Cybersecurity ist keine IT-Frage mehr – sondern Führungsverantwortung
Die Digitalisierung hat die medizinische Versorgung grundlegend verändert. In den Krankenhäusern und Klinikgruppen sind klinische Kernprozesse, Medizintechnik, Verwaltung und externe Dienstleister heute eng miteinander vernetzt. Gleichzeitig verzeichnet das Gesundheitswesen seit Jahren eine stark steigende Zahl schwerer Cyberangriffe. Krankenhäuser gehören dabei mittlerweile zu den bevorzugten Zielen: hohe Abhängigkeit von IT-Systemen, sensibelste Daten und geringer Spielraum für Ausfälle.
Mit der europäischen NIS-2-Richtlinie reagiert der Gesetzgeber auf diese Entwicklung. Ziel ist es, die Resilienz kritischer Einrichtungen deutlich zu erhöhen. Für Krankenhäuser bedeutet das einen Paradigmenwechsel: Informationssicherheit wird zur originären Aufgabe der Unternehmensleitung. Geschäftsführung und Vorstand tragen künftig nicht nur organisatorische, sondern auch persönliche Verantwortung.
Krankenhäuser als „wesentliche Einrichtungen“ im Sinne von NIS 2.0
Nach NIS 2.0 zählen Krankenhäuser und Klinikgruppen eindeutig zu den sogenannten wesentlichen Einrichtungen („Essential Entities“). Dies gilt unabhängig von der Trägerschaft – also für öffentliche, freigemeinnützige und private Anbieter gleichermaßen. Auch größere Klinikverbünde fallen uneingeschränkt unter den Anwendungsbereich.
Die nationale Umsetzung erfolgt in Deutschland über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Die einzelnen Pflichten haben sich mit dem Inkrafttreten der nationalen Regelung am 6. Dezember 2025 konkretisiert. Die Grundrichtung ist klar: Krankenhäuser müssen ein angemessenes, wirksames und überprüfbares Sicherheitsniveau etablieren.
Dabei geht es nicht um die Einhaltung technischer Detailvorgaben, sondern um einen systematischen, risikobasierten Ansatz, der von der Leitung aktiv gesteuert wird.
Neue Pflichten der Geschäftsführung und des Vorstands
NIS 2.0 verschiebt die Verantwortung bewusst weg von der reinen Fachebene hin zur Unternehmensleitung. Geschäftsführung und Vorstand können sich nicht mehr darauf berufen, IT-Sicherheit delegiert zu haben. Die zentralen Pflichten lassen sich in vier Bereiche gliedern:
1. Governance und Organisation
Die Leitung ist verpflichtet, eine klare Organisationsstruktur für Informationssicherheit zu schaffen. Dazu gehören:
eindeutig definierte Zuständigkeiten,
ausreichende personelle und finanzielle Ressourcen,
eine Einbindung der Informationssicherheit in bestehende Führungs- und Kontrollstrukturen.
Ein Informationssicherheitsmanagementsystem (ISMS) ist dabei ein bewährtes Mittel, aber kein Selbstzweck. Entscheidend ist die tatsächliche Wirksamkeit.
2. Risikomanagement
Krankenhäuser müssen ihre cyberbezogenen Risiken regelmäßig identifizieren und bewerten. Dies betrifft nicht nur klassische IT-Systeme, sondern insbesondere:
medizinische Kernprozesse,
vernetzte Medizintechnik,
Abhängigkeiten von Dienstleistern und Softwareanbietern.
Die Unternehmensleitung trägt die Verantwortung, dass diese Risiken bekannt sind und in Entscheidungen einfließen.
3. Prävention und Resilienz
NIS 2.0 fordert Maßnahmen zur Vermeidung und Bewältigung von Sicherheitsvorfällen. Dazu zählen unter anderem:
Notfall- und Wiederanlaufkonzepte,
Backup- und Wiederherstellungsstrategien,
Regelungen für den Umgang mit Sicherheitsvorfällen.
Für Krankenhäuser ist dabei besonders relevant, dass auch bei IT-Ausfällen eine sichere Patientenversorgung gewährleistet bleibt.
4. Überwachung, Kontrolle und Dokumentation
Geschäftsführung und Vorstand müssen sich regelmäßig über den Stand der Informationssicherheit informieren lassen. Dazu gehören:
strukturierte Berichte,
Kennzahlen zur Wirksamkeit von Maßnahmen,
nachvollziehbare Dokumentation.
Diese Dokumentation ist nicht nur operativ wichtig, sondern auch zentral zur Absicherung gegenüber Aufsichtsbehörden und im Haftungsfall.
Persönliche Haftungsrisiken: Was wirklich relevant ist
Ein wesentlicher Unterschied zu früheren Regelwerken liegt in der klaren Haftungszuordnung. NIS 2.0 sieht bei Verstößen empfindliche Bußgelder vor und betont ausdrücklich die Verantwortung der Leitungsebene.
Wichtig ist jedoch eine realistische Einordnung:
Nicht jeder Cyberangriff führt automatisch zu einer persönlichen Haftung. Kritisch wird es dann, wenn:
bekannte Risiken ignoriert werden,
keine angemessene Sicherheitsorganisation existiert,
Aufsichts- und Kontrollpflichten verletzt werden.
Haftungsrelevant ist weniger der Vorfall selbst als vielmehr das Organisationsverschulden. Wer Risiken kennt, aber keine Maßnahmen einleitet oder deren Umsetzung nicht kontrolliert, setzt sich erheblichen rechtlichen und wirtschaftlichen Risiken aus. Hinzu kommen potenzielle Reputationsschäden und operative Beeinträchtigungen der Versorgung.
Typische Schwachstellen im Krankenhausumfeld
In vielen Krankenhäusern zeigen sich ähnliche Muster:
Informationssicherheit wird als reines IT-Thema betrachtet
Zuständigkeiten zwischen IT, Medizintechnik, Datenschutz und Management sind unklar
Mangelnde Projektleitungs-Ressourcen für komplexe, zeitgleiche KHZG-Projekte
Historisch gewachsene Systemlandschaften mit hohem Modernisierungsbedarf
Fehlende Sensibilisierung der Führungsebene für Cyberrisiken
Diese Schwächen sind meist organisatorischer Natur – und damit eindeutig Aufgabe der Unternehmensleitung.
Was Geschäftsführung und Vorstand jetzt konkret tun sollten
Für einen strukturierten Einstieg empfiehlt sich eine klare, pragmatische Vorgehensweise:
Betroffenheit und Pflichten klären
Informationssicherheit als wesentliches Thema einordnen und die entsprechenden Anforderungen ableiten.
Verantwortlichkeiten festlegen
Klare Zuständigkeiten auf Leitungsebene und in der Organisation definieren.
Reifegrad bewerten
Objektive Bestandsaufnahme der aktuellen Sicherheitslage durchführen.
Maßnahmen priorisieren
Fokus auf kritische Risiken und Versorgungsrelevanz legen, nicht auf technische Details.
Transparenz schaffen
Regelmäßiges Reporting und belastbare Dokumentation etablieren.
Dieser Ansatz ermöglicht es der Leitung, ihrer Verantwortung nachzukommen, ohne sich im operativen Detail zu verlieren.
Fazit: NIS 2.0 als Bestandteil moderner Krankenhausführung
NIS 2.0 macht deutlich: Informationssicherheit ist kein Projekt neben vielen anderen, sondern ein fester Bestandteil verantwortungsvoller Unternehmensführung im Krankenhaus. Geschäftsführung und Vorstand sind gefordert, Risiken aktiv zu steuern, geeignete Strukturen zu schaffen und Entscheidungen nachvollziehbar zu dokumentieren.
Wer frühzeitig handelt, reduziert nicht nur rechtliche und wirtschaftliche Risiken, sondern stärkt die Resilienz der Organisation – und damit die Sicherheit der Patientenversorgung. NIS 2.0 ist damit weniger eine Bedrohung als eine Chance, Führung und Sicherheit nachhaltig zu professionalisieren.
Die Experten der Adiccon helfen Ihnen beim Einstieg in die Thematik. Nehmen Sie Kontakt zu uns auf.
Der Name Adiccon steht für „Advanced IT & Communications Consulting“. Adiccon – seit 2005 erfolgreich am Markt – bietet Hersteller- und Lösungs-unabhängige Beratungs- und Dienstleistungen beim Einsatz der Informations- und Telekommunikationstechnologie für Großanwender, Mittelstand sowie für das Gesundheitswesen.
NIS 2.0 im Krankenhaus hinzugefügt von Presse am
Alle Beiträge von Presse →
