Die stabile Versorgung der Bevölkerung mit medizinischen Hilfsmitteln ist ein zentraler Bestandteil moderner Gesundheitsinfrastruktur. Der Zusammenbruch des britischen Dienstleisters NRS Healthcare im August 2025 zeigt, wie schnell diese Versorgung ins Wanken geraten kann, wenn Dienstleister ausfallen, die nicht als „kritische Infrastruktur“ im engeren Sinne gelten, aber de facto systemrelevante Funktionen erfüllen.
Im Zentrum steht die Analyse des Falls NRS Healthcare sowie die Frage, welche sicherheitsrelevanten Erkenntnisse sich daraus für Deutschland ableiten lassen – insbesondere im Hinblick auf das noch nicht in Kraft getretene KRITIS-Dachgesetz und die EU-Richtlinie CER. – insbesondere im Hinblick auf das noch nicht in Kraft getretene KRITIS-Dachgesetz und die EU-Richtlinie CER.
Der Fall NRS Healthcare im Überblick
NRS Healthcare war über Jahre hinweg einer der größten Anbieter für Mobilitäts- und Pflegehilfsmittel in Großbritannien. Zu den Kunden zählten der NHS sowie zahlreiche Kommunen. Mit rund 1.500 Mitarbeitenden belieferte das Unternehmen tagtäglich tausende Patienten mit dringend benötigten Hilfsmitteln wie Rollstühlen, Pflegebetten oder Alltagshilfen.
Ursachen des Zusammenbruchs:
- Finanzielle Schieflage: 2023/24 wurde ein Verlust von über £15 Mio. ausgewiesen.
- Cyberangriff: Im März 2024 wurde das Unternehmen Ziel eines Ransomware-Angriffs durch die Gruppe „RansomHub“.
- Scheiternde Rettungsversuche: Trotz Unterstützung durch PwC konnte kein Investor gefunden werden.
Am 1. August 2025 wurde NRS Healthcare in die Liquidation überführt. Die Versorgung wurde dadurch unmittelbar gefährdet, insbesondere für Patienten nach Klinikentlassung.
Information über NSR Healthcare im GOV.UK: https://www.gov.uk/government/news/nottingham-rehab-limited-and-nrs-healthcare-limited-in-liquidation-information-for-customers-suppliers-creditors-and-landlords
Kritische Schwachstellen aus Sicht der Versorgungssicherheit
Der Fall NRS macht deutlich: Auch Unternehmen, die keine klassischen Betreiber kritischer Infrastrukturen sind, können im Versorgungssystem eine unverzichtbare Rolle spielen. Ihr Ausfall kann zu ernsten Konsequenzen führen.
Drei wesentliche Schwachstellen lassen sich identifizieren:
- Rechtliche Grauzonen: Dienstleister wie NRS fallen in vielen Ländern nicht unter bestehende KRITIS-Regelungen.
- Cyberresilienz: Der Cyberangriff führte nicht nur zu Datenverlust, sondern hatte operative Folgen.
- Fehlende Redundanzen: Es existierten offenbar keine Notfallpläne für kurzfristige Ausfälle.
Der Stand in Deutschland: KRITIS-Dachgesetz und CER-Richtlinie
Das KRITIS-Dachgesetz befindet sich aktuell im Gesetzgebungsprozess und soll 2025 in Kraft treten. Ziel ist ein sektorübergreifender Mindestschutz für Betreiber Kritischer Infrastrukturen.
Parallel gilt seit Januar 2023 die CER-Richtlinie der EU, mit Umsetzungsfrist bis Oktober 2024. Deutschland hat die Frist bisher nicht vollständig eingehalten. Die Richtlinie verfolgt einen „All-Gefahren-Ansatz“ und verpflichtet Betreiber dazu, physische und organisatorische Schutzmaßnahmen zu treffen.
Beide Regelwerke konzentrieren sich auf Betreiber von Infrastrukturen – nicht aber auf deren Dienstleister, wie im Fall NRS.
Risiken für Deutschland bei ähnlichen Szenarien
Würde in Deutschland ein vergleichbarer Dienstleister ausfallen, könnte es zu:
- Verzögerten Krankenhausentlassungen
- Versorgungsengpässen bei Pflegebedürftigen
- Notfallbelastung in Heimen und Kliniken
- Politischen und rechtlichen Folgekonflikten kommen
Diese Risiken sind bislang nicht systematisch erfasst oder gesetzlich abgedeckt.
