Cookie-Einstellungen

Zur fortlaufenden Verbesserung unserer Angebote nutzen wir den Webanalysedienst matomo.

Dazu werden Cookies auf Ihrem Endgerät gespeichert, was uns eine Analyse der Benutzung unserer Webseite durch Sie ermöglicht. Die so erhobenen Informationen werden pseudonymisiert, ausschließlich auf unserem Server gespeichert und nicht mit anderen von uns erhobenen Daten zusammengeführt - so kann eine direkte Personenbeziehbarkeit ausgeschlossen werden. Sie können Ihre Einwilligung jederzeit über einen Klick auf "Cookies" im Seitenfuß widerrufen.

Weitere Informationen dazu in unseren Datenschutzhinweisen.

 - Recht Umsetzung der NIS-2-Richtlinie im BSI-Gesetz – Neue Compliance-Pflichten für Unternehmen BVMed Legal Lunch vom 19. Mai 2026

Die NIS-2-Richtlinie stellt Unternehmen in Europa vor erhebliche neue Herausforderungen im Bereich der Cybersicherheit. Mit dem verspätet in Kraft getretenen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2-UmsuCGExterner Link. Öffnet im neuen Fenster/Tab.) gelten in Deutschland seit dem 6. Dezember 2025 weitreichende Pflichten für zehntausende Unternehmen, darunter auch zahlreiche Akteure der Medizintechnikbranche.

ArtikelBerlin, 21.05.2026

Hintergrund

© Pete Linforth auf Pixabay Ziel des NIS-2-UmsuCGExterner Link. Öffnet im neuen Fenster/Tab. und der damit verbundenen Umsetzung der NIS-2-Richlinie im deutschen BSIGExterner Link. Öffnet im neuen Fenster/Tab. ist es, ein hohes Cybersicherheitsniveau sicherzustellen. Das Gesetz verpflichtet Unternehmen zu geeigneten, verhältnismäßigen technischen, operativen und organisatorischen Risikomanagementmaßnahmen im Bereich der Cybersicherheit sowie zur Erfüllung von Berichtspflichten bei erheblichen Cyberbedrohungen. Dr. Carolin Monsees (Taylor Wessing) gab beim BVMed Legal Lunch am 19. Mai 2026 einen praxisnahen Überblick über den Anwendungsbereich, die Pflichten und die Rechtsfolgen des neuen Rechtsrahmens.

Wesentliche Inhalte

  • Erweiterter Anwendungsbereich: Das Gesetz erfasst ca. 25.550 neue betroffene Unternehmen in 18 Sektoren
  • Unterteilung in besonders wichtige Einrichtungen und wichtige Einrichtungen mit unterschiedlichen Pflichtenkatalogen und Durchsetzungsbefugnissen
  • Umfangreiche Risikomanagementmaßnahmen nach §§ 30, 31 BSIG, darunter Risikoanalysekonzepte, Sicherheit in der Lieferkette, Krisenmanagement, Cyberhygiene-Schulungen, Multi-Faktor-Authentifizierung und Kryptografiekonzepte
  • Dreistufiges Melderegime nach § 32 BSIG: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussmeldung innerhalb eines Monats
  • Registrierungspflicht innerhalb von drei Monaten nachdem sie als (besonders) wichtige Einrichtung, kritische Anlagen oder bestimmte Akteure gelten, eigenständig durch das Unternehmen
  • Haftung der Leitungsorgane: Risikomanagementmaßnahmen müssen durch das Leitungspersonal umgesetzt und überwacht werde
  • Keine Übergangsfrist zur Umsetzung der Pflichten nach Inkrafttreten des Gesetzes

Bedeutung für die Praxis

Das neue BSIG stellt Unternehmen vor unmittelbaren Handlungsbedarf, Übergangfristen gibt es nicht. Besonders wichtige Einrichtungen unterliegen anlasslosen Überprüfungsmaßnahmen durch das BSI, darunter stichprobenartige Audits, Prüfungen und Zertifizierungen.
Die Einbeziehung der Lieferkette in das Risikomanagement ist ein zentrales neues Element des Gesetzes. Unternehmen müssen daher nicht nur die eigene IT-Sicherheit im Blick haben, sondern auch die Sicherheitsstandards ihrer Lieferanten und Dienstleister aktiv steuern. Dies erfordert eine enge Zusammenarbeit zwischen Rechtsabteilung, IT und Einkauf.

Fazit

Die NIS-2-Richtlinie und ihre deutsche Umsetzung im BSIG markieren eine deutliche Verschärfung der Cybersicherheitsanforderungen für Unternehmen. Mit Bußgeldern von bis zu 10 Mio. EUR bzw. 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen und bis zu 7 Mio. EUR bzw. 1,4 % des weltweiten Jahresumsatzes für wichtige Einrichtungen sind die Rechtsfolgen erheblich. Unternehmen, auch aus der Medizintechnikbranche, sollten jetzt handeln: Zunächst gilt es, die eigene Betroffenheit und Einrichtungskategorie zu bestimmen, anschließend konkrete Risikomanagementmaßnahmen zu planen und umzusetzen sowie laufend den Stand der Technik zu überwachen und die Maßnahmen zu aktualisieren. Eine frühzeitige und strukturierte Auseinandersetzung mit den neuen Anforderungen ist der Schlüssel zur Vermeidung von Sanktionen und vor allem zur nachhaltigen Stärkung der eigenen Cyberresilienz.

Ihr Kontakt zu uns

Service

News abonnieren

Sie möchten auf dem Laufenden bleiben?
Abonnieren Sie unsere kostenlosen Newsletter, E-Mail-Alerts zu unseren Themen oder Pressemeldungen.

