Die NIS-2-Richtlinie (EU-Richtlinie 2022/2555) betrifft im Gesundheitssektor eine Vielzahl von Tätigkeiten und Einrichtungen, die als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft werden. Ziel ist es, die Cybersicherheit kritischer Infrastrukturen zu stärken. Im Gesundheitssektor sind insbesondere folgende Tätigkeiten und Organisationen betroffen: 1. **Krankenhäuser und Kliniken** Alle öffentlichen und privaten Krankenhäuser, einschließlich Universitätskliniken und Spezialkliniken. 2. **Ambulante medizinische Versorgung** Große medizinische Versorgungszentren, Polikliniken und größere Arztpraxen, sofern sie eine kritische Größe oder Bedeutung erreichen. 3. **Labore und Diagnostikzentren** Einrichtungen, die medizinische Analysen, Diagnostik oder Labordienstleistungen anbieten. 4. **Apotheken und pharmazeutische Dienstleistungen** Insbesondere größere Apothekenketten oder zentrale Apotheken, die eine kritische Rolle in der Arzneimittelversorgung spielen. 5. **Hersteller von Medizinprodukten** Unternehmen, die kritische Medizinprodukte (z. B. Beatmungsgeräte, Implantate) herstellen. 6. **Hersteller und Großhändler von Arzneimitteln** Unternehmen, die für die Versorgung mit wichtigen Medikamenten verantwortlich sind. 7. **Blut-, Gewebe- und Organzentren** Einrichtungen, die für die Bereitstellung und Verteilung von Blut, Gewebe oder Organen zuständig sind. 8. **Notfalldienste und Rettungsdienste** Organisationen, die Notfallversorgung und Rettungsdienste bereitstellen. 9. **IT-Dienstleister im Gesundheitswesen** Unternehmen, die kritische IT-Dienstleistungen für Gesundheitseinrichtungen erbringen (z. B. Krankenhausinformationssysteme, Telemedizin-Plattformen). **Wichtig:** Die genaue Einstufung hängt von der Größe, Bedeutung und dem Einfluss der jeweiligen Einrichtung ab. Die NIS-2-Richtlinie legt Schwellenwerte und Kriterien fest, nach denen Unternehmen und Organisationen als „wesentlich“ oder „wichtig“ gelten. Kleinere Arztpraxen oder Apotheken sind in der Regel nicht betroffen, es sei denn, sie erfüllen bestimmte Kriterien. **Weitere Informationen:** - [NIS-2-Richtlinie im Volltext (EUR-Lex)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555) - [Bundesamt für Sicherheit in der Informationstechnik (BSI) – NIS-2](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/NIS2/nis2_node.html) Die betroffenen Einrichtungen müssen umfangreiche Maßnahmen zur IT-Sicherheit und zum Risikomanagement umsetzen und Vorfälle melden.