Thomas Kramer
Thomas Kramer

NIS-2 und der Rettungsdienst: Erst nicht betroffen, dann doch, dann schnell registrieren

Thomas Kramer enthalten in Meinung
 800 Wörter (ungefähr) 4 Minuten 

Die offizielle Entwarnung

Am 6. Dezember 2025 trat das NIS-2-Umsetzungsgesetz in Deutschland in Kraft. Drei Monate Frist zur Registrierung beim BSI, also bis zum 6. März 2026. Rund 29.000 Organisationen bundesweit betroffen.

Als Qualitätsmanagementbeauftragter bei einem Rettungsdienst war meine erste Frage: Betrifft uns das? Die Antwort fand ich auf der offiziellen BSI-Seite, dem #nis2know-Infopaket Gesundheitswesen. Dort stand, schwarz auf weiß:

„Rettungsdienste gelten nicht als Gesundheitsdienstleister im Sinne des BSIG, sodass keine Registrierung erfolgen muss."

Klare Ansage. Kein Interpretationsspielraum. Rettungsdienste fallen „vollständig aus dem Anwendungsbereich des BSIG heraus". Keine Registrierungs-, Melde- oder Nachweispflichten.

Ich habe das am 23. Februar zusammengefasst, intern verteilt, das Thema als erledigt abgehakt. So macht man das, wenn die zuständige Bundesbehörde eine eindeutige Aussage trifft.

Dann verschwand die Aussage

Zwei Tage später, am 25. Februar, setzten wir uns im Team zusammen, um die NIS-2-Thematik für unsere Organisation final zu bewerten. Ich wollte die BSI-Quelle nochmal aufrufen. Der Punkt zu Rettungsdiensten war weg. Nicht aktualisiert, nicht korrigiert: verschwunden. Still und ohne Ankündigung entfernt.

Das war irritierend, aber noch kein Alarm. Vielleicht eine Überarbeitung der Seite, vielleicht ein Redaktionsfehler. Wir warteten ab.

Dann die Kehrtwende

Am 27. Februar erschien auf derselben BSI-Seite ein neuer Hinweis:

„In der ersten Version dieses Infopakets wurde eine Nichtbetroffenheit von Rettungsdiensten erklärt. Nach Hinweisen und erneuter juristischer Bewertung ist diese Einschätzung revidiert worden."

Rettungsdienste sind jetzt doch Gesundheitsdienstleister im Sinne der EU-Patientenmobilitätsrichtlinie 2011/24/EU. Und damit registrierungspflichtig.

Die Frist lief am 6. März ab. Sieben Tage später.

Sieben Tage für eine komplette Kehrtwende

Was in diesen sieben Tagen passieren musste:

  1. Juristische Bewertung der neuen Einschätzung
  2. Klärung der Schwellenwerte: Sind wir als „wichtige" oder „besonders wichtige" Einrichtung einzustufen? (Ab 50 Mitarbeitern oder 10 Mio. € Umsatz als wE, ab 250 Mitarbeitern oder 50 Mio. € als bwE)
  3. Interne Abstimmung mit der Geschäftsführung
  4. BSI-Portal-Registrierung mit allen erforderlichen Angaben: Kontaktstelle, Einrichtungsart, Sektor, Schwellenwerte
  5. Dokumentation der Betroffenheitsprüfung (gesetzlich gefordert)

Wir haben es geschafft. Am 4. März, zwei Tage vor Fristablauf, war die Registrierung durch. In unserem Fall lag QM, IT und Datenschutz in einer Hand, das hat den Prozess beschleunigt. Bei Organisationen, wo diese Verantwortlichkeiten auf verschiedene Abteilungen verteilt sind, hätten sieben Tage kaum gereicht.

Was ist mit den anderen?

Deutschland hat rund 250 Rettungsdienstbereiche. Viele davon werden die Schwellenwerte für NIS-2 erreichen. Nicht alle haben eine IT-Abteilung, die das BSI-Portal täglich auf Änderungen prüft. Nicht alle haben einen QMB, der sich nebenbei um Cybersicherheit kümmert.

