Krankenhäuser, Labore und Gesundheitsdienstleister zählen zu den am häufigsten angegriffenen Einrichtungen in Europa. Allein 2023 richteten sich laut der ENISA-Bedrohungsanalyse über 54 Prozent aller dokumentierten Cyberangriffe auf kritische Infrastrukturen gegen den Gesundheitssektor. Die Folgen sind nicht abstrakt: Systeme fallen aus, Operationen werden verschoben, Patientendaten werden verschlüsselt. Die NIS2-Richtlinie und ihre deutsche Umsetzung im NIS2UmsuCG reagieren auf genau dieses Risikobild – und sie stellen an Gesundheitseinrichtungen deutlich schärfere Anforderungen als jede bisherige Regulierung.
Dieser Leitfaden erklärt, welche Einrichtungen im Gesundheitswesen konkret betroffen sind, welche Besonderheiten durch vernetzte Medizintechnik und die Telematikinfrastruktur entstehen und wie die technischen und organisatorischen Anforderungen nach NIS2 im Krankenhausalltag umsetzbar sind. Der Fokus liegt auf wesentlichen Einrichtungen ab 250 Mitarbeitenden – also insbesondere auf Krankenhäusern ab circa 250 Betten – und auf den Schnittmengen mit MDR, DSGVO und dem Krankenhauszukunftsgesetz.
Hinweis: Die Inhalte dienen ausschließlich der allgemeinen Information. Sie stellen keine Rechts-, Steuer- oder Fachberatung dar und ersetzen diese nicht. Konsultieren Sie für Ihre konkrete Situation einen qualifizierten Berater.
Welche Einrichtungen im Gesundheitswesen sind von NIS2 betroffen?
Der Gesundheitssektor ist in Anhang I der NIS2-Richtlinie (EU) 2022/2555 als eigenständiger Sektor gelistet – und damit explizit als Bereich kritischer Infrastruktur eingestuft. In Deutschland wird dies durch §28 Abs. 1 Nr. 3 BSIG umgesetzt. Die Konsequenz: Einrichtungen im Gesundheitswesen, die die Schwellenwerte überschreiten, gelten als wesentliche Einrichtungen und unterliegen der verschärften BSI-Aufsicht.
Betroffen sind konkret:
- Krankenhäuser und Kliniken mit 250 oder mehr Mitarbeitenden oder einem Jahresumsatz ab 50 Millionen Euro
- Labore, die als Dienstleister für Diagnose und Forschung in erheblichem Umfang tätig sind
- Blutspendedienste und Blutbanken (Anhang I nennt diese ausdrücklich)
- Pharmazeutische Unternehmen, sofern sie unter den Gesundheitssektor des Anhangs I fallen und die Größenschwellen erreichen
- Forschungseinrichtungen für kritische Arzneimittel (z. B. Impfstoffe, Biologika)
- Hersteller von Medizinprodukten der Klasse IIa, IIb und III, die in der COVID-19-Krise als kritisch eingestuft wurden – diese können ebenfalls unter NIS2 fallen
| Einrichtungstyp | Einstufung | Schwellenwert |
|---|---|---|
| Krankenhaus mit ≥ 250 Betten (typischerweise) | Wesentliche Einrichtung | ≥ 250 MA oder ≥ €50 Mio. Umsatz |
| Kleines Krankenhaus, MVZ, Praxis | Nicht direkt betroffen | Unter den NIS2-Schwellenwerten |
| Medizinisches Labor (Großlabor) | Wesentliche Einrichtung | ≥ 250 MA oder ≥ €50 Mio. Umsatz |
| Pharmaunternehmen (Grundversorgung) | Wesentliche Einrichtung | Anhang I, unabhängig von Größe möglich |
| Blutspendedienst (DRK, überregional) | Wesentliche Einrichtung | Ausdrücklich in Anhang I genannt |
Wichtig: Krankenhäuser mit weniger als 250 Mitarbeitenden können trotzdem betroffen sein, wenn ihr Jahresumsatz 50 Millionen Euro übersteigt oder ihre Bilanzsumme 43 Millionen Euro erreicht. Größe allein ist also kein verlässliches Ausschlusskriterium. Das BSI empfiehlt, die eigene Betroffenheit aktiv zu prüfen.
Krankenhäuser als wesentliche Einrichtungen: Was das konkret bedeutet
Krankenhäuser ab circa 250 Betten – in Deutschland sind das ungefähr 600 bis 700 Häuser – fallen in der Regel unter die Schwellenwerte für wesentliche Einrichtungen. Als solche unterliegen sie der proaktiven BSI-Aufsicht: Das Bundesamt für Sicherheit in der Informationstechnik kann anlasslose Audits durchführen, Sicherheitsnachweise anfordern und im Wiederholungsfall Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen.
Der entscheidende Unterschied zu früheren IT-Sicherheitsanforderungen liegt in drei Punkten:
- Persönliche Haftung der Geschäftsführung: Nach Art. 20 NIS2 muss das Leitungsorgan – also Geschäftsführer, Vorstand oder Klinikleitung – die Sicherheitsmaßnahmen nach Art. 21 ausdrücklich genehmigen und überwachen. Eine Delegation an die IT-Abteilung entbindet nicht von dieser Verantwortung.
- BSI-Registrierungspflicht: Betroffene Einrichtungen müssen sich beim BSI registrieren und aktuelle Kontaktdaten sowie IP-Adressbereiche übermitteln.
- Regelmäßige Wirksamkeitsprüfung: Die Einrichtungen müssen nachweisen, dass ihre Sicherheitsmaßnahmen wirksam sind – durch Audits, Penetrationstests oder anerkannte Zertifizierungen wie ISO 27001.
Das Krankenhauszukunftsgesetz (KHZG) hat seit 2021 rund 4,3 Milliarden Euro in die Digitalisierung von Kliniken investiert – darunter explizit in Maßnahmen der IT-Sicherheit (Fördertatbestand 6). NIS2 baut auf dieser Grundlage auf und erhöht die Anforderungen. Kliniken, die KHZG-Mittel für IT-Sicherheit erhalten haben, sollten überprüfen, ob ihre investierten Systeme die neuen gesetzlichen Mindestanforderungen vollständig erfüllen.
Medizintechnik und MDR: Wenn Produktsicherheit auf Cybersicherheit trifft
Eine der größten Herausforderungen für Krankenhäuser ist die Sicherheit vernetzter Medizintechnik. Beatmungsgeräte, Infusionspumpen, bildgebende Systeme (CT, MRT), Patientenmonitore und OP-Roboter sind heute routinemäßig in Kliniknetzwerke eingebunden. Diese Geräte sind nach der EU-Medizinprodukteverordnung (MDR, EU 2017/745) reguliert – und MDR stellt seit 2021 eigene Cybersicherheitsanforderungen.
Anhang I, Abschnitt 17 MDR verpflichtet Hersteller von vernetzten Medizinprodukten, IT-Sicherheit als integralen Bestandteil des Produktdesigns nachzuweisen. Das umfasst:
- Maßnahmen zur Verhinderung unbefugten Zugriffs auf das Gerät und seine Daten
- Schutz vor Manipulation der Software und der übertragenen Daten
- Nachweise über regelmäßige Sicherheitsupdates und Patch-Versorgung
- Dokumentation der minimalen IT-Anforderungen für den sicheren Betrieb
Die Konsequenz für Krankenhäuser: Sie sind nicht nur als Betreiber nach NIS2 verantwortlich, sondern müssen auch von ihren Medizintechniklieferanten NIS2-konforme Lieferkettensicherheit einfordern. Das BSI hat mit der Technischen Richtlinie TR-03161 „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ konkrete Mindeststandards für den Bereich veröffentlicht.
Praktisch bedeutet das: Vor jeder Beschaffung von vernetzten Medizingeräten sollte ein Sicherheitsassessment stattfinden. Fragen an Hersteller sollten umfassen: Wie lange werden Sicherheitsupdates bereitgestellt? Was passiert mit dem Gerät, wenn das Betriebssystem (z. B. Windows Embedded) End-of-Support erreicht? Welche Netzwerkports und -protokolle werden zwingend benötigt?
| Problemszenario | Ursache | NIS2-Maßnahme |
|---|---|---|
| Veraltetes Betriebssystem auf CT-Scanner | Hersteller stellt keine Updates mehr bereit | Netzwerksegmentierung, Beschaffungsrichtlinie mit Mindest-Supportzeitraum |
| Kompromittierter Remote-Zugang eines Geräteherstellers | Kein Monitoring von Wartungszugriffen | Jump-Host, Protokollierung aller Fernzugriffe, MFA |
| Infusionspumpe als Einfallstor ins Kliniknetz | Flaches Netzwerk ohne Segmentierung | VLAN für Medizingeräte, Zugriffskontrolllisten, Anomalie-Erkennung |
| Ransomware breitet sich über KIS auf alle Stationen aus | Fehlende Backup-Isolierung, kein Incident-Response-Plan | Offline-Backup, regelmäßige Restore-Tests, Krisenplan für Notbetrieb |
eHealth-Infrastruktur: Telematikinfrastruktur, ePA und DiGA
Der Gesundheitssektor steht vor einer weiteren Besonderheit: der verpflichtenden Anbindung an die nationale eHealth-Infrastruktur. Die Telematikinfrastruktur (TI), betrieben durch die Gematik GmbH unter Bundesaufsicht, verbindet Krankenhäuser, Arztpraxen, Apotheken und Labore. Alle angebundenen Einrichtungen werden dadurch zu einem gemeinsamen Netzwerkverbund – und jede Sicherheitslücke in einem Teil dieses Verbunds kann auf andere übergreifen.
