NIS-2 , Medizintechnik & ERP

Die Schonfrist ist vorbei. Seit dem 6. März 2026 sind die Registrierungsfristen beim BSI abgelaufen, und das Bundesamt ist zur aktiven Durchsetzung übergegangen. Für Geschäftsführer in der Medizintechnik bedeutet das: Wer NIS-2 bislang als IT-Thema behandelt hat, steht möglicherweise vor einer unerwarteten persönlichen Konsequenz.

Die Rechtslage seit Dezember 2025 – was sich fundamental geändert hat

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 hat sich die Rechtslage grundlegend verändert. Lange galt IT-Sicherheit als Materie, die man getrost an die IT-Abteilung oder externe Dienstleister delegieren konnte. Diese Praxis ist rechtlich nicht mehr tragfähig. Cybersicherheit ist seither unmissverständlich Chefsache – und das Gesetz buchstabiert genau aus, was das konkret bedeutet.

§ 38 BSIG: Drei Pflichten, die Geschäftsführer persönlich treffen

Der entscheidende Mechanismus findet sich in § 38 des BSI-Gesetzes (BSIG). Er etabliert drei Kernpflichten, die für Leitungsorgane persönlich und nicht delegierbar sind.

Billigungspflicht, Überwachungspflicht, Schulungspflicht

Die Billigungspflicht verlangt, dass Geschäftsführer die Risikomanagementmaßnahmen des Unternehmens aktiv freigeben. Ein informelles „Machen Sie mal” genügt rechtlich nicht mehr. Darüber hinaus besteht eine Überwachungspflicht: Leitungsorgane müssen die Umsetzung dieser Maßnahmen kontinuierlich kontrollieren und im Ernstfall nachweisen, dass sie sich regelmäßig Berichte über den Sicherheitsstatus haben vorlegen lassen. Schließlich schreibt das Gesetz eine Schulungspflicht fest – Geschäftsführer müssen persönlich an Cybersicherheitsschulungen teilnehmen, um Risiken selbst bewerten zu können.

Das Brisante daran: Wer diese Pflichten schuldhaft verletzt, haftet der Gesellschaft gegenüber persönlich mit seinem Privatvermögen. Ein vertraglicher Ausschluss dieser Haftung ist gesetzlich unwirksam.

MDR-Compliance ist keine NIS-2-Compliance – ein gefährlicher Irrtum

In der Medizintechnik-Branche herrscht häufig die Annahme vor, dass die strengen Anforderungen der Medical Device Regulation (MDR) bereits alle relevanten Sicherheitsaspekte abdecken. Das ist jedoch ein gefährlicher Irrtum, den die neue Rechtslage klar korrigiert.

Die MDR fokussiert primär die Sicherheit des Produkts und den Patientenschutz. NIS-2 adressiert dagegen die operative Resilienz des gesamten Unternehmens. Wer zwar MDR-konforme Produkte baut, dabei aber seine Lieferkette nicht nach NIS-2-Standards überwacht oder keine 24-Stunden-Meldewege für IT-Vorfälle etabliert hat, riskiert folglich Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Beide Regulierungen existieren nebeneinander – und erfüllen unterschiedliche Anforderungen.

Die spezifischen Herausforderungen für Medizintechnik-Hersteller

Viele verfügbare Informationen zu NIS-2 bleiben an der Oberfläche oder konzentrieren sich auf den Krankenhaussektor. Medizintechnik-Hersteller stehen jedoch vor eigenen, spezifischen Herausforderungen.

Erstens erfordert die Verzahnung von Qualitätsmanagementsystem (ISO 13485) und Informationssicherheitsmanagementsystem (ISO 27001) eine sorgfältige Integration, die beide Normenwelten zusammenführt. Außerdem müssen Unternehmen komplexe Lieferketten in einem globalen Markt nach NIS-2-Standards absichern. Hinzu kommt die Notwendigkeit, Compliance-Prozesse direkt im ERP-System abzubilden – etwa in SAP Business One –, um im Ernstfall innerhalb von 24 Stunden meldefähig zu sein. Generische Whitepaper decken diese Kombination in der Regel nicht ab.

Seit dem 6. März 2026: BSI in der aktiven Durchsetzungsphase

Seit dem Ablauf der Registrierungsfrist am 6. März 2026 ist das BSI zur aktiven Durchsetzung übergegangen. Stichproben und Aufforderungen zur Nachregistrierung nehmen zu – verbunden mit konkreten Bußgeldandrohungen.

Cybersicherheit ist daher kein Thema mehr, das sich aufschieben lässt. Für Medizintechnik-Unternehmen geht es dabei nicht nur darum, Bußgelder zu vermeiden. Wer die Anforderungen des NIS2UmsuCG auditfähig umsetzt, minimiert nicht nur seine Haftungsrisiken, sondern baut zudem eine digitale Resilienz auf, die sich im Wettbewerb als echter Vorteil erweisen kann. Der erste Schritt ist, die persönliche Betroffenheit als Leitungsorgan anzuerkennen – und entsprechend zu handeln, bevor das BSI anklopft.

Was ein validiertes ERP für Ihre Medizintechnik leistet

Rückverfolgbarkeit ohne Lücken, Dokumentenlenkung nach Vorschrift, papierlose Fertigung mit lückenlosem Nachweis – ein validiertes ERP-System bündelt genau die Fähigkeiten, die Medizintechnik-Unternehmen im regulierten Alltag brauchen. Jede Charge, jeder Arbeitsgang, jede Freigabe wird automatisch dokumentiert. Vorwärts- und Rückwärtsverfolgung funktionieren auf Knopfdruck, nicht nach tagelanger Aktensuche. Qualitätsrelevante Dokumente wie Arbeitsanweisungen, Prüfpläne und Freigabeprotokolle sind zentral versioniert und mit Gültigkeitsdatum versehen – veraltete Versionen sperrt das System automatisch. In der Fertigung ersetzen digitale Begleitdokumentationen den Laufzettel: Messwerte und Prüfergebnisse werden direkt erfasst, Abweichungen lösen sofort eine Benachrichtigung aus, und am Ende jedes Auftrags steht ein vollständiges Device History Record – automatisch erstellt, nicht mühsam zusammengetragen. Entscheidend dabei: Die Validierung ist kein einmaliges Projekt, sondern eingebauter Standard. Benutzerberechtigungen, Audit-Trails, elektronische Signaturen und Änderungsprotokolle gehören zur Grundausstattung. Unternehmen bauen auf einer Standardsoftware auf, die bereits in hunderten Medizintechnik-Betrieben validiert wurde – inklusive IQ/OQ-Vorlagen, die den Aufwand deutlich reduzieren. So validieren Sie einmal sauber und bleiben auch bei Updates im validierten Zustand.

SAP B1 Blog