NIS2-Pflichten für Krankenhäuser und Gesundheitseinrichtungen 2026

Anwendbarkeit: wer fällt wann unter NIS2

Anhang I Nr. 5 NIS2 umfasst 'Gesundheitsdienstleister' im Sinne der Patientenrechte-Richtlinie 2011/24/EU, also Krankenhäuser, MVZ-Verbünde und ambulante Versorger sowie EU-Referenzlabore und Hersteller pharmazeutischer Grundprodukte.

Großunternehmen ab 250 Mitarbeitenden oder über 50 Mio Euro Umsatz und 43 Mio Euro Bilanzsumme sind wesentliche Einrichtung. Mittlere Häuser ab 50 Mitarbeitenden oder 10 Mio Euro Umsatz sind wichtige Einrichtung.

Die alte KritisV-Schwelle von 30.000 vollstationären Fällen pro Jahr verliert ihre Trennfunktion. Nahezu jedes Allgemeinkrankenhaus mit Vollversorgungsauftrag fällt in mindestens eine der NIS2-Kategorien.

Konzernzählung gilt: Klinikverbünde, kommunale Holdings und kirchliche Träger werden konsolidiert betrachtet.

Verhältnis zu KHZG, B3S und IT-Sicherheitsgesetz

Das Krankenhauszukunftsgesetz (KHZG, § 14a KHG) verpflichtete Krankenhäuser bereits zu IT-Sicherheitsmaßnahmen nach Stand der Technik und mindestens 15 Prozent KHZG-Mitteln für Cybersecurity. Die nach KHZG geforderten Maßnahmen decken einen Großteil der NIS2 Art. 21 Mindestmaßnahmen ab, aber nicht alle.

Der branchenspezifische Sicherheitsstandard B3S Krankenhaus (DKG, BSI-anerkannt) bleibt ein praktischer Umsetzungsrahmen. Er adressiert ISMS, Notfallmanagement, Schwachstellenmanagement und Patientendatensicherheit und ist auf NIS2 Art. 21 weitgehend abbildbar.

Lücken zum KHZG/B3S betreffen vor allem Art. 20 (formaler Geschäftsleitungs-Beschluss plus Schulungspflicht), Art. 21 Abs. 2 d) Lieferkettensicherheit gegenüber Medizingeräte-Herstellern und Cloud-Anbietern sowie Art. 23 Meldekaskade an das BSI (24h/72h/Monat).

Die zehn konkreten Pflichten für die Klinik-IT

1. Risikoanalyse und Informationssicherheitsrichtlinie auf Klinikebene, nicht nur als IT-Konzept. Trägerlevel, geprüft und freigegeben durch Geschäftsleitung.

2. Notfall- und Krisenmanagement mit konkreten Wiederanlauf-Zeitfenstern (RTO/RPO) für Kernsysteme: KIS, RIS/PACS, Labor, OP-Planung, Apotheke.

3. Vorfallbehandlung mit Eskalationsmatrix bis zur 24-Stunden-BSI-Meldung. Wer entscheidet zwischen 'erheblich' und 'meldepflichtig'.

4. Backup-Strategie mit Immutability (3-2-1-1-0): pro Schicht ein unveränderbares Offsite-Backup, monatlicher Restore-Test der KIS-Datenbank.

5. Schwachstellenmanagement für Medizingeräte (CE-IIa/IIb) und IT-Bestand. Hersteller-Patches, Workarounds wo kein Patch verfügbar ist.

6. Kryptografie: Verschlüsselung at-rest für Patientendaten, TLS 1.2+ für jede ärztliche Kommunikation, Schlüsselmanagement.

7. Zugangskontrolle plus MFA für alle Admin-Zugänge, Fernzugriffe und VPN-User. Für klinische Workstations risikobasiert.

8. Lieferkettensicherheit: jeder Vertrag mit einem Anbieter eines klinisch relevanten Systems (KIS, PACS, Cloud-Diagnostik) braucht Mindestklauseln zu Vorfallsmeldung, Auditrecht und Subunternehmen.

9. Schulungspflicht: Geschäftsleitung jährlich, IT-Personal halbjährlich, klinisches Personal mindestens einmal pro Jahr Awareness-Modul.

10. Personalsicherheit, Asset-Inventar und Authentisierung gemäß Art. 21 Abs. 2 i) und j).

Meldepflichten und BSI-Registrierung

Die Registrierung bei der zuständigen Behörde (in Deutschland: BSI, sobald NIS2UmsuCG operativ) erfolgt innerhalb von drei Monaten nach Inkrafttreten der nationalen Umsetzung. Datenfelder: Träger, Anschrift, IP-Bereiche, Mitgliedstaaten der Tätigkeit, Kontaktstellen.

Vorfallsmeldung im 24/72/Monat-Schema: Frühwarnung binnen 24 Stunden, Vorfallsmeldung mit erster Bewertung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Zwischenstatusbericht bei laufenden Vorfällen.

Erhebliche Vorfälle sind ICT-Ereignisse, die schwerwiegende Betriebsstörungen oder finanzielle Schäden verursachen oder erhebliche immaterielle oder physische Schäden bei anderen Personen verursachen können. Ein verschlüsseltes KIS oder ausgefallenes RIS/PACS erreicht die Schwelle praktisch immer.

Geschäftsleitungs-Haftung nach Art. 20

Der ärztliche Direktor, der kaufmännische Geschäftsführer und der Pflegedirektor sind je nach Trägerverfassung gemeinsam Geschäftsleitung im Sinne von Art. 20.

Pflicht: Billigung der Cyber-Risiko-Strategie als formaler Beschluss, regelmäßige Schulungen (mindestens jährlich), Überwachung der Umsetzung. Wer die Schulung nicht nachweisen kann, riskiert persönliche Haftung.

Bei wesentlichen Einrichtungen können nationale Aufsichtsbehörden Geldbußen bis 10 Mio Euro oder 2 Prozent des weltweiten Konzernumsatzes verhängen, je nachdem welcher Betrag höher ist. Bußgelder können auf Personen erstreckt werden.

Typische Stolpersteine in Krankenhaus-IT

Legacy-Medizintechnik: Geräte mit Lebenszyklus 10+ Jahre laufen oft auf nicht mehr unterstützten Betriebssystemen. Hier braucht es Kompensationsmaßnahmen (Netzsegmentierung, Monitoring, dokumentierte Risikoakzeptanz).

Cloud-Diagnostik und Telemedizin: Anbieter mit Hauptsitz außerhalb der EU bringen Datenresidenz-Probleme. NIS2-Klauseln plus DSGVO-Drittlandprüfung müssen vor Vertragsverlängerung greifen.

Personalmangel: viele Häuser haben 0,5-1,0 VZÄ für Informationssicherheit. Der NIS2-Aufwand ist real, ein externer ISB oder MDR-Dienstleister ist häufig die pragmatische Antwort.

Was DecisionOS dabei tut

Die teuersten Entscheidungen einer Klinik-IT, EDR-Auswahl, KIS-Cloud-Migration, Backup-Anbieter mit Immutability, IAM mit MFA-Rollout, sind unter NIS2 jeweils audittpflichtige Entscheidungen. DecisionOS dokumentiert sie als Decision Memos mit Mapping auf Art. 21 Mindestmaßnahmen, Stakeholder-Alignment (Geschäftsführung, ