Ab wann gilt ein Medizinproduktehersteller als NIS2-pflichtig?

Medizinproduktehersteller fallen unter NIS2 Anhang II Nr. 5 (Gesundheitswesen — Hersteller von Medizinprodukten), sobald sie mittlere Unternehmensgröße (50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz nach KMU-Empfehlung 2003/361/EG Art. 2) und industrielle Fertigungsstruktur erfüllen. Kritische Medizinprodukte (Klasse IIb, III nach MDR) können eine Einstufung als Wesentliche Einrichtung begründen, wenn ihr Ausfall die Patientenversorgung gefährdet.

Wie verhält sich NIS2 zur MDR (EU) 2017/745 bei Medizinprodukten?

MDR (EU) 2017/745 regelt die Sicherheit und Leistungsfähigkeit von Medizinprodukten einschließlich Cybersecurity-Anforderungen (MDR Anhang I Nr. 17.2). NIS2 ergänzt um die Sicherheit der Herstellungsinfrastruktur und IT-Systeme des Herstellers selbst. Beide Regelwerke überlappen bei Software als Medizinprodukt (SaMD): NIS2 gilt für die Produktionsinfrastruktur, MDR für das Produkt. Eine integrierte Compliance-Strategie kann doppelten Aufwand reduzieren.

Welche Rolle spielt ISO 13485 bei der NIS2-Compliance für Medizinproduktehersteller?

ISO 13485 (Qualitätsmanagementsysteme für Medizinprodukte) deckt Prozesse für Design, Entwicklung und Produktion ab; Cybersicherheit ist nur am Rande enthalten. NIS2-Pflichten nach § 30 BSIG-neu gehen weiter: Netzwerksicherheit, Vorfallsmanagement und Supply-Chain-Sicherheit müssen eigenständig implementiert werden. ISO 13485-Hersteller können jedoch Dokumentations- und Auditprozesse des QMS für NIS2-Nachweise mitnutzen.

Welche Bußgelder drohen Medizinprodukte-Herstellern bei NIS2-Verstößen?

§ 65 BSIG-neu sieht für Wichtige Einrichtungen (mittlere Hersteller) Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Wesentliche Einrichtungen (große Hersteller) werden mit denselben Obergrenzen belegt. Hinzu kommt persönliche Haftung der Geschäftsleitung nach § 38 BSIG-neu sowie mögliche MDR-Sanktionen bei Cybersicherheitsmängeln, die die Produktsicherheit beeinflussen.

Was bedeuten NIS2-Lieferkettenpflichten für Medizinproduktehersteller?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet zur Lieferkettensicherheit. Medizinproduktehersteller müssen Sicherheitsanforderungen an Zulieferer von ERP-Systemen, MES-Plattformen, Produktionssoftware (LIMS, PDM) und kritischen Komponenten-Lieferanten stellen. Gleichzeitig müssen die MDR-Vorgaben zur Lieferkette (Anhang I Nr. 17.2, technische Dokumentation) mit den NIS2-Anforderungen koordiniert werden.

Wann müssen sich Medizinproduktehersteller beim BSI registrieren?

§ 33 BSIG-neu verlangt die Registrierung innerhalb von drei Monaten nach Feststellung der NIS2-Betroffenheit. Für Betriebe, die ab Inkrafttreten des BSIG-neu direkt betroffen sind, gilt eine dreimonatige Übergangsfrist. Die Registrierung umfasst Angaben zu Sektorklassifikation (Gesundheitswesen), Einrichtungskategorie und Kontaktstelle über das BSI-Meldeportal.

Haften Geschäftsführer von Medizinprodukte-Herstellern persönlich für NIS2?

§ 38 BSIG-neu verpflichtet Geschäftsleitungen zur Billigung, Überwachung und Schulung bei Cybersicherheitsmaßnahmen. Schuldhaftes Unterlassen kann persönliche Haftung auslösen. Medizinproduktehersteller sollten ISO 13485, MDR-Cybersecurity-Anforderungen und NIS2 in einem integrierten Management-System koordinieren und Beschlüsse sowie Schulungsnachweise revisionssicher archivieren.

Branchengenauer Self-Check

Ist mein Medizinprodukt-Betrieb von NIS2 betroffen?

Diagnostik, Implantate, Software as Medical Device: Hersteller von Medizinprodukten fallen unter Anhang II. MDR und ISO 13485 schaffen zusätzliche Compliance-Dichte.