Wie viele Rettungsdienste haben die ursprüngliche BSI-Aussage gelesen, das Thema abgehakt und die Kehrtwende schlicht nicht mitbekommen? Das BSI hat die Änderung nicht per E-Mail an registrierte Kontakte verschickt. Es gab keine Pressemitteilung. Der Hinweis stand still auf einer Unterseite, die man aktiv aufrufen musste.

Das juristische Grundproblem

Die Frage, ob Rettungsdienste Gesundheitsdienstleister sind, ist tatsächlich nicht trivial. Die NIS-2-Richtlinie verweist auf die Patientenmobilitätsrichtlinie 2011/24/EU, Artikel 3 Buchstabe g: Ein Gesundheitsdienstleister ist „jede natürliche oder juristische Person oder sonstige Einrichtung, die im Hoheitsgebiet eines Mitgliedstaats rechtmäßig Gesundheitsdienstleistungen erbringt".

Die Langzeitpflege wird explizit ausgenommen (Erwägungsgrund 14 der Richtlinie). Aber der Rettungsdienst? Wer Notfallpatienten versorgt, erbringt zweifellos Gesundheitsdienstleistungen. Die erste BSI-Einschätzung war juristisch fragwürdig, die Korrektur war richtig.

Das Problem ist nicht die Korrektur selbst. Das Problem ist der Ablauf.

Was hätte passieren müssen

  • Korrekte Erstbewertung. Die EU-Richtlinie, auf die das Gesetz verweist, ist seit 2011 in Kraft. Die Frage, ob Notfallversorgung eine Gesundheitsdienstleistung ist, hätte vor Veröffentlichung des Infopakets geklärt werden müssen.
  • Aktive Kommunikation. Wenn eine Bundesbehörde ihre Rechtseinschätzung zu einer gesetzlichen Pflicht ändert, reicht es nicht, einen Satz auf einer Unterseite zu ergänzen. Das erfordert eine Mitteilung an alle potenziell Betroffenen.
  • Fristverlängerung. Wenn die zuständige Behörde ihre eigene Einschätzung wenige Tage vor Fristablauf revidiert, muss die Frist angepasst werden. Nicht als Kulanz, sondern als Konsequenz des eigenen Fehlers.
  • Transparente Korrektur. Erst die Aussage still entfernen und zwei Tage später durch eine Korrektur ersetzen, das ist keine transparente Kommunikation. Das ist Schadensbegrenzung.

Cybersicherheit im Rettungsdienst ist wichtig

Das alles ändert nichts daran, dass IT-Sicherheit im Rettungsdienst ein ernstes Thema ist. Leitstellen, Einsatzdokumentation, Medizingeräte, Fahrzeugkommunikation: ein Cyberangriff auf einen Rettungsdienst gefährdet direkt Menschenleben. Die NIS-2-Regulierung für diesen Bereich ist sachlich richtig.

Aber eine Regulierung, die Organisationen erst in falscher Sicherheit wiegt und dann mit sieben Tagen Vorlauf in die Pflicht nimmt, untergräbt genau das Vertrauen in behördliche Kommunikation, das für eine erfolgreiche Umsetzung notwendig wäre.

Als jemand, der in diesem Rettungsdienst für IT-Infrastruktur und Qualitätsmanagement zuständig ist, hätte ich mir gewünscht, von Anfang an eine korrekte Einschätzung zu bekommen. Dann hätten wir drei Monate Zeit gehabt statt sieben Tage.

Quellen: BSI #nis2know Gesundheitswesen (aktuelle Version), BSI Sektorspezifische FAQ, EU-Patientenmobilitätsrichtlinie 2011/24/EU, DRK Service: NIS-2-Gesetz für DRK-Organisationen, heise online: NIS2-Registrierungsfrist beim BSI

Aktualisiert am 13.03.2026 
CC BY-NC-SA 4.0
IT-SicherheitNIS-2RettungsdienstDigitalisierung
Zurück | Startseite

Inhalt