Übertragung der Problematik auf Deutschland
Der Fall NRS Healthcare wirkt auf den ersten Blick wie ein britisches Einzelschicksal. Doch bei genauerer Betrachtung zeigt sich, dass die zugrundeliegenden Risiken auch in Deutschland bestehen. Gerade im Gesundheitswesen und der Pflege ist die Bundesrepublik in hohem Maß abhängig von spezialisierten Dienstleistern, die medizinische Hilfsmittel bereitstellen oder infrastrukturelle Aufgaben erfüllen, ohne selbst unter die bestehende Definition Kritischer Infrastrukturen zu fallen.
Systemrelevante Dienstleister im deutschen Gesundheitswesen
Auch in Deutschland existieren zahlreiche Unternehmen, die in enger Partnerschaft mit gesetzlichen Krankenkassen, Pflegeeinrichtungen oder Krankenhäusern stehen. Dazu gehören Anbieter von:
- Reha- und Mobilitätshilfen
- Medizintechnischen Homecare-Produkten
- Versorgungstechnischen Leistungen im häuslichen Umfeld
- Logistik für Krankenhausbedarf
Viele dieser Anbieter arbeiten im Hintergrund und sind nicht öffentlich sichtbar – ihre Dienstleistungen sind jedoch systemrelevant.
Konkrete Risiken für Deutschland
Ein Ausfall eines solchen Dienstleisters könnte auch hier zu erheblichen Störungen führen. Besonders gefährlich wäre ein kombiniertes Szenario aus Cyberangriff und Insolvenz, wie es bei NRS der Fall war.
Lücken im geltenden Rechtsrahmen
Das deutsche KRITIS-System basiert auf Schwellenwerten und festen Infrastrukturen. Dienstleister, die keine eigene Infrastruktur betreiben, sind bislang nicht erfasst. Auch das KRITIS-Dachgesetz und die CER-Richtlinie legen den Fokus auf Betreiber im engeren Sinne.
Politisch-administrative Koordinationslücke
Im Fall eines Ausfalls ist bislang unklar, wer Verantwortung übernimmt, Ersatz organisiert oder überhaupt die Systemrelevanz eines Vorfalls erkennt. Zuständigkeiten zwischen Kassen, Ländern und Bund sind nicht geregelt.
Umgang mit der erkannten Problematik in Deutschland
Die dargestellten Risiken und Abhängigkeiten betreffen unmittelbar auch KRITIS-Unternehmen in Deutschland. Diese sollten über ihre eigenen Anlagen und Prozesse hinausdenken und die Stabilität sowie Resilienz ihrer Dienstleister und Zulieferer aktiv in ihre Sicherheitsüberlegungen einbeziehen.
Gerade im Gesundheitssektor, aber auch in anderen KRITIS-Bereichen, zeigt sich, dass die Abhängigkeit von externen Partnern ein potenzielles Risiko darstellen kann. KRITIS-Unternehmen sind daher gut beraten, diese Beziehungen im Rahmen ihrer Risikoanalysen systematisch zu bewerten und gegebenenfalls Notfallmaßnahmen oder Alternativszenarien zu entwickeln.
Der Fall NRS Healthcare dient hierbei als konkretes Beispiel, wie schnell sich die Ausfälle eines spezialisierten Dienstleisters auf kritische Versorgungsprozesse auswirken können.
Fazit
Der Fall NRS Healthcare ist eine eindringliche Warnung: Kritische Versorgung kann auch dann zusammenbrechen, wenn der Ausfall „nur“ einen Dienstleister betrifft. Deutschland hat mit dem KRITIS-Dachgesetz und der CER-Richtlinie die richtigen Ansätze begonnen, doch die Definition kritischer Funktionen muss weiter gefasst werden. Dienstleister wie NRS sind keine Randakteure, sie sind oft das letzte Glied in einer lebenswichtigen Versorgungskette. Es ist jetzt an der Zeit, Gesetzgebung und Vorsorgekonzepte entsprechend weiterzuentwickeln.