Posts mit dem Label Medizintechnik werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Medizintechnik werden angezeigt. Alle Posts anzeigen

Dienstag, 24. Februar 2026

NIS2 in der Medizintechnik: Betroffenheit, Pflichten, ISO 27001 und Lieferkette

NIS2 in der Medizintechnik: Warum ISO 13485 nicht reicht und ISO 27001 der beste Umsetzungsrahmen ist

Medizintechnik-Unternehmen sind reguliert wie kaum eine andere Branche: MDR, ISO 13485, Risikomanagement nach ISO 14971. Viele Organisationen schließen daraus: „Wir sind sauber aufgestellt.“

Mit NIS2 gilt jetzt: Reguliert heißt nicht automatisch resilient. NIS2 verlangt nachweisbare Cyber-Resilienz der Organisation und rückt Geschäftsführung und Lieferkette in den Mittelpunkt.

Ich schreibe das als CEO und Leiter von THE COMPLIÄNCE – aus der Praxis mit MedTech-Unternehmen und Zulieferern, auch hier bei uns im Süden (Baden-Württemberg, Medical-Valley-Umfeld).

Medizinbranche vs. Medizintechnik: Warum das für NIS2 entscheidend ist

In Diskussionen rund um NIS2 werden Begriffe oft vermischt. Das ist gefährlich, weil die Risikologik unterschiedlich ist.

Medizinbranche meint Versorgung: Kliniken, MVZ, Labore, Betreiber kritischer Dienstleistungen.
Medizintechnik meint Entwicklung, Herstellung und Service von Medizinprodukten (inklusive Software).

Der Unterschied ist fundamental:

  • In der Versorgung ist der Super-GAU oft der Betriebsausfall.
  • In der Medizintechnik ist der Super-GAU oft die Kompromittierung von Entwicklung, Update- oder Servicepfaden (Build-Chain, Remote-Zugriff, Produktions-OT).

Sind wir als Medizintechnik-Unternehmen von NIS2 betroffen?

Die Betroffenheit hängt von Sektor-Zuordnung und Schwellenwerten ab (zum Beispiel Mitarbeiterzahl, Umsatz, Bilanzsumme). In Deutschland wird das über die nationale Umsetzung und das BSIG konkretisiert.

In der Praxis ist noch wichtiger:

  • Auch wenn Du nicht direkt fällst: Über die Lieferkette wirst Du sehr oft indirekt verpflichtet (Verträge, Audit-Rechte, Sicherheitsnachweise).
  • Wenn Deine Kunden NIS2-pflichtig sind, kommen Anforderungen fast automatisch zu Dir.

Was verlangt NIS2 konkret von MedTech und Zulieferern?

NIS2 zielt auf Risikomanagementmaßnahmen und den Umgang mit Sicherheitsvorfällen inklusive Nachweis und Dokumentation. Cybersecurity wird damit zur Managementaufgabe, nicht zur reinen IT-Disziplin.

Für MedTech sind typischerweise besonders relevant:

  • Lieferkette und Dienstleistersteuerung (Cloud, Entwicklungsdienstleister, OEM-Komponenten, Remote-Service)
  • Incident-Response und Meldefähigkeit (Prozesse, Verantwortlichkeiten, Dokumentation)
  • Governance auf Geschäftsführungsebene (Verantwortung, Kontrolle, Ressourcen)
  • Nachweisfähigkeit (nicht nur Maßnahmen, sondern dokumentierte Entscheidungen und Wirksamkeit)

Warum ISO 13485 dafür nicht ausreicht

ISO 13485 ist ein Qualitätsmanagementsystem. Das hilft enorm bei Prozessen, Dokumentation und Auditfähigkeit. Aber: Der Fokus liegt auf Produktqualität und regulatorischer Konformität, nicht auf einem vollständigen Informationssicherheits-Managementsystem für die Organisation.

Kurz gesagt:

  • ISO 13485 strukturiert „wie wir Qualität liefern“.
  • NIS2 verlangt zusätzlich „wie wir Cyber-Risiken der Organisation beherrschen und nachweisen“.

Ein praktisches Beispiel: Wird eine Entwicklungsumgebung kompromittiert und manipulierte Software gelangt in den Build-Prozess, ist das zunächst ein IT-Sicherheitsvorfall. Die Folgen sind jedoch schnell regulatorisch und haftungsrechtlich relevant.

Doppelrelevanz von Cybervorfällen

Ein schwerer Cyberangriff kann:

  • meldepflichtig im Sinne von NIS2 sein,
  • und gleichzeitig ein MDR-relevantes Vorkommnis darstellen.

Das betrifft insbesondere:

  • Manipulation von Firmware oder Updates
  • Ausfall von Produktions- oder Servicenetzwerken
  • kompromittierte Remote-Zugänge
  • Integritätsverletzungen sensibler Daten

Die regulatorische Komplexität steigt – und damit die Verantwortung der Geschäftsführung.

