NIS2-Pflichten für Pharma- und Life-Sciences-Unternehmen 2026

Wo Pharma in NIS2 steht

Anhang I Nr. 5 (Gesundheit): EU-Referenzlabore, Hersteller von Arzneimitteln und Forschung sowie Hersteller medizinischer Erzeugnisse, die in der WHO-Liste essentieller Arzneimittel stehen oder kritisch im Sinne von VO (EU) 2022/123 sind. Diese gelten als wesentliche Einrichtung bei Großunternehmen.

Anhang II Nr. 5 (Herstellung): Herstellung von medizinischen Geräten und In-vitro-Diagnostika sowie Herstellung pharmazeutischer Erzeugnisse einschließlich Wirkstoffen.

Größenfilter: ab 50 Mitarbeitenden oder 10 Mio Euro Umsatz wichtige Einrichtung, ab 250 Mitarbeitenden oder 50 Mio Euro Umsatz im Anhang I wesentliche Einrichtung, in Anhang II weiterhin wichtige Einrichtung.

Konzernzählung gilt. Mittelständische Generika-Hersteller und MedTech-Familienunternehmen fallen praktisch alle in mindestens wichtige Einrichtung.

Konflikt-Zone: NIS2 trifft GMP, GxP und CSV

GMP (EU GMP Guide Annex 11, FDA 21 CFR Part 11) verlangt für computergestützte Systeme in der Pharma-Produktion eine vollständige Validierung (CSV) und einen lückenlosen Audit-Trail. Jede Software-Änderung, jeder Patch, jede Konfigurationsänderung muss validiert sein, bevor sie produktiv geht.

NIS2 Art. 21 Abs. 2 e) verlangt zeitnahe Schwachstellenbehandlung. Ein kritischer CVE auf einem MES-Server, der die Tablettierung steuert, müsste nach IT-Logik in Tagen gepatched werden, nach GMP-Logik aber erst nach Re-Validierung der gesamten Prozesskette.

Die Lösung ist keine technische, sondern eine prozessuale: vor-validierte Patch-Tracks mit Hersteller (häufig SAP, Werum, Rockwell, Siemens) plus dokumentierte Risikoakzeptanz für die Übergangszeit, plus kompensierende Maßnahmen (Netzsegmentierung, Monitoring, Application Whitelisting).

Die zehn konkreten Pflichten

1. Risikoanalyse pro Standort, GxP-Bereiche und Non-GxP-Bereiche separat. Auswirkungen auf Patientensicherheit explizit modellieren.

2. Vorfallbehandlung mit Meldekaskade BSI (24h/72h/Monat). Zusätzlich Anzeige nach AMG/MPDG bei Produktionsstörungen, die Versorgungssicherheit oder Produktqualität betreffen.

3. Geschäftskontinuität: Wiederanlauf-Pläne für MES, LIMS, ERP, Serialisierungs-Plattform (FMD), Distribution-Plattformen mit dokumentierten RTO/RPO.

4. Backup und Wiederherstellung: insbesondere für GxP-Systeme mit Aufbewahrungspflicht (LIMS-Daten bis zu 30 Jahre). Immutable Backups plus dokumentierte Restore-Tests.

5. Schwachstellenmanagement mit GMP-konformem Patch-Track. Vor-validierte Hersteller-Updates und Notfall-Patch-Verfahren mit retrospektiver Validierung.

6. Kryptografie für jeden Datenfluss aus der Produktion (MES zu ERP, LIMS zu QMS), TLS und Schlüssel-Management.

7. Zugangskontrolle plus MFA. Heikel: in GMP-validierten Workstations bedeutet jede Authentifizierungsänderung eine Validierungs-Erweiterung. Lösungsmuster: zentrale IAM mit dokumentierter CSV-Anpassung.

8. Lieferkette: Verträge mit MES-Anbietern (Werum, Rockwell, SAP DM), Cloud-LIMS und Serialisierungs-Plattformen brauchen NIS2-Klauseln plus GMP-Lieferantenqualifizierung.

9. Schulungspflicht für Geschäftsleitung (Vorstand, Geschäftsführung), QA-Leitung, IT-Personal, Produktions-Personal mit Systemzugang.

10. Personalsicherheit, Asset-Inventar (insbesondere für GxP-relevante Systeme separat führbar), Authentisierung.

Audit-Trail-Integrität: NIS2-Plus für Pharma

Annex 11 GMP verlangt Audit-Trails, die nicht manipulierbar sind. NIS2 Art. 21 Abs. 2 h) verlangt Kryptografie und sichere Authentifizierung.

Praktisch heißt das: Audit-Trail-Datenbanken müssen technisch unveränderbar sein (Append-only, Write-Once-Read-Many oder kryptografische Verkettung). Lese-Zugriffe sind protokolliert, schreibende Zugriffe ausschließlich systemseitig.

Bei einem Ransomware-Vorfall in GxP-Umgebung ist neben dem Wiederanlauf-Aufwand auch der Integritätsnachweis kritisch: die Aufsicht (in Deutschland: zuständige Landesbehörde, BfArM, EMA bei zentral zugelassenen Produkten) erwartet einen Nachweis, dass die Datenintegrität nicht kompromittiert wurde.

Doppel-Meldepflichten: BSI, BfArM, Landesbehörde

BSI nach NIS2: erheblicher Vorfall (24h/72h/Monat).

BfArM bei Engpässen oder Lieferproblemen bei zugelassenen Arzneimitteln (§ 52b AMG, Lieferengpassanzeige).

Landesbehörde (Bezirksregierung, Regierungspräsidium) bei GMP-Abweichungen.

EMA bei zentral zugelassenen Produkten und in EU-Versorgungsengpässen.

Sinnvoll ist ein vorbereitetes Meldeszenario-Playbook, das pro Vorfalls-Typ klar definiert, welche Adressaten in welcher Reihenfolge informiert werden und welcher interne Sign-off vorgeschaltet ist.

Geschäftsleitungs-Verantwortung

Vorstand bzw. Geschäftsführung, je nach Rechtsform. In der Praxis betroffen: CEO, COO/Site Head, CIO, CISO, qualifizierte Person (QP) im überlappenden Bereich.

Bei wesentlichen Einrichtungen (Anhang I) Bußgelder bis 10 Mio Euro oder 2 Prozent weltweiten Konzernumsatzes.

Bei wichtigen Einrichtungen (Anhang II) bis 7 Mio Euro oder 1,4 Prozent. Für die meisten Pharma-Mittelständler ist Anhang II maßgeblich, aber bei kritischen Wirkstoffen oder Listen-Arzneimitteln gilt Anhang I.

Schulungspflicht mindestens jährlich, dokumentiert. Eine eingeschobene Schulungseinheit in der jährlichen GMP-Pflichtschulung ist eine pragmatische Lösung.

Was DecisionOS dabei tut

In einer Pharma-Umgebung sind IT-Sicherheits-Entscheidungen niemals reine IT-Entscheidungen: jede Wahl von EDR, MES-Modernisierung, Cloud-LIMS, IAM-Plattform berührt GMP-Validierung, QA-Sign-off und potenziell Versorgungssicherheit. DecisionOS dokumentiert jede dieser Entscheidungen als Decision Memo mit Art. 21 NIS2 Mapping, GMP-Validierungs-Hinweis, Stakeholder-Alignment (CIO, CISO, QA, QP, Site Head, ggf. Vorstand) und Readiness-Score. Das gleiche Dossier bedient BSI-Audit, Inspektion durch die zuständige Landesbehörde und interne QA-Reviews.