In Fachkreisen kursiert seit Monaten eine pauschale Botschaft: „NIS2 betrifft auch die Pflege – alle müssen handeln." Diese Vereinfachung ist gefährlich. Denn sie kostet Zeit, Geld und Vertrauen – für einen Anwendungsbereich, der rechtlich schlicht nicht existiert. Ich möchte das klar einordnen: Die NIS2-Richtlinie ist wichtig und richtig, aber sie zielt auf kritische Infrastrukturen und wesentliche Einrichtungen ab – nicht auf jeden ambulanten Pflegedienst, der Patienten zu Hause betreut.

Kernthese

Die außerklinische ambulante Intensivpflege (AIP) fällt nach aktueller Rechtslage und dem deutschen Umsetzungsgesetz (NIS2UmsuCG) in aller Regel nicht unter den Anwendungsbereich der NIS2-Richtlinie – weder als „wesentliche" noch als „wichtige" Einrichtung.

Die NIS2-Logik verstehen

NIS2 richtet sich nach zwei Kriterien: Sektorzugehörigkeit und Unternehmensgröße. Beide müssen erfüllt sein. Der relevante Sektor im Gesundheitsbereich ist in Anhang I der Richtlinie definiert – und er ist enger als viele glauben.

RECHTSGRUNDLAGE

Anhang I NIS2-RL erfasst im Gesundheitssektor explizit: Gesundheitsdienstleister im Sinne von Art. 3 Abs. 1 lit. g der Richtlinie 2011/24/EU – also Einrichtungen, die Gesundheitsversorgung erbringen, die typischerweise nur durch Fachkräfte des Gesundheitswesens in regulierten Berufen erbracht werden kann. Das NIS2UmsuCG (BSIG n.F.) konkretisiert dies auf Krankenhäuser, Labore, Einrichtungen für Forschung & Entwicklung sowie bestimmte kritische Medizinproduktehersteller. Ambulante Pflegedienste – auch solche mit intensivpflegerischem Schwerpunkt – sind hier nicht namentlich aufgeführt.

6 Argumente gegen eine NIS2-Pflicht der AIP:

1. Keine explizite Sektor-Einordnung
 

Ambulante Intensivpflegedienste sind weder in Anhang I noch Anhang II der NIS2-Richtlinie explizit aufgeführt. Die deutsche Umsetzung im BSIG nennt unter „Gesundheit" Krankenhäuser und vergleichbare stationäre Versorgungsstrukturen – nicht ambulante Pflegedienste.

2. Größenschwellen werden selten erreicht
 

NIS2 greift ab 50 Mitarbeitenden und 10 Mio. € Jahresumsatz (wichtige Einrichtungen) bzw. 250 Mitarbeitende und 50 Mio. Jahresumsatz € (wesentliche Einrichtungen). Die übergroße Mehrheit ambulanter Intensivpflegedienste liegt deutlich darunter – ohne kritische KRITIS-Sondereinstufung keine Pflicht.

3. Kein systemkritisches Netzinfrastruktur-Profil
 

NIS2 zielt auf vernetzte Systeme ab, deren Ausfall gesellschaftliche Kettenreaktionen auslösen. Ein ambulanter Intensivpflegedienst betreut Einzelpersonen in häuslicher Umgebung. Ein Systemausfall ist tragisch – aber kein „gesellschaftsrelevanter Infrastrukturausfall" im Sinne der Richtlinie.

4. SGB XI als lex specialis
 

Die außerklinische Intensivpflege ist primär über §§ 37c, 45a SGB XI sowie die Häusliche Krankenpflege-Richtlinie geregelt. Diese Spezialgesetze enthalten eigene Qualitäts- und Dokumentationspflichten – eine NIS2-Überlagerung ist rechtssystematisch nicht angezeigt.

5. Dezentrale Versorgungsstruktur
 

AIP-Dienste arbeiten in den Privatwohnungen ihrer Patienten, oft ohne zentrale IT-Infrastruktur. Es gibt keine „wesentliche" digitale Plattform, deren Ausfall eine Versorgungslücke auf Systemebene erzeugt. Die Resilienzlogik von NIS2 greift strukturell nicht.

6. BSI-Auslegungspraxis & fehlende Aufsichtszuständigkeit
 

Das BSI als zuständige Behörde hat ambulante Pflegedienste bislang nicht in seinen Konkretisierungen zur KRITIS-Verordnung oder zum NIS2UmsuCG aufgeführt. Ohne definierte Aufsichtszuständigkeit und Sektorzuordnung läuft eine Selbstverpflichtung ins Leere.

„Compliance-Pflicht setzt Anwendungsbereich voraus. Wer diesen nicht prüft, betreibt keine Compliance – sondern Aktionismus."

Was dennoch sinnvoll ist

Kein Argument gegen NIS2-Compliance bedeutet ein Argument gegen IT-Sicherheit. Wer beatmungspflichtige Menschen betreut, trägt Verantwortung – auch digital. Datenschutz nach DSGVO, sichere Dokumentationssysteme, Zugriffsschutz für Patientendaten: Das alles gilt unabhängig von NIS2. Aber: Diese Maßnahmen sollten aus echtem Verantwortungsbewusstsein und konkreter Risikoanalyse entstehen – nicht aus einem missverstandenen Gesetz, das für andere Versorgungsstrukturen gemacht wurde.

Der eigentliche Schaden pauschaler NIS2-Kommunikation

Kleine ambulante Intensivpflegedienste investieren knappe Ressourcen in Compliance-Strukturen, die rechtlich nicht gefordert sind – während die patientennahe Versorgungsqualität und echte Datenschutzmaßnahmen vernachlässigt werden. Das ist keine Sicherheitskultur, das ist Ressourcenverschwendung.

Fazit und Appell
 

Die NIS2-Debatte in der Pflege braucht mehr Differenzierung. Berater, Verbände und Softwareanbieter, die pauschal „NIS2-Betroffenheit" verkünden, ohne den Anwendungsbereich sorgfältig zu prüfen, handeln fahrlässig. Mein Appell an alle Entscheidungsträger in der AIP: Prüfen Sie zuerst, ob Sie wirklich betroffen sind. Holen Sie sich eine rechtliche Einschätzung – nicht vom Anbieter, der Ihnen eine Compliance-Lösung verkaufen möchte.

Marcus Mann

Verwaltungsdirektor GIP Intensivpflege