Seit Anfang 2025 rolliert die elektronische Patientenakte (ePA für alle): Versicherte erhalten automatisch eine ePA, sofern sie nicht widersprechen. Krankenhäuser sind verpflichtet, Diagnosedaten, Entlassungsberichte und Medikationspläne in die ePA einzuspielen. Das erhöht den Schutzbedarf für Patientendaten erheblich.
Parallel dazu wächst die Zahl der Digitalen Gesundheitsanwendungen (DiGA) – „Apps auf Rezept“, die nach §139e SGB V zugelassen sind. Krankenhäuser, die DiGAs empfehlen oder in ihre Behandlungspfade integrieren, sind damit indirekt an weitere datenverarbeitende Systeme angebunden.
Für NIS2-pflichtige Einrichtungen bedeutet das konkret:
- TI-Konnektoren und TI-gateways sind Teil der sicherheitsrelevanten IT-Infrastruktur und müssen in die Risikoanalyse einbezogen werden.
- Zugangsberechtigungen zur TI müssen nach dem Least-Privilege-Prinzip vergeben und regelmäßig überprüft werden.
- Bei Verdacht auf TI-bezogene Sicherheitsvorfälle sind parallel zur BSI-Meldepflicht auch die Gematik und ggf. die zuständige Landeskrankenhausbehörde zu informieren.
- Die technischen Mindestanforderungen der Gematik (zertifizierte Konnektoren, zulässige Betriebsumgebungen) gelten als Mindeststandard – NIS2 setzt darüber hinaus eigene Anforderungen.
Patientendatenschutz: DSGVO und NIS2 im Zusammenspiel
Patientendaten gehören nach Art. 9 DSGVO zu den besonders sensiblen Kategorien personenbezogener Daten (Gesundheitsdaten). Der Schutz dieser Daten unterliegt damit zwei parallelen Regulierungsregimes: DSGVO und NIS2. Beide stellen eigene Anforderungen – und bei einem Sicherheitsvorfall sind beide Meldewege separat zu bedienen.
Was die DSGVO fordert: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO, Meldung von Datenschutzverletzungen an die zuständige Datenschutzbehörde binnen 72 Stunden (Art. 33 DSGVO), ggf. Benachrichtigung betroffener Patienten.
Was NIS2 zusätzlich fordert: Meldung „erheblicher Sicherheitsvorfälle“ an das BSI in drei Stufen (24 Stunden, 72 Stunden, 1 Monat), auch wenn keine Datenschutzverletzung im DSGVO-Sinne vorliegt – etwa bei einem reinen Betriebsausfall ohne Datenverlust. Die NIS2-Meldepflichten sind also weiter gefasst als die DSGVO-Meldepflicht.
Für die Praxis bedeutet das: Krankenhäuser benötigen einen integrierten Incident-Response-Plan, der beide Meldewege erfasst. Typische Fehlerquelle ist die Verwechslung der zuständigen Behörden: Die BSI-Meldung geht an das Bundesamt für Sicherheit in der Informationstechnik (meldung.bsi.bund.de), die DSGVO-Meldung an die zuständige Landesdatenschutzbehörde.
Praxishinweis: Ein Ransomware-Angriff auf ein Krankenhaus ohne nachweislichen Datenabfluss löst in der Regel beide Meldepflichten aus: NIS2 wegen der erheblichen Betriebsstörung, DSGVO wegen des Risikos für die Integrität der Patientendaten. Beide Meldungen müssen unabhängig voneinander und fristgerecht eingereicht werden.
Die zehn NIS2-Maßnahmen im Gesundheitskontext
Alle zehn Sicherheitsmaßnahmen nach Art. 21 NIS2 gelten für Krankenhäuser als wesentliche Einrichtungen. Im Gesundheitssektor haben einige davon besondere Relevanz:
1. Risikoanalyse und Sicherheitsrichtlinien: Im Krankenhaus muss die Risikoanalyse neben der klassischen IT auch medizintechnische Systeme, die TI-Anbindung, die ePA-Infrastruktur und die physische Sicherheit von Serverräumen (oft in Bestandsgebäuden untergebracht) umfassen. Empfehlenswert ist eine Klassifizierung nach klinischer Kritikalität: Ein Ausfall des OP-Planungssystems hat andere Konsequenzen als ein Ausfall des Parkhausterminals.
