logo lineofbiz

KRITIS, NiS2 und NIS2UmsuCG im GesundheitswesenCyber-Sicherheit muss aufs Tapet

11. September 2025
medical pixabay LoB Plinforth
Quelle: Pete Linforth, Pixabay

Kritische Infrastrukturen, zu denen Krankenhäuser ab einer gewissen Größe zählen, müssen ihre Cyber-Sicherheit im Griff haben. Das Umsetzungsgesetz der neuen NIS2-Richtlinie NIS2UmsuCG verschärft die Anforderungen an Compliance und weitet den Verantwortungsbereich aus. Für Kliniken und Krankenhäuser bedeutet das, sowohl finanzielle als auch personelle Ressourcen in die Cyber-Sicherheit zu investieren, um die hohen künftigen Standards erfüllen zu können.

Cyber-Angriffe betreffen Unternehmen aller Größen und Branchen – und dazu Behörden und öffentliche Einrichtungen: Im Februar erst wurde ein Cyber-Angriff auf die LUP-Kliniken im Landkreis Ludwigslust-Parchim bekannt, bei dem patientenbezogene Daten gestohlen wurden – die Angreifer stellten Lösegeldforderungen und der Regelbetrieb musste eingeschränkt werden.

Das Hasso-Plattner-Institut Potsdam sieht einem Medienbericht zufolge eine massive Zunahme von derartigen Angriffen auf Krankenhäuser, insbesondere von Attacken mit Auswirkungen auf den Patientenbetrieb. Dem Bericht zufolge soll es sich um einen Anstieg von 74 Prozent von 2020 bis 2024 handeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht in seinem Bericht zur IT-Sicherheit 2024 entsprechend von einer angespannten Lage.

Cyber-Kriminelle professionalisieren sich, agieren arbeitsteilig und nutzen verschiedene Angriffsformen. Mittlerweile gibt es Malware-as-a-Service und Ransomware-as-a-Service. Das BSI stellt vermehrte Attacken auf öffentliche Einrichtungen fest, auch die Höhe der geforderten Lösegelder steigt; das Beratungshaus PwC beziffert den Schaden im Gesundheitswesen durch Cybervorfälle auf über 206 Milliarden Euro im Jahr 2024. 67 Prozent der befragten Kliniken waren im gleichen Jahr von Ransomware betroffen. Innerhalb von einer Woche erholten sich nur 22 Prozent der Unternehmen.

Besonders heikel wird es, wenn die sogenannten kritischen Infrastrukturen betroffen sind: Zum Stichtag 31. Dezember 2024 hat das BSI 215 Betreiber mit 355 Anlagen im Gesundheitssektor als Betreiber Kritischer Infrastrukturen (KRITIS) registriert. Gemäß der KRITIS-Verordnung gilt ein Krankenhaus unter anderem als kritische Infrastruktur, wenn es mehr als 30.000 vollstationäre Fälle pro Jahr behandelt.

Für diese Einrichtungen gelten besondere Pflichten: Die Betreiber müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu verhindern und um die Integrität, Authentizität und Vertraulichkeit aufrecht zu erhalten. Dafür ist unter anderem ein Informationssicherheits-Managementsystem notwendig, genauso wie die Dokumentation oder die Benennung von Beauftragten.

Zu diesem nationalen KRITIS-Rahmen mit dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und der KRITIS-Verordnung kommt mit NIS2 nun eine EU-weite Regelung hinzu. NIS2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit, die nun mit dem NIS-2-Umsetzungs- und Cyber-Sicherheitsstärkungs-gesetz (NIS2UmsuCG) in nationale Gesetzgebung überführt werden soll.

Neben Betreibern kritischer Infrastrukturen werden jetzt auch viele mittlere und große Einrichtungen als „wesentliche“ oder „wichtige Einrichtungen“ erfasst. Erstere sind Häuser mit über 250 Mitarbeitern oder über 50 Millionen Euro Umsatz und über 43 Millionen Bilanzsumme, als wichtig gelten Einrichtungen mit über 50 Mitarbeitern oder mit über zehn Millionen Euro Umsatz und über zehn Millionen Euro Bilanzsumme. Große Einrichtungen mit über 30.000 stationären Fällen fallen sowohl unter KRITIS als auch künftig unter NIS2. Kleinere Krankenhäuser, die bisher nicht unter KRITIS fielen, könnten künftig von NIS2 betroffen sein.

Die neuen Anforderungen

KRITIS-Krankenhäuser müssen ihre IT-Sicherheit gemäß dem BSIG nachweisen. Dabei wird die Wirksamkeit von Managementsystemen für Informationssicherheit (ISMS), die Geschäftskontinuität (BCMS) sowie der Einsatz von Systemen zur Angriffserkennung (SzA) mit einem Reifegrad von eins bis fünf beurteilt. Viele Einrichtungen befinden sich im Mittelfeld – ihr ISMS ist etabliert und dokumentiert, wird aber noch nicht hinsichtlich der Effektivität geprüft und verbessert.

Der Gesetzgeber strebt angesichts der zunehmenden Informationssicherheitsbedrohungen und hybriden Kriege ein hohes Cyber-Sicherheitsniveau in kritischen Sektoren wie dem Gesundheitswesen an, um die Stabilität zentraler Einrichtungen zu gewährleisten. NIS2 legt in vielen Punkten strenge Maßstäbe an, was bedeutet, dass die Anforderungen an IT-Sicherheit und Compliance und damit an Governance und Überwachung steigen.

