Die Digitalisierung hat die Arbeitsweise von Krankenhäusern und Klinikgruppen in den letzten Jahren grundlegend verändert. Heute sind klinische Kernprozesse, vernetzte Medizintechnik, Verwaltungssysteme und externe Dienstleister eng miteinander verzahnt. Diese Vernetzung steigert die Effizienz und eröffnet neue Möglichkeiten in der Patientenversorgung, bringt aber gleichzeitig erhebliche Risiken mit sich. Cyberangriffe auf medizinische Einrichtungen nehmen kontinuierlich zu, und Krankenhäuser zählen mittlerweile zu den bevorzugten Zielen. Hohe Abhängigkeit von IT-Systemen, sensible Patientendaten und nur ein sehr geringer Spielraum für Systemausfälle machen diese Einrichtungen besonders verwundbar.

Die europäische NIS-2-Richtlinie reagiert auf diese wachsende Bedrohungslage. Sie zielt darauf ab, die Resilienz kritischer Einrichtungen deutlich zu erhöhen. Für Krankenhäuser bedeutet dies einen Paradigmenwechsel: Informationssicherheit ist nicht länger nur ein IT-Thema, sondern wird zu einer originären Aufgabe der Unternehmensleitung. Geschäftsführung und Vorstand übernehmen künftig nicht nur organisatorische Verantwortung, sondern tragen auch persönlich die Pflicht, wirksame Sicherheitsmaßnahmen umzusetzen und deren Einhaltung zu überwachen.

Krankenhäuser als „wesentliche Einrichtungen“

Nach NIS 2.0 zählen Krankenhäuser und Klinikgruppen zu den sogenannten wesentlichen Einrichtungen („Essential Entities“). Dies gilt unabhängig von Trägerschaft oder Größe und umfasst sowohl öffentliche und freigemeinnützige als auch private Anbieter. Auch größere Klinikverbünde fallen uneingeschränkt unter den Anwendungsbereich.

Die Umsetzung in Deutschland erfolgt über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das am 6. Dezember 2025 in Kraft trat. Ziel ist die Etablierung eines angemessenen, wirksamen und überprüfbaren Sicherheitsniveaus in kritischen Einrichtungen. Dabei geht es nicht in erster Linie um die Befolgung technischer Vorgaben, sondern um einen systematischen, risikobasierten Ansatz, der von der Unternehmensleitung aktiv gesteuert wird. Der Fokus liegt darauf, Risiken zu erkennen, zu bewerten und mit geeigneten organisatorischen und technischen Maßnahmen zu minimieren.

Neue Pflichten der Unternehmensleitung

Die NIS-2-Richtlinie verschiebt die Verantwortung bewusst von der IT-Fachabteilung auf die Leitungsebene. Die Geschäftsführung kann sich nicht länger auf Delegation berufen, sondern muss selbst die Steuerung und Kontrolle der Informationssicherheit übernehmen. Die zentralen Aufgaben lassen sich in vier Kernbereiche gliedern:

Erstens müssen klare Governance- und Organisationsstrukturen geschaffen werden. Dies bedeutet, dass Zuständigkeiten eindeutig definiert, ausreichend personelle und finanzielle Ressourcen bereitgestellt und Informationssicherheit in bestehende Führungs- und Kontrollstrukturen integriert werden. Ein Informationssicherheitsmanagementsystem (ISMS) kann dabei ein bewährtes Mittel sein, entscheidend ist jedoch die tatsächliche Wirksamkeit der Maßnahmen.

Zweitens liegt der Schwerpunkt auf einem kontinuierlichen Risikomanagement. Krankenhäuser müssen ihre cyberbezogenen Risiken regelmäßig identifizieren und bewerten. Im Fokus stehen nicht nur klassische IT-Systeme, sondern insbesondere medizinische Kernprozesse, vernetzte Medizintechnik sowie Abhängigkeiten von Dienstleistern und Softwareanbietern. Die Unternehmensleitung trägt die Verantwortung dafür, dass diese Risiken bekannt sind und in alle relevanten Entscheidungen einfließen.

Drittens erfordert NIS 2.0 die Implementierung präventiver und resilienzfördernder Maßnahmen. Krankenhäuser müssen Sicherheitsvorfälle vermeiden und auf solche Ereignisse vorbereitet sein. Dazu zählen Notfall- und Wiederanlaufkonzepte, Backup- und Wiederherstellungsstrategien sowie Regelungen für den Umgang mit Sicherheitsvorfällen. Ein besonderes Augenmerk liegt darauf, dass die Patientenversorgung selbst bei IT-Ausfällen gesichert bleibt.