Was hat ISO 27001 mit NIS2 zu tun?

Hier entsteht häufig ein Missverständnis:

NIS2 ist Gesetz (Pflicht).
ISO 27001 ist Norm (Rahmen).

Das Gesetz sagt, was Unternehmen tun müssen.
Die Norm beschreibt, wie man es systematisch organisiert.

Viele NIS2-Kernelemente sind typische ISO-27001-Bausteine:

  • Kontext, Scope, Rollen und Verantwortlichkeiten
  • systematische Risikoanalyse
  • Maßnahmensteuerung und Nachweise
  • interne Audits, Management Review, kontinuierliche Verbesserung

Wichtig: ISO 27001 ersetzt NIS2 nicht. Aber sie ist der robusteste Weg, NIS2-Anforderungen strukturiert, prüfbar und nachhaltig umzusetzen.

Von QMS zu ISMS: Warum MedTech einen Startvorteil hat

Die gute Nachricht: MedTech ist Managementsystem-erfahren.

Viele Bausteine existieren bereits:

  • Dokumentenlenkung
  • interne Audits
  • CAPA und Abweichungsmanagement
  • Management Reviews
  • risikobasierte Arbeitsweise

Das reduziert Aufwand, wenn man es richtig macht: integrieren statt doppeln.

MedTech-spezifische Risikozonen (die in Audits und Incidents wirklich zählen)

Wenn Du in der Medizintechnik priorisieren willst, fang hier an:

  1. Entwicklungsumgebung und Build-Chain (Code, Signing, Artefakte, CI/CD)
  2. Produktions-IT und OT (Verfügbarkeit, Segmentierung, Zugriff)
  3. Remote-Service und Wartungszugänge (Identitäten, Protokollierung, Least Privilege)
  4. Cloud- und Update-Infrastruktur (Konfiguration, Schlüssel, Logging)
  5. Zulieferteile und Dependencies (Transparenz, Sicherheitsanforderungen, Änderungsdisziplin)

Für die Produktseite (Cybersecurity im Produktlebenszyklus) spielt zusätzlich die Normenlandschaft wie IEC 81001-5-1 eine Rolle. Das ist kein NIS2-Ersatz, aber relevant für „secure by design“ im MedTech-Kontext.

10-Punkte-Check: NIS2-ready ohne Aktionismus

  1. Betroffenheit prüfen (direkt und indirekt)
  2. Scope definieren (Kronjuwelen: Dev, OT, Remote, Cloud)
  3. Rollen festlegen (GF, ISMS, Incident Owner)
  4. Risikoanalyse starten (Assets, Bedrohungen, Impact)
  5. Maßnahmenplan priorisieren (Top 10 Risiken)
  6. Melde- und Incident-Prozess definieren und üben
  7. Logging und Monitoring auf kritischen Systemen klären
  8. Lieferantenverträge prüfen: Mindeststandards, Audit-Rechte, Meldepflichten
  9. Nachweisführung sichern: Dokumentation, Entscheidungen, Reviews
  10. Management Review als Steuerungsinstrument nutzen

Fazit: Reguliert heißt nicht resilient

ISO 13485 bleibt Pflicht und sinnvoll.
NIS2 macht Cyber-Resilienz zur Managementverantwortung.
ISO 27001 ist der sauberste Rahmen, um das prüfbar, skalierbar und integrierbar umzusetzen.

Wer heute strukturiert baut, verhindert morgen Krisenmanagement.

Frage an Dich: Wo ist in Deinem Unternehmen der größte blinde Fleck – Lieferkette, Remote-Service oder Build-Chain?

FAQ: Häufige Fragen zu NIS2 in der Medizintechnik

Gilt NIS2 für alle Medizintechnik-Unternehmen?

Nein. Die Betroffenheit hängt von Sektor-Zuordnung und Schwellenwerten ab. Häufig entsteht aber indirekter Handlungsdruck über die Lieferkette (Verträge, Nachweise, Audit-Rechte).

Ist ISO 27001 Pflicht unter NIS2?

Nein. ISO 27001 ist freiwillig. Sie ist jedoch ein bewährter Managementsystem-Rahmen, um viele NIS2-Anforderungen strukturiert, nachweisbar und auditierbar umzusetzen.

Reicht ISO 13485 als Nachweis für NIS2?

Nein. ISO 13485 fokussiert Produktqualität und regulatorische Produkt-Compliance. NIS2 verlangt zusätzlich ein nachweisbares Cyber-Risikomanagement der Organisation, inklusive Lieferkette und Incident-Prozessen.

Was ist der größte blinde Fleck in MedTech im Kontext NIS2?

In der Praxis sind das oft Lieferkette, Remote-Servicezugänge und die Build-Chain (Integrität von Code, Signierung, Updates).

Posted by am
Labels: , ,
Ort: 72336 Balingen, Deutschland
Abonnieren Kommentare (Atom)