Sind DiGA-Hersteller von NIS2 betroffen?

Meistens nicht direkt. NIS2 ist in Deutschland seit dem 6. Dezember 2025 über das BSIG 2025 in Kraft, doch die direkte Betroffenheit setzt nach Paragraf 28 BSIG bestimmte Größenschwellen voraus — mindestens 50 Beschäftigte oder über 10 Mio. Euro Umsatz und über 10 Mio. Euro Bilanzsumme. Die meisten DiGA-Hersteller sind kleine Unternehmen und liegen unter diesen Schwellen, sind also häufig nicht direkt NIS2-pflichtig. Sie werden NIS2 aber sehr oft über die Lieferkette ihrer Kunden begegnen: Kliniken, Krankenkassen und größere Gesundheitseinrichtungen sind selbst pflichtig und reichen die Anforderungen vertraglich weiter. Die genaue Einstufung ist im Einzelfall zu prüfen.

Was ist der Unterschied zwischen direkter und Lieferketten-Betroffenheit?

Direkt betroffen ist ein DiGA-Hersteller, wenn er seine Software selbst als SaaS oder Managed Service betreibt und zusätzlich die Größenschwellen aus Paragraf 28 BSIG erreicht — dann gelten die Pflichten des BSIG 2025 unmittelbar, inklusive Registrierung und Meldewegen ans BSI. Über die Lieferkette betroffen ist ein Hersteller, der eine NIS2-pflichtige Klinik oder Krankenkasse beliefert: Diese muss nach Paragraf 30 Absatz 2 Nummer 4 BSIG die Sicherheit ihrer Lieferkette steuern und gibt die Anforderungen vertraglich an ihre Lieferanten weiter — über Fragebögen, Audits, Meldewege und Verfügbarkeitsnachweise. Die meisten DiGA-Hersteller treffen den zweiten Weg.

Verlangt NIS2 eine Verfügbarkeitsüberwachung?

Das BSIG 2025 schreibt kein bestimmtes Tool und keine konkrete Überwachungstechnik vor. Paragraf 30 Absatz 1 BSIG nennt aber Verfügbarkeit ausdrücklich als Schutzziel der Risikomanagement-Maßnahmen, und Paragraf 30 Absatz 2 verlangt unter anderem die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs. Wer Verfügbarkeit als Schutzziel sicherstellen, Vorfälle erkennen und melden sowie deren Bewältigung nachweisen muss, braucht in der Praxis kontinuierliche Daten über die Erreichbarkeit seiner Dienste. Eine Verfügbarkeitsüberwachung ist insofern keine ausdrückliche Pflicht, aber eine naheliegende technische Grundlage.

Macht mich ein Monitoring-Tool NIS2-konform?

Nein. NIS2-Konformität ist eine organisatorische Gesamtleistung des Unternehmens. Paragraf 30 Absatz 2 BSIG listet zehn breite Mindestmaßnahmen — von Risikoanalyse über Lieferkettensicherheit und Kryptografie bis zu Schulungen und Zugriffskontrolle. Ein Monitoring-Tool deckt davon nur den Teilaspekt Verfügbarkeit und Vorfall-Erkennung ab. Es kann die technischen Nachweise für die Verfügbarkeits- und Meldeanforderungen liefern und unterstützt damit die Umsetzung, ersetzt aber weder die übrigen Maßnahmen noch die rechtliche Prüfung der eigenen Betroffenheit.

DiGA & NIS2: Bist du betroffen — und was heißt das für die Verfügbarkeit?

Wenn du eine DiGA — eine digitale Gesundheitsanwendung — entwickelst, hast du in den letzten Monaten vermutlich eine bestimmte E-Mail bekommen: Ein Klinik- oder Kassenkunde fragt nach deiner NIS2-Konformität, schickt einen Lieferanten-Fragebogen oder verlangt Nachweise zur Verfügbarkeit. Und du fragst dich: Betrifft mich das überhaupt? Ich bin doch nur ein kleines Team.