2. Incident-Behandlung: Krankenhäuser müssen definieren, ab wann ein Sicherheitsvorfall als „erheblich“ gilt und welcher Ablauf dann gilt. Besonderheit: Bei einem IT-Ausfall im Krankenhaus muss gleichzeitig der klinische Notbetrieb aufrechterhalten werden. Der Notfallplan für IT-Vorfälle muss daher mit dem klinischen Notfallkonzept verzahnt sein.
3. Business Continuity und Notfallplanung: Im Gesundheitswesen bedeutet BCM mehr als IT-Recovery. Es umfasst die Frage: Wie werden Patienten versorgt, wenn das KIS (Krankenhausinformationssystem) ausfällt? Gut funktionierende Häuser haben Notfallmappen auf den Stationen, vorausgefüllte Papierdokumentationsbögen und klare Eskalationswege.
4. Lieferkettensicherheit: Medizingeräte-Hersteller, Softwareanbieter für KIS und RIS/PACS, TI-Serviceprovider und externe IT-Dienstleister müssen vertraglich zur Einhaltung von Mindestsicherheitsstandards verpflichtet werden.
5. Sicherheit bei Erwerb, Entwicklung und Wartung: Vor Beschaffung neuer Systeme (KIS, Bildgebung, Labor-IT) sollte ein Sicherheitsassessment erfolgen. Firmware-Updates für Medizingeräte müssen protokolliert werden.
6. Wirksamkeitsbewertung: Externe Penetrationstests und Audits müssen regelmäßig stattfinden. Das BSI kann deren Vorlage fordern.
7. Cyber-Hygiene und Schulung: Klinisches Personal – Ärzte, Pflegekräfte, Verwaltung – muss in IT-Sicherheitsgrundlagen geschult werden. Phishing-Tests haben gezeigt, dass der Gesundheitssektor besonders anfällig für Social Engineering ist.
8. Kryptographie und Verschlüsselung: Patientendaten in Übertragung (TI, E-Mail, App) und Speicherung müssen verschlüsselt werden. ePA-Datenaustausch nutzt die TI-eigene Verschlüsselung, aber interne Systeme (KIS-Datenbanken, Backup-Medien) erfordern eigene Verschlüsselungsmaßnahmen.
9. Zugangskontrolle und Asset-Management: Stationscomputer, Tablets am Patientenbett und mobile Endgeräte (Visite-Tablets) müssen im Asset-Inventar geführt werden. Zugänge zum KIS müssen personalisiert sein – gemeinsame Stationslogins sind nicht NIS2-konform.
10. MFA und starke Authentifizierung: MFA ist obligatorisch für privilegierte Zugänge, Remote-Zugang ins Kliniknetz und administrative Systeme. Für klinisches Personal ist der Rollout anspruchsvoll – Proximity-Karten (RFID-Ausweise) oder PIN-basierte Kurzlogin-Verfahren haben sich in der Praxis bewährt.
Meldepflichten bei Sicherheitsvorfällen im Krankenhaus
Im Gesundheitssektor können Sicherheitsvorfälle unmittelbare Konsequenzen für die Patientenversorgung haben. Das BSI erwartet dennoch, dass die gesetzlich vorgeschriebenen Meldefristen eingehalten werden – auch unter Ausnahmebedingungen.
Die dreistufige Meldekaskade gilt unverändert:
- Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme: Art des Vorfalls, Verdacht auf Cyberangriff, mögliche grenzüberschreitende Auswirkungen.
- Erster Bericht innerhalb von 72 Stunden: Detailliertere Einschätzung, betroffene Systeme, Kompromittierungsindikatoren, ergriffene Sofortmaßnahmen.
- Abschlussbericht innerhalb von einem Monat: Vollständige forensische Aufarbeitung, Ursachenanalyse, Maßnahmen zur Prävention.
Für Krankenhäuser empfiehlt es sich, im Vorfeld klarzustellen, wer im Notfall für die BSI-Meldung zuständig ist. Idealerweise ist das der CISO oder IT-Sicherheitsbeauftragte, mit einer Stellvertretungsregelung für Nacht- und Wochenenddienste. Die Meldung geht an das BSI-Meldeportal MELDP (meldung.bsi.bund.de). Vollständige Informationen zu Ablauf und Inhalt der Meldungen finden Sie im NIS2-Leitfaden zu Meldepflichten und Fristen.
