Inhalt in Kürze
- Dräger, Euroimmun und der Lübecker Medtech-Cluster sind selbst NIS2-pflichtig — und drücken die Anforderungen jetzt an Zulieferer durch.
- Medtech-Zulieferer brauchen mehr als Industriezulieferer: ISMS plus MDR/IVDR-Berücksichtigung, oft ISO-13485-Schnittstelle.
- Vorbereitungszeit 90-150 Tage — länger als bei Industrie, dafür mit höherem Kompetenzschutz danach.
- Praxis-Fahrplan: Anforderungen lesen, Gap-Analyse, ISMS-Light mit MDR-Bezug, Validierungs-Dokumentation, Audit-Bereitschaft.
Der Lübecker Medtech-Cluster ist einer der dichtesten in Deutschland — und damit auch eines der attraktivsten Angriffsziele. Wer hier zuliefert, bekommt seit Anfang 2026 strukturiert Lieferantenfragebögen, die auf den ersten Blick nach Industrie aussehen, aber Healthcare-Tiefe haben.
NIS2 Medizintechnik Lübeck: Warum der Cluster jetzt unter Druck steht
Die NIS2-Richtlinie definiert „Bereich Gesundheit" als wesentlichen Sektor — Hersteller von Medizinprodukten und IVDs sind explizit erfasst. Das Johner Institut hat das in einem klaren Überblick zusammengefasst: Wer Medizinprodukte herstellt und die Größenkriterien erreicht, ist direkt betroffen. Auch Dräger selbst hat eine ausführliche NIS2-Handlungsempfehlung veröffentlicht — was zeigt, wie ernst der Cluster die Pflicht nimmt.
Die Folge für Lübecker Zulieferer: Zwischen Anfang 2026 und Sommer 2026 verschickt fast jedes große Medtech-Unternehmen Fragebögen und Zusatzvereinbarungen an seine Lieferanten. Inhaltlich ähnlich wie in der Industrie — aber mit Healthcare-Spezifika.
In Lübeck konzentrieren sich gleich mehrere Pflichtige auf engem Raum: Dräger als globaler Medizintechnik-Konzern, Euroimmun als Diagnostik-Spezialist, das UKSH als Universitätsklinikum, sowie eine ganze Reihe Spezialhersteller im Wissenschaftspark. Wer mit nur einem dieser Großen Geschäfte macht, bekommt den Druck. Wer mit mehreren arbeitet, bekommt ihn parallel — oft mit unterschiedlichen Anforderungen.
Was Medtech-Zulieferer mehr leisten müssen als Industrie
Industriezulieferer kommen mit ISMS, MFA, EDR, IRP und Backup-Tests durch. Medtech-Zulieferer brauchen drei zusätzliche Schichten:
- MDR-/IVDR-Schnittstelle. Wer Medizinprodukte herstellt oder zuliefert, hat oft schon eine ISO 13485 — die ist hilfreich, ersetzt aber NIS2 nicht. Die ISMS-Dokumentation muss MDR/IVDR-konsistent aufgebaut sein.
- Validierungs-Pflichten. Software-Updates an Komponenten, die in Medizinprodukten verbaut sind, brauchen oft Validierung. Patch-Management muss diese Validierung nachweisbar berücksichtigen.
- Erhöhte Datenschutz-Anforderungen. Sobald Patientendaten oder pseudonymisierte Studiendaten fließen, kommen DSGVO-Verschärfungen plus die Anforderungen an Auftragsverarbeiter dazu. Bei UKSH-Anbindung zusätzlich Klinik-Vorgaben.
- Lieferantenkette zu Klinik-Kunden. Wer an Krankenhäuser liefert, ist mittelbar betroffen — Krankenhäuser sind eigene NIS2-Pflichtige und haben eigenständige Anforderungen. Doppelte Audit-Logik.
- Cybersecurity in Produkten selbst. Vernetzte Medizinprodukte fallen zusätzlich unter den Cyber Resilience Act ab Dezember 2027. Die Vorbereitung lohnt sich jetzt schon.
Eine bestehende ISO 13485 ist Vorarbeit, kein Ersatz. Etwa 40 Prozent der ISO-13485-Inhalte sind NIS2-relevant — die anderen 60 Prozent müssen Sie für NIS2 ergänzen. Wir sehen das bei Dräger-Zulieferern und Euroimmun-Lieferanten gleichermaßen.
Aus der Lübecker Praxis: Was wir bei Medtech-Mandanten erleben
Was wir bei Medtech-Zulieferern in Schleswig-Holstein erleben, ist klassisch: gute Produktdokumentation aus der ISO 13485, aber kein durchgängiges ISMS. Die Auditoren der Großkunden bohren genau da nach. Wer das früh sortiert, gewinnt — wer wartet, verliert Kunden.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Ein Beispiel aus dem Lübecker Wissenschaftspark: Hersteller diagnostischer Komponenten, 50 Mitarbeitende, zertifiziert nach ISO 13485. Ein Großkunde aus dem Medtech-Cluster forderte Anfang 2026 NIS2-Nachweise. Der Geschäftsführer wollte das mit dem QM-Beauftragten lösen — der QM-Mann lehnte ab, weil das nicht sein Feld war. Wir haben in 14 Wochen das ISMS aufgesetzt, MFA flächendeckend, EDR, Awareness, IRP. Auftrag verlängert.
24 Jahre lang denselben IT-Dienstleister. Die haben vorletzte Woche Insolvenz angemeldet. Also wir brauchen einen neuen. So einfach ist es. Und auf einmal stand auch noch NIS2 im Raum.