Dieser Artikel beantwortet genau diese Frage — und zwar DiGA-spezifisch. Den allgemeinen NIS2-Deep-Dive für Medizinsoftware-Anbieter haben wir separat: NIS2 für Medizinsoftware-Anbieter (Details) erklärt Schwellen, Meldefristen und Sanktionen ausführlich. Hier geht es um den Fall des kleinen DiGA-Herstellers, den Weg über die Lieferkette und das Zusammenspiel von DiGAV und NIS2. Dieser Beitrag ersetzt keine Rechtsberatung — die individuelle Betroffenheit ist im Einzelfall zu prüfen.

Gilt NIS2 für mich als DiGA-Hersteller überhaupt schon?

Das Gesetz gilt — die Frage ist nur, ob es dich erfasst. NIS2 ist in Deutschland kein Zukunftsthema mehr: Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301) und setzt die EU-NIS2-Richtlinie über eine Neufassung des BSI-Gesetzes um, das BSIG 2025. Es gibt keine generelle Übergangs- oder Schonfrist — die materiellen Pflichten gelten seither unmittelbar.

Das heißt aber nicht, dass jeder DiGA-Hersteller automatisch dazugehört. Ob NIS2 dich direkt trifft, hängt von zwei Dingen ab: deiner Unternehmensgröße und davon, ob du in einen erfassten Sektor fällst.

Bin ich als kleines DiGA-Team direkt betroffen?

Die meisten DiGA-Hersteller sind kleine Unternehmen — und liegen damit oft unterhalb der Schwellen, ab denen NIS2 direkt greift. Das ist die wichtigste Entlastung vorweg, mit einer entscheidenden Einschränkung danach.

§ 28 BSIG kennt zwei Stufen erfasster Einrichtungen in den gelisteten Sektoren (Anlagen 1–2, inklusive Gesundheit):

Kategorie	Schwelle (Richtwert)
Besonders wichtige Einrichtungen	ab 250 Beschäftigten oder über 50 Mio. € Umsatz und über 43 Mio. € Bilanzsumme
Wichtige Einrichtungen	ab 50 Beschäftigten oder über 10 Mio. € Umsatz und über 10 Mio. € Bilanzsumme

Die Untergrenze für eine direkte Betroffenheit liegt damit bei rund 50 Beschäftigten oder 10 Mio. Euro Umsatz. Ein typisches DiGA-Startup mit einem zweistelligen Team und Umsätzen darunter erfüllt diese Schwellen in der Regel nicht — und ist dann nicht unmittelbar NIS2-pflichtig.

Hinzu kommt: „DiGA-Hersteller” oder „Software-Hersteller” ist kein eigener NIS2-Sektor. Erfasst sind im Gesundheitswesen vor allem Versorger wie Kliniken und bestimmte kritische Strukturen — nicht das Erstellen einer App als solches. Den genauen Wortlaut der Schwellen prüfst du im Zweifel direkt in § 28 BSIG.

Die Einschränkung: „Nicht direkt betroffen” ist nicht dasselbe wie „NIS2 betrifft mich nicht”. Für die meisten DiGA-Hersteller kommt NIS2 über einen anderen Weg.

Wie erreicht mich NIS2, wenn ich zu klein bin? Über die Lieferkette

Über deine Kunden. Selbst wenn du selbst keine Schwelle reißt, ist es sehr wahrscheinlich, dass deine Abnehmer es tun: Kliniken, Krankenkassen und größere Gesundheitseinrichtungen sind häufig selbst NIS2-pflichtig — und genau die sind als Erstattungspartner und Vertriebskanal für eine DiGA zentral.