Wesentliche und wichtige Einrichtungen nach NIS2 müssen nun geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um IT und Prozesse zu schützen, Störungen zu vermeiden und die Auswirkungen von Sicherheitsvorfällen gering zu halten. Ein ISMS, Incident Management, und Business Continuity Management werden verpflichtend. Konkret bedeutet das unter anderem:

  • Sicherheitsmaßnahmen. Voraussetzung ist eine umfassende Risikoanalyse mit dem Ziel, sensible Daten zu schützen. Compliance-Anforderungen und der branchenspezifische Sicherheitsstandard im Gesundheitswesen B3S müssen beachtet werden.
  • Meldung von sicherheitsrelevanten Vorfällen. Für erhebliche Vorfälle gilt eine dreistufige Meldepflicht gegenüber dem BSI zu beachten: spätestens 24 Stunden nach Bekanntwerden des Vorfalls, eine Zweitmeldung spätestens nach 72 Stunden, gegebenenfalls weitere Zwischenmeldungen sowie eine Abschlussmeldung. Meldungen müssen unter anderem die Art der Anlage, die Anzahl der betroffenen Nutzer und die Dauer des Vorfalls beinhalten. In der Folge müssen der Schweregrad und die Auswirkungen mitgeteilt und auf Nachfrage Statusaktualisierungen gegeben werden. Final wird der Vorfall ausführlich mit seinen Auswirkungen und der Art der Bedrohung sowie Abhilfemaßnahmen beschrieben.
  • Notfallplanung. Dafür werden Notfallszenarien definiert, Rollen und Verantwortlichkeiten festgelegt und Übungen durchgeführt. Ein Notfallplan wird aufgesetzt.
  • Sicherheitsbewertungen und Überwachung. Hierbei sind verschiedene Tests wie Vulnerability Scanning, Penetrationstest, Sicherheitsaudit oder Log Monitoring vorgesehen.
  • Schulung und Sensibilisierung. Beides erfolgt unter anderem mit Phishing-Tests, Online-Schulungen, Bereichsschulungen oder Verhaltensanweisungen.

Sanktionen

Das NIS2UmsuCG verschärft die Rechtsfolgen für die Nichteinhaltung von Cyber-Sicherheitsvorgaben und die Pflichten der Geschäftsleitung von Kliniken und Krankenhäusern: Abhängig von der Kategorie der Einrichtung – kritisch, wesentlich oder wichtig – und des Tatbestands können bis zu zehn Millionen Euro oder zwei Prozent des Umsatzes abgerufen werden.

Besonders stark werden Verstöße gegen die Meldepflichten von Sicherheitsvorfällen und fehlenden Maßnahmen des Risikomanagements bestraft. Die Geschäftsleitung haftet persönlich und ist für Cyber-Security-Maßnahmen und ihre Überwachung verantwortlich.

Umsetzung der NIS-2

Unterstützung bei der Umsetzung der NIS-2 kann der B3S bieten. Seine Umsetzung bietet Rechtssicherheit und deckt die Punkte der NIS-2-Richtlinie ab. Kliniken und Krankenhäuser sollten aktiv werden, die Prozesse aufsetzen, um ihr Cyber-Sicherheitsniveau zu erhöhen und ihren Verpflichtungen ab nächstem Jahr gerecht zu werden – bei Bedarf auch mit einem externen Compliance-Partner. Das bedeutet zunächst, zu klären, ob man unter die NIS2 fällt und sich dann als Einrichtung zu registrieren.

Klinken und Krankenhäuser sollten dann ein ISMS nach B3S als erste Schritte in Richtung Compliance implementieren, um eine strukturierte Datenverwaltung und Informationssicherheit zu gewährleisten. In der Folge benötigen sie ein Security-Incident-Management, ein Notfallmanagement/BCM sowie ein Krisenmanagement, um für Notfälle gewappnet zu sein.

Cyber-Angriffe bedrohen zunehmend auch das Gesundheitswesen. Der Gesetzgeber reagiert – und mit der NIS2-Richtlinie steigen die Anforderungen an IT-Sicherheit für Kliniken und Krankenhäuser. Betroffene Einrichtungen benötigen ein ISMS, Notfall- und Krisenmanagement sowie eine systematische Überwachung.

Meldepflichten bei Sicherheitsvorfällen und persönliche Haftung der Geschäftsleitung erhöhen den Druck zur Umsetzung. Einrichtungen sollten deshalb schnell klären, ob sie unter NIS2 fallen und geeignete Maßnahmen zur Cyber-Sicherheit implementieren. Nicht nur, um Risiken und Sanktionen zu vermeiden, sondern auch um die Patienten zu schützen.

Volker Ernst ist Co-Geschäftsführer der HCMnetwork GmbH.

HCMnetwork GmbH

Lesen Sie auch

internet LoB pixa geralt

Plattformen sind Grundlagen einer resilienten Verteidigung

cyber security pixa LoB DarwinLaganzon

Multi-Agenten-Systeme steigern Cyber-Sicherheit

electrical Pixa LoB Akela

DLP-Projekte reibungslos durchführen