Praktische Schritte zur NIS2-Umsetzung im Krankenhaus
Die Umsetzung von NIS2 im Krankenhaus ist kein Einmalproject, sondern ein kontinuierlicher Prozess. Folgende Schritte haben sich in der Praxis bewährt:
- Betroffenheit prüfen: Analyse der Mitarbeitendenzahl, des Jahresumsatzes und der Bilanzsumme. Bei Konzernstrukturen (z. B. Klinikkette) gilt die konsolidierte Betrachtung.
- Verantwortlichkeiten klären: Benennung eines Informationssicherheitsbeauftragten (ISB), Festlegung der Leitungsverantwortung nach Art. 20 NIS2.
- Risikoanalyse durchführen: Bestandsaufnahme aller IT- und Medizingeräte-Systeme, Klassifizierung nach klinischer Kritikalität, Identifikation der größten Risiken.
- Notfall- und Meldepläne erstellen: Integration von NIS2- und DSGVO-Meldepflichten in einen einheitlichen Incident-Response-Plan.
- Beim BSI registrieren: Sobald das BSI-Registrierungsportal verpflichtend aktiv ist.
- Lieferantenverträge überprüfen: Sicherheitsklauseln in Verträge mit IT-Dienstleistern und Medizingeräte-Herstellern integrieren.
- Schulungen planen: Klinisches Personal, Verwaltung und IT-Mitarbeitende schulen.
Häufige Fragen (FAQ)
Gilt NIS2 auch für kleine Privatkliniken mit 30 Betten?
In der Regel nicht. Kleine Kliniken mit weniger als 50 Mitarbeitenden und weniger als 10 Millionen Euro Jahresumsatz fallen nicht unter NIS2. Trotzdem empfiehlt das BSI auch kleineren Einrichtungen, Mindestsicherheitsstandards umzusetzen – insbesondere wegen der Anbindung an die Telematikinfrastruktur.
Wir sind ein Universitätsklinikum der öffentlichen Hand. Gelten besondere Regelungen?
Öffentliche Krankenhäuser fallen ebenfalls unter NIS2. Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene sind eigenständig in Anhang I gelistet. Für Universitätskliniken kann je nach Organisationsstruktur sowohl die Gesundheits- als auch die Verwaltungskategorie einschlägig sein.
Haben wir durch KHZG-Förderung bereits alle NIS2-Anforderungen erfüllt?
Nicht zwingend. KHZG-Fördertatbestand 6 hat in viele Häuser IT-Sicherheitsinvestitionen gebracht, deckt aber nicht alle zehn Art. 21-Maßnahmen ab. Insbesondere Lieferkettensicherheit, formale Risikoanalyse und Wirksamkeitsnachweise durch Audits sind im KHZG-Rahmen oft nicht vollständig adressiert.
Welche Bußgelder drohen konkret?
Als wesentliche Einrichtung drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Bei schwerwiegenden, wiederholten Verstößen kann das BSI die zeitweise Untersagung der Geschäftsführertätigkeit aussprechen.
Müssen wir auch Patienten über NIS2-bezogene Vorfälle informieren?
NIS2 sieht keine direkte Patientenbenachrichtigung vor. Wenn jedoch personenbezogene Gesundheitsdaten betroffen sind, gilt parallel Art. 34 DSGVO: Betroffene Personen sind über Datenschutzverletzungen zu benachrichtigen, sofern ein hohes Risiko für deren Rechte und Freiheiten besteht.
Wir haben eine externe IT-Firma, die alles managed. Sind wir trotzdem verantwortlich?
Ja. NIS2 erlaubt keine vollständige Auslagerung der Verantwortung. Das Krankenhaus bleibt als wesentliche Einrichtung selbst verantwortlich – auch wenn Teile der IT-Sicherheit durch Dienstleister erbracht werden. Die Leitungsverantwortung nach Art. 20 NIS2 kann nicht delegiert werden.
Quellen
- NIS-2-Richtlinie (EU) 2022/2555, Europäisches Parlament und Rat
- BSIG (BSI-Gesetz) i.d.F. des NIS2UmsuCG, Gesetze im Internet
- Medizinprodukteverordnung (MDR) EU 2017/745, EUR-Lex
- BSI – NIS2-Informationsseite für Unternehmen
- ENISA – Health Sector Cybersecurity Threat Landscape 2023
- Gematik – Telematikinfrastruktur, Sicherheitsanforderungen