NIS2-pflichtige Einrichtungen müssen nach § 30 Abs. 2 Nr. 4 BSIG die Sicherheit ihrer Lieferkette steuern, einschließlich der Beziehungen zu ihren unmittelbaren Anbietern. In der Praxis reichen sie diese Pflicht vertraglich an ihre Lieferanten weiter. Bei dir landet das als:

Sicherheits- und Verfügbarkeitsanforderungen in Verträgen, Rahmenvereinbarungen und Ausschreibungen
Lieferanten-Fragebögen sowie Nachweis- und Audit-Anforderungen
definierte Meldewege, über die du Sicherheitsvorfälle an deinen Kunden melden musst

NIS2 wirkt für die meisten DiGA-Hersteller also über den Markt, nicht über die Behörde. Du hast keine eigene Registrierungs- oder Meldepflicht beim BSI — aber faktisch musst du NIS2-nahe Standards erfüllen, weil dein Kunde sie an dich durchstellt. Wer Sicherheit und Verfügbarkeit sauber nachweisen kann, gewinnt im Vergabeprozess; wer es nicht kann, fällt aus der engeren Auswahl.

Die zwei Wege im Überblick: direkt oder über die Lieferkette

Für die schnelle Einordnung hilft diese Zwei-Pfad-Logik. Prüfe, welcher auf dich zutrifft — beide können theoretisch zusammenfallen, der zweite ist für DiGA-Hersteller aber der Normalfall.

	Pfad A — direkt betroffen	Pfad B — über die Lieferkette
Wann?	Du betreibst die Software selbst als SaaS / Managed Service und erreichst die Schwellen aus § 28 BSIG	Du belieferst eine NIS2-pflichtige Klinik / Kasse, bist selbst aber unter den Schwellen
Rechtsgrundlage	BSIG 2025 gilt unmittelbar (Registrierung, § 30, Meldepflichten ans BSI)	Vertragliche Weitergabe über § 30 Abs. 2 Nr. 4 BSIG (Lieferkettensicherheit) deines Kunden
Wer fordert?	Das BSI / die Behörde	Dein Kunde (Klinik, Kasse)
Typisch für DiGA?	Seltener — meist nur größere oder selbst hostende Hersteller	Der Regelfall für kleine DiGA-Hersteller

In beiden Fällen gilt: Die genaue Einstufung ist im Einzelfall zu prüfen. „Wir sind klein, also betrifft es uns nicht” ist genau die Annahme, die im Lieferketten-Fall in die Irre führt.

Was bedeutet das konkret für die Verfügbarkeit?

Hier ist der eigentliche Anknüpfungspunkt — und er steht im deutschen Gesetz präziser, als viele zweite-Hand-Quellen behaupten. § 30 Abs. 1 BSIG nennt Verfügbarkeit ausdrücklich als Schutzziel der Risikomanagement-Maßnahmen (neben Integrität, Authentizität und Vertraulichkeit). Das ist die Stelle, auf die du dich für das Stichwort Verfügbarkeit berufen kannst — nicht der Wortlaut der EU-Richtlinie, sondern die deutsche Umsetzung im BSIG.

Aus § 30 Abs. 2 BSIG folgen für die Verfügbarkeit besonders zwei der zehn Mindestmaßnahmen:

die Bewältigung von Sicherheitsvorfällen (Incident Handling) und
die Aufrechterhaltung des Betriebs — Backup-Management, Notfallwiederherstellung, Krisenmanagement.

Für einen Lieferanten heißt das praktisch: Dein Klinik-Kunde will sehen, dass dein Dienst erreichbar ist, dass du Ausfälle bemerkst und dass du Vorfälle dokumentieren und melden kannst. Genau dafür liefert kontinuierliche Verfügbarkeitsüberwachung die Grundlage — laufende Erreichbarkeitsdaten, automatische Vorfall-Erkennung mit Zeitstempel und eine lückenlose Historie, die du im Audit oder Fragebogen vorzeigen kannst.

Und was hat das mit der DiGAV zu tun?

Die DiGAV ist ein eigenes Thema — und sie verschwindet durch NIS2 nicht. Wichtig ist, beide Regelwerke auseinanderzuhalten, weil sie unterschiedliche Zwecke verfolgen und parallel gelten:

Die DiGA-Verordnung (DiGAV) und das BfArM stellen an deine DiGA bereits eigene Anforderungen an Qualität, Sicherheit und auch an Verfügbarkeit/Betriebsstabilität — unabhängig davon, ob NIS2 dich erfasst. Diese Pflichten ergeben sich aus dem Fast-Track-Verfahren und dem Verbleib im DiGA-Verzeichnis, nicht aus dem BSIG.
NIS2 / BSIG 2025 ist davon getrennt: Es ist das übergreifende Cybersicherheitsrecht und erreicht dich — wie oben gezeigt — entweder direkt über § 28 oder über die Lieferkette deiner Kunden.