90-150 Tage Fahrplan: NIS2-Konformität für Medtech-Zulieferer
Der Fahrplan ist 30-50 Prozent länger als bei Industriezulieferern — weil die Medtech-Schicht obendrauf kommt. Reihenfolge ist wichtig:
- Tag 1-15: Scope, Auftraggeber-Anforderungen, ISO-Inventur. Welche Lieferantenfragebögen liegen vor? Welche ISO-Zertifikate haben Sie schon? Welche Schnittmenge zu MDR/IVDR?
- Tag 16-35: Gap-Analyse gegen BSI-Grundschutz mit Medtech-Modul. Klare Lücken-Liste mit Priorität, getrennt nach IT-Sicherheit und Medizinprodukte-relevanten Schichten.
- Tag 36-65: ISMS-Light mit MDR/IVDR-Bezug. Risikomanagement, Asset-Inventar, Patch-Management mit Validierungs-Bezug, Berechtigungskonzept, Datenflussanalyse.
- Tag 66-85: Technik nachziehen. MFA, EDR, zentralisiertes Logging, getestete Backups, Netzsegmentierung für Medizinprodukte-Daten.
- Tag 86-105: Awareness, IRP, Tabletop. Schulungen für Geschäftsführung, IT, QM und Mitarbeitende. Notfallübung mit Medtech-Bezug — z.B. Manipulation an gelieferten Komponenten.
- Tag 106-130: Subunternehmer & Partner-Vereinbarungen. Auch Sub-Lieferanten und IT-Dienstleister müssen vertraglich auf NIS2-Niveau gehoben werden.
- Tag 131-150: Antwort, Audit-Bereitschaft, ggf. Pre-Audit. Saubere Antwort an den Großkunden mit Nachweisen, optional externes Pre-Audit.
Healthcare-Spezialitäten: Wo Medtech-Zulieferer besonders aufpassen
| Bereich | Industrie-Standard | Medtech-Erweiterung |
|---|---|---|
| Patch-Management | Monatliches Roll-Out | Plus Validierungs-Dokumentation für Medizinprodukte-Komponenten |
| Berechtigungskonzept | Rollenbasiert | Plus Zugriffe auf Patienten-/Studiendaten getrennt protokolliert |
| Backup | 3-2-1, monatlich getestet | Plus DSGVO-Löschkonzept für Patientendaten in Backups |
| Incident Response | Standard-IRP | Plus Meldewege an Behörden bei Patientendatenvorfällen |
| Awareness | 6-wöchentliche Phishing-Simulation | Plus Schulungen zu Geheimhaltung Patientendaten |
| Subunternehmer | Verträge mit Sicherheitsanforderungen | Plus Auftragsverarbeitungsverträge nach DSGVO |
Diese Tabelle ist die eigentliche Antwort darauf, warum Medtech-Vorbereitung 90-150 Tage dauert. Jede Zeile hat eine zusätzliche Schicht.
Sonderfall UKSH-Lieferketten: Klinik-Anbindung
Wer als Mittelständler an das Universitätsklinikum Schleswig-Holstein in Lübeck liefert, bewegt sich in einer KRITIS-nahen Lieferkette. UKSH selbst ist NIS2-pflichtig und KRITIS-Sektor — das färbt auf alle Zulieferer ab.
Konkret heißt das: Strenger formulierte Datenschutzklauseln, längere Aufbewahrungspflichten, häufigere Audits. Wer hier nicht mitzieht, riskiert nicht nur den UKSH-Auftrag, sondern auch Reputation im gesamten Cluster.
Wie wir Lübecker Medtech-Mandanten begleiten
Wir sitzen in Hamburg und sind über den Standort Lübeck für die regionale Betreuung erreichbar. Reaktionszeit vor Ort in Lübeck: 90 Minuten. Den ganzen Service-Stack — von Backup bis Awareness — beschreibt unsere Übersicht der Managed IT-Services. Drei typische Wege:
- Audit-Vorbereitung als Einmalprojekt — wir bauen ISMS-Light mit MDR/IVDR-Bezug, schreiben den IRP, schulen, dokumentieren.
- Co-Managed IT — Sie haben eigene IT, wir liefern den NIS2-Compliance-Teil zusätzlich zur QM-Welt.
- Managed IT mit NIS2- und Healthcare-Modul — wir übernehmen IT-Betrieb plus laufende NIS2- und Healthcare-Pflege ab 50 Euro pro Arbeitsplatz und Monat.
Mehr zu unseren Lübecker Service-Paketen: IT-Beratung Lübeck, IT-Support Lübeck, IT-Systemhaus Lübeck. Den Compliance-Stack haben wir auf NIS2 & Compliance Hamburg aufgeschrieben — und für die Hamburger Audit-Sicht in unserem NIS2-Audit-Praxis-Fahrplan. Werften und maritime Zulieferer finden den vergleichbaren Weg in unserem Beitrag zu NIS2 in der Werft-Lieferkette Kiel.
Lieferantenfragebogen aus dem Medtech-Cluster auf dem Tisch?
30 Minuten Erstgespräch genügen, um zu klären, was Sie liefern müssen — und in welcher Reihenfolge. Kostenlos. Ohne Vertriebsdruck.
Erstgespräch buchen →Quellen für diesen Artikel: BSI — NIS-2 für regulierte Unternehmen, PwC — NIS-2 im Healthcare-Sektor, Johner Institut — NIS-2 für Medizinproduktehersteller, Dräger — NIS-2 Handlungsempfehlungen.
