fällen pro Jahr, also sind wir raus.

    Das ist die KRITIS-Schwelle, nicht die NIS 2 Schwelle. NIS 2 nutzt Artikel 2(1): 50 Beschäftigte oder 10 Millionen Euro Umsatz. Eine Regionalklinik mit 60 Beschäftigten und 8.000 Fällen pro Jahr ist in NIS 2 und nicht in KRITIS. Beides kann gleichzeitig zutreffen.

  • NIS 2 betrifft nur die IT-Systeme, nicht den Rest des Krankenhauses.

    Anwendung läuft auf Ebene der Einrichtung, nicht des Systems. Wenn Ihr Krankenhaus eine NIS 2 Einrichtung ist, fällt jedes System, das den Anhang-I-Dienst stützt (Patientenakten, Stationssysteme, vernetzte Medizinprodukte, Lieferantensysteme) unter die §30 BSIG Pflichten. Es gibt keinen Klinik-IT-Karenzbereich.

  • Die Apotheke im Haus ist außerhalb des Anwendungsbereichs.

    Kommt auf die Rechtsform und Größe an. Ist die Apotheke eine eigenständige juristische Person, läuft sie ihre eigene NIS 2 Prüfung. Ist sie Teil des Krankenhauses, erbt sie dessen NIS 2 Status. Pharmazeutische Hersteller (eine eigene Sektor-5-Unterkategorie) prüfen ihre Größe gesondert.

Wie das in der Praxis bei Krankenhäusern aussieht

Typischer Fall: Regionalklinik mit 50 Betten, 60 Beschäftigten und 12 Millionen Euro Jahresumsatz. Sektorprüfung bestanden (Gesundheitsdienstleister). Größenprüfung bestanden (über beiden Schwellen für mittlere Unternehmen). KRITIS-Prüfung nicht bestanden (weit unter 30.000 vollstationären Fällen). Ergebnis: in NIS 2, nicht in KRITIS. Vollständige §30 BSIG Pflichten gelten, dazu §32 BSIG Meldepflichten. Kein KRITIS-Auditzyklus.

Was Praktiker tatsächlich tun: Erst Sektorprüfung, dann Größenprüfung, beides in einer schriftlichen Anwendbarkeitsprüfung dokumentiert und vom Leitungsorgan unterzeichnet. Die KRITIS-Frage bekommt ein eigenes Dokument, weil sie beim BSI einen anderen Prozess auslöst. Die Trennung hält die Prüfspur sauber.

Wie wir das in der Plattform abbilden

Die Anwendbarkeitsprüfung läuft alle drei Tests in der richtigen Reihenfolge: Sektorklassifikation nach Anhang I, Größenschwelle nach Artikel 2(1), und die deutsche KRITIS-Überschneidung nach BSI-Kritisverordnung. Sechs Fragen, am Ende eine schriftliche Anwendbarkeitsprüfung, die Sie Ihrem Auditor übergeben können.

Das Ergebnis ist kein Ja/Nein. Es ist eine Begründung: welcher Sektor und welche Unterkategorie, welche Größenschwelle erreicht ist, und ob die KRITIS-Schwelle eine Rolle spielt. Vom Leitungsorgan unterzeichnet, mit Prüfspur archiviert, versionsgebunden an den EU- und BSIG-Wortlaut, den wir zitieren.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 5 und Artikel 2(1): eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Richtlinie 2011/24/EU, Artikel 3 Buchstabe g (Definition Gesundheitsdienstleister): eur-lex.europa.eu/eli/dir/2011/24/oj
  • Empfehlung 2003/361/EG, Anhang Artikel 2 (Definition mittleres Unternehmen)
  • BSI-Gesetz (BSIG), §28 in der Fassung des NIS2-Umsetzungsgesetzes
  • BSI-Kritisverordnung, Sektor Gesundheitswesen, Schwelle 30.000 vollstationäre Krankenhausfälle pro Jahr
  • ENISA NIS 2 Transpositionsübersicht: enisa.europa.eu/topics/nis-directive
Anwendbarkeitsprüfung für Ihr Krankenhaus starten
Sektorprüfung, Größenprüfung und KRITIS-Überschneidung in einem Durchlauf. Ergebnis ist eine unterzeichnete Anwendbarkeitsprüfung. Kostenlos, Open Source, kein Lock-in.