Das Zusammenspiel ist für dich eher Chance als doppelte Last: Vieles, was du für die DiGAV ohnehin an Verfügbarkeits- und Betriebsnachweisen aufbaust, ist genau das, was ein NIS2-pflichtiger Kunde im Lieferanten-Fragebogen sehen will. Ein sauberer Verfügbarkeitsnachweis erfüllt beide Erwartungen gleichzeitig — wie du den technisch aufsetzt, zeigen wir im Verfügbarkeitsnachweis für DiGA.

Welche Rolle spielt FoundersDeck dabei — und welche nicht?

Ehrlich eingeordnet: FoundersDeck deckt einen Baustein ab, nicht das Ganze. Was es leistet:

Kontinuierliche Verfügbarkeitsüberwachung deiner DiGA-Endpunkte und APIs
automatische Vorfall-Erkennung und -Klassifizierung mit Zeitstempel
eine lückenlose Incident-Historie und Status-Seiten, die du als technischen Nachweis vorzeigen kannst

Das ist eine Grundlage für die verfügbarkeitsbezogenen und meldenahen Anforderungen aus § 30 BSIG und für die Nachweise, die ein NIS2-pflichtiger Kunde von dir verlangt. Was FoundersDeck ausdrücklich nicht tut: Es macht dich nicht „NIS2-konform”. § 30 Abs. 2 BSIG listet zehn breite organisatorische Maßnahmen — Risikoanalyse, Kryptografie, Schulungen, Zugriffskontrolle und mehr. Ein Monitoring-Tool unterstützt einen Teil davon und liefert technische Nachweise; die Konformität insgesamt bleibt eine organisatorische Aufgabe deines Unternehmens.

Passend für Gesundheitsdaten ist dabei die Datenhoheit: FoundersDeck ist ein inhabergeführtes deutsches Unternehmen, hostet bei Netcup in Nürnberg und unterliegt nicht dem US CLOUD Act. Welche Tools nach Jurisdiktion und CLOUD-Act-Exposition wie dastehen, schlüsselt unsere EU Jurisdiction Database auf.

Was du jetzt tun solltest

Drei konkrete Schritte, ohne Panik:

Einstufung prüfen. Klär anhand von § 28 BSIG, ob du die Schwellen erreichst (Pfad A) oder ob NIS2 dich über die Lieferkette erreicht (Pfad B). Im Zweifel rechtlich prüfen lassen — die genaue Einstufung ist im Einzelfall zu klären.
Verfügbarkeitsnachweis aufbauen. Setze kontinuierliche Überwachung mit automatischer Vorfall-Erkennung und durchsuchbarer Historie auf, damit du Fragebögen und Audits aus dem Stand bedienen kannst.
DiGAV und NIS2 zusammen denken. Nutze die Nachweise, die du ohnehin für die DiGAV brauchst, auch für die Lieferketten-Anforderungen deiner Kunden.

Wie FoundersDeck speziell für DiGA-Hersteller und das Gesundheitswesen zusammenpasst — deutsche Infrastruktur, sofortiger AVV, cookie-freie Status-Seiten als Verfügbarkeitsnachweis — haben wir auf der DiGA-Seite zusammengefasst.

Dieser Artikel gibt den Rechtsstand zum Juni 2026 wieder und dient der Orientierung, nicht der Rechtsberatung. Maßgeblich sind der Gesetzeswortlaut des BSIG 2025 — insbesondere § 28 und § 30 — sowie die individuelle Prüfung deiner Betroffenheit. Quellen: BSI, Bundesgesetzblatt (BGBl. 2025 I Nr. 301), NIS2-Richtlinie (EU) 2022/2555, DiGAV / BfArM. Stand: Juni 2026.