Jetzt abonnieren

Das könnte Sie auch interessieren

  • Cybersicherheit
    NIS-2-Registrierung beim BSI: Handlungsbedarf bis 31. Juli 2026

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den BVMed darauf hingewiesen, dass noch nicht alle betroffenen Unternehmen ihrer gesetzlichen Registrierungspflicht nach dem BSI-Gesetz und der europäische NIS-2-Richtlinie nachgekommen sind. Nicht registrierte Einrichtungen sollen die Registrierung daher bis spätestens 31. Juli 2026 abschließen.

    Artikel30.06.2026

    Mehr lesen
  • Recht
    Infoseite: Umsetzung der NIS-2-Richtlinie im BSI-Gesetz

    Seit dem 6. Dezember 2025 gilt das NIS-2-UmsuCG in Deutschland, das Änderungen im BSI-Gesetz mit sich bringt. Es begründet weitreichende Cybersicherheitspflichten für Unternehmen in bestimmten Sektoren – darunter auch Hersteller von Medizinprodukten. Auf dieser Infoseite geben wir eine Übersicht zur Betroffenheit der MedTech-Branche, nennen Beispiele und beleuchten die Pflichten.

    Publikation30.06.2026

    Mehr lesen
  • BVMed-Rechtssymposium

    Recht
    BVMed-Rechtssymposium 2026: MDR, Digitalrecht, Werberecht und Vergaberecht

    Am Vormittag hatte sich das 21. BVMed-Symposium zum Medizinprodukterecht in Berlin mit dem Bericht aus dem Bundesgesundheitsministerium (BMG) und dem aktuellen Stand der MDR-Revision befasst. Nach der Mittagspause widmete sich das 21. BVMed-Symposium zum Medizinprodukterecht in Berlin gleich fünf großen Themenkomplexen: der Streitbeilegung unter der MDR, den rechtlichen Anforderungen an Medizinprodukte im Kontext der zivilen Verteidigung, aktuellen EU-Digitalvorhaben, der neuesten Rechtsprechung zu Werberecht und Greenwashing sowie dem Stand der Vergaberechtsreform.

    Artikel18.06.2026

    Mehr lesen

Kommende Veranstaltungen

  • Webinar
    Zölle auf Medizinprodukte, Freihandelsabkommen und Trade-Defense-Instrumente der EU

    Geopolitische Spannungen und neue Handelsbarrieren verändern den Welthandel grundlegend. Das Webinar zeigt, wie Unternehmen Freihandelsabkommen optimal nutzen und zugleich handelspolitische Schutzinstrumente der EU strategisch einordnen. Fokus: Antidumping, China-Importe und Auswirkungen auf Lieferketten in der MedTech-Branche.

    SeminarDigital
    16.09.2026 10:00 - 12:00 Uhr
    Veranstalter: BVMed-Akademie
    Schwerpunkt: Recht

    Zur Veranstaltung: Zölle auf Medizinprodukte, Freihandelsabkommen und Trade-Defense-Instrumente der EU
  • Webinar
    RechtsKompass | Recht(s)sicher navigieren! - EU Data Act

    Seit 12.09.2025 gilt der Data Act u. a. für vernetzte Medizinprodukte und Dienste. Erfahren Sie, welche Unternehmen betroffen sind, wie Daten künftig bereitgestellt werden müssen und welche vertraglichen Gestaltungsmöglichkeiten es gibt. Mit Checkliste: Ist Ihr Produkt „Data Act“-ready?

    SeminarDigital
    17.09.2026 10:00 - 11:30 Uhr
    Veranstalter: BVMed-Akademie
    Schwerpunkt: Recht

    Zur Veranstaltung: RechtsKompass – Recht(s)sicher navigieren | EU Data Act
  • Online-Seminar
    Datenschutz im Gesundheitswesen

    Die regulatorischen Anforderungen im Gesundheitswesen entwickeln sich mit hoher Dynamik weiter. Neben der DSGVO rücken neue Regelwerke wie die KI-Verordnung sowie das europäische und nationale Datenrecht zunehmend in den Fokus. Für Unternehmen bedeutet das: Datenschutz wird zur strategischen Managementaufgabe. In unserem zweitägigen Online-Seminar erhalten Sie einen strukturierten Überblick...

    SeminarDigital
    29.09.2026 09:30 Uhr - 30.09.2026 12:30 Uhr
    Veranstalter: BVMed-Akademie
    Schwerpunkt: Recht

    Zur Veranstaltung: Datenschutz im Gesundheitswesen

Ihre Vorteile als BVMed-Mitglied

  • Organisation

    In über 80 Gremien mit anderen BVMed-Mitgliedern und Expert:innen in Dialog treten und die Rahmenbedingungen für die Branche mitgestalten.

  • Information

    Vom breiten Serviceangebot unter anderem bestehend aus Veranstaltungen, Mustervorlagen, Newslettern und persönlichen Gesprächen profitieren.

  • Vertretung

    Eine stärkere Stimme für die Interessen der Branche gegenüber politischen Repräsentant:innen und weiteren gesundheitspolitischen Akteur:innen erhalten.

  • Netzwerk

    An Austauschformaten mit anderen an der Versorgung beteiligten Akteur:innen, darunter Krankenkassen, Ärzteschaft oder Pflege teilnehmen.

Die Akademie

Von Compliance über Nachhaltigkeit bis hin zu Kommunikation. Unsere Akademie bietet der MedTech-Community eine Vielfalt an Veranstaltungen zur Fort- und Weiterbildung an. Entdecken Sie unsere Seminare, Workshops und Kongresse.

Zu den Veranstaltungen