Schritt 1 / 2

Produktions- und Zulassungsstruktur

NIS2 Anhang II Nr. 5 erfasst Hersteller von Medizinprodukten. Kreuze an, was auf deinen Betrieb zutrifft.

CE-gekennzeichnete Medizinprodukte in SerienproduktionProdukt-Zulassung gemäß MDR (EU 2017/745), regelmäßige HerstellungProdukte der Klasse IIb oder IIIHöheres Risikoprofil - implantierbar, lebenserhaltend oder aktiv steuerndSoftware as a Medical Device (SaMD) / KonnektivitätVernetzte Geräte, Cloud-Backend, mobile Apps, Datenübertragung an KlinikenISO 13485 zertifiziertQualitätsmanagement-System für Medizinprodukte nach internationalem Standard

Schritt 2 / 2

Unternehmensgröße

Medizinprodukte: Der vollständige NIS2-Leitfaden

Hersteller von Medizinprodukten ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz fallen unter NIS2-Anhang II Nr. 5 (Verarbeitendes Gewerbe) und sehen sich gleichzeitig mit MDR-Cybersicherheitsanforderungen und IEC 81001-5-1 konfrontiert. Diese drei Regelwerke überschneiden sich erheblich - wer alle drei versteht, kann doppelte Arbeit vermeiden. Dieser Leitfaden richtet sich an Regulatory Affairs, IT-Sicherheitsverantwortliche und Geschäftsführer in der Medizintechnik.

Wer ist betroffen?

Medizinproduktehersteller (NACE C.26.6, C.32.5) fallen unter NIS2-Anhang II Nr. 5 bei Überschreitung der KMU-Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2).

Hersteller von Produkten der Risikoklassen IIb und III nach MDR, die in kritische Gesundheitsinfrastruktur eingebunden sind (z.B. Krankenhäuser als KRITIS-Einrichtungen), sind als Lieferanten kritischer Einrichtungen besonders im Fokus der Supply-Chain-Pflichten nach § 30 Abs. 2 Nr. 4 BSIG-neu.

Ein Hersteller vernetzter Medizingeräte mit 150 Mitarbeitenden, MDR-Klasse-IIb-Produkten und einer Cloud-Plattform für Remote-Monitoring ist Wichtige Einrichtung nach NIS2.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu fordert sieben Pflichtkategorien, die für Medizinprodukteherste-ller durch die regulatorische Dreifachbelastung besonders relevant sind:

Risikoanalyse und -management: Produktentwicklungs-IT (PLM), Qualitätsmanagementsystem (QMS), Post-Market-Surveillance-Systeme und Cloud-Infrastruktur für vernetzte Geräte müssen bewertet werden.
Incident Handling: Ein Cybersecurity-Vorfall an einem vernetzten Medizinprodukt ist NIS2-meldepflichtig (BSI) und gleichzeitig ein Vigilanz-Ereignis nach MDR Art. 87 (EUDAMED/BfArM).
Business Continuity: QMS und regulatorische Dokumentation dürfen bei IT-Ausfall nicht verloren gehen. BCPs müssen die Unverletzlichkeit der MDR-Dokumentation sicherstellen.
Supply-Chain-Sicherheit: Lieferanten von Software-Komponenten, Cloud-Diensten und Hardware müssen nach § 30 Abs. 2 Nr. 4 BSIG-neu auf Sicherheitsstandards bewertet werden.
Zugangskontrolle und MFA: Zugang zu QMS, PLM und Cloud-Plattformen für vernetzte Geräte muss durch MFA gesichert sein. Remote-Updates für Medizinprodukte erfordern sichere Signaturverfahren.
Verschlüsselung: Patientendaten, klinische Studien-Daten und regulatorische Dokumentation müssen verschlüsselt gespeichert sein.
Schulung und Awareness: Entwickler, Regulatory Affairs und Qualitätsmanagement müssen regelmäßig zu Cybersicherheit geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Besonderheit: Ein Cybersecurity-Vorfall an einem vernetzten Medizinprodukt löst parallel die MDR-Vigilanzpflicht aus (Meldung an BfArM binnen 15 Tagen, § 93 MDR). Beide Meldewege müssen koordiniert sein.

Bußgelder und persönliche Haftung

Wichtige Einrichtung (Anhang II): bis 7 Mio. EUR oder 1,4 % Umsatz. § 38 BSIG-neu begründet persönliche Haftung der Geschäftsleitung. Hinzu kommen MDR-Sanktionen und potenzielle Produkthaftung bei patientenschädigenden Sicherheitsvorfällen.

MDR Art. 5 Cybersecurity, IEC 81001-5-1 und ISO 13485: die Dreifach-Compliance-Pyramide

Die Medizintechnik-Branche steht vor einem Dreifach-Compliance-Konstrukt:

MDR Art. 5 Abs. 5 (Cybersecurity): Die EU-Medizinprodukteverordnung verlangt für vernetzte Produkte, dass Hersteller Cybersicherheitsrisiken in der technischen Dokumentation adressieren und Lifecycle-Maßnahmen implementieren. Die MDCG-Leitlinie 2019-16 konkretisiert diese Anforderungen.

IEC 81001-5-1 (2021): Diese Norm spezifiziert Cybersicherheitsanforderungen für den Lebenszyklus von Medizinprodukten und deren Software (SaMD). Sie ist die bevorzugte Referenznorm für MDR-Compliance in der Cybersecurity-Dimension.

ISO 13485 (QMS): Das Qualitätsmanagementsystem nach ISO 13485 bildet die Grundlage für alle regulatorischen Prozesse. Cybersicherheitsmaßnahmen nach NIS2 und IEC 81001-5-1 müssen im ISO-13485-QMS dokumentiert sein.

NIS2 ergänzt dieses Konstrukt um Unternehmens-IT-Sicherheitspflichten. Wer IEC 81001-5-1 umsetzt, erfüllt damit bereits substantielle Teile der § 30 BSIG-neu-Anforderungen. Eine harmonisierte Compliance-Strategie spart erhebliche Ressourcen.

Erste Schritte

Kläre Mitarbeiterzahl und Umsatz. Über 50 MA oder 10 Mio. EUR: Wichtige Einrichtung.
Führe eine Gap-Analyse durch: Welche Anforderungen decken IEC 81001-5-1 und ISO 13485 bereits ab? Was ist NIS2-spezifisch?
Inventarisiere alle vernetzten Produkte und die zugehörige Cloud-Infrastruktur.
Stelle sicher, dass Cybersecurity-Vorfälle an Produkten in deinem IR-Plan NIS2-Meldung UND MDR-Vigilanz auslösen.
Prüfe Remote-Update-Prozesse für Medizinprodukte auf Signatur-Integrität.
Überarbeite Lieferantenverträge für Software-Komponenten auf § 30 Abs. 2 Nr. 4 BSIG-neu.
Registriere dich beim BSI.

Typische Fehler vermeiden

NIS2 als separates Compliance-Projekt: Der größte Fehler wäre, NIS2 unabhängig von MDR und IEC 81001-5-1 zu behandeln. Alle drei bauen auf denselben Grundprinzipien auf.

Vigilanz-Meldung und BSI-Meldung nicht koordiniert: Wenn ein Sicherheitsvorfall an einem Medizinprodukt Patientenrisiken birgt, müssen beide Meldewege gleichzeitig bedient werden.

Post-Market-Surveillance nicht als IT-Sicherheitsquelle: PMS-Daten über Cybersecurity-Schwachstellen in Felddaten sind wichtige Eingaben für die NIS2-Risikoanalyse.

SBOM (Software Bill of Materials) nicht erstellt: MDR und IEC 81001-5-1 empfehlen, NIS2 unterstützt, die Erstellung einer SBOM für vernetzte Produkte. Ohne SBOM ist Supply-Chain-Risikoanalyse kaum möglich.

Nutze den branchengenauen NIS2-Rechner für Medizinprodukte, um deine Betroffenheit zu ermitteln.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Medizinprodukt-Betrieb von NIS2 betroffen?

Medizinprodukte: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

MDR Art. 5 Cybersecurity, IEC 81001-5-1 und ISO 13485: die Dreifach-Compliance-Pyramide

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt ein Medizinproduktehersteller als NIS2-pflichtig?

02Wie verhält sich NIS2 zur MDR (EU) 2017/745 bei Medizinprodukten?

03Welche Rolle spielt ISO 13485 bei der NIS2-Compliance für Medizinproduktehersteller?

04Welche Bußgelder drohen Medizinprodukte-Herstellern bei NIS2-Verstößen?

05Was bedeuten NIS2-Lieferkettenpflichten für Medizinproduktehersteller?

06Wann müssen sich Medizinproduktehersteller beim BSI registrieren?

07Haften Geschäftsführer von Medizinprodukte-Herstellern persönlich für NIS2?