Viertens müssen Überwachung, Kontrolle und Dokumentation der Informationssicherheit systematisch erfolgen. Die Geschäftsführung sollte sich regelmäßig über den Stand der Sicherheitsmaßnahmen informieren lassen, strukturierte Berichte einsehen, Kennzahlen zur Wirksamkeit analysieren und eine nachvollziehbare Dokumentation führen. Diese Dokumentation ist nicht nur für den operativen Betrieb relevant, sondern auch essenziell zur Absicherung gegenüber Aufsichtsbehörden und im Haftungsfall.

Persönliche Haftungsrisiken

Ein wesentlicher Unterschied zu früheren Regelwerken liegt in der klaren Haftungszuordnung. NIS 2.0 stellt bei Verstößen empfindliche Bußgelder in Aussicht und betont ausdrücklich die Verantwortung der Leitungsebene. Entscheidend ist dabei nicht der Vorfall selbst, sondern das Organisationsverschulden. Persönlich haftungsrelevant wird es, wenn bekannte Risiken ignoriert werden, keine angemessene Sicherheitsorganisation etabliert ist oder Aufsichts- und Kontrollpflichten verletzt werden. Wer die Umsetzung von Sicherheitsmaßnahmen nicht aktiv steuert oder deren Einhaltung nicht kontrolliert, setzt sich erheblichen rechtlichen, wirtschaftlichen und Reputationsrisiken aus.

Typische Schwachstellen in Krankenhäusern

Analysen zeigen in vielen Häusern wiederkehrende Muster. Informationssicherheit wird häufig als reines IT-Thema behandelt, Zuständigkeiten zwischen IT, Medizintechnik, Datenschutz und Management sind unklar, und komplexe Digitalisierungsprojekte, etwa im Rahmen des KHZG, sind personell oft unzureichend besetzt. Historisch gewachsene Systemlandschaften weisen einen hohen Modernisierungsbedarf auf, und die Sensibilisierung der Führungsebene für Cyberrisiken ist häufig unzureichend. Diese Schwächen sind überwiegend organisatorischer Natur und damit eindeutig Aufgabe der Geschäftsführung und des Vorstands.

Handlungsempfehlungen für die Leitung

Ein pragmatischer Einstieg in die Umsetzung von NIS 2.0 beginnt mit der Klärung von Betroffenheit und Pflichten. Die Leitung muss Informationssicherheit als Kernaufgabe erkennen und die entsprechenden Anforderungen ableiten. Anschließend sollten klare Verantwortlichkeiten sowohl auf Leitungsebene als auch innerhalb der Organisation definiert werden. Danach ist eine objektive Bestandsaufnahme der Sicherheitslage erforderlich, um den Reifegrad der Organisation zu bewerten. Auf Basis dieser Analyse können Maßnahmen priorisiert werden, wobei der Fokus auf kritischen Risiken und patientenrelevanten Prozessen liegen sollte, nicht auf technischen Details. Schließlich sollte durch regelmäßiges Reporting und belastbare Dokumentation Transparenz geschaffen werden. Dieser strukturierte Ansatz ermöglicht es der Leitung, ihrer Verantwortung nachzukommen, ohne sich in operativen Details zu verlieren.

Fazit: Informationssicherheit als integraler Bestandteil der Krankenhausführung

NIS 2.0 verdeutlicht, dass Informationssicherheit kein isoliertes Projekt neben vielen anderen Aufgaben ist, sondern ein integraler Bestandteil verantwortungsvoller Krankenhausführung. Die Unternehmensleitung muss Risiken aktiv steuern, wirksame Strukturen etablieren und Entscheidungen nachvollziehbar dokumentieren. Frühzeitiges Handeln reduziert nicht nur rechtliche und wirtschaftliche Risiken, sondern stärkt auch die organisatorische Resilienz und die Sicherheit der Patientenversorgung. NIS 2.0 bietet somit nicht nur regulatorische Anforderungen, sondern eine Chance, Informationssicherheit nachhaltig in der Krankenhausführung zu verankern und die digitale Transformation sicher zu gestalten.

Die Experten der Adiccon unterstützen Krankenhäuser dabei, die Anforderungen der NIS-2-Richtlinie praxisgerecht umzusetzen und Informationssicherheitsmanagement erfolgreich in bestehende Führungs- und Betriebsstrukturen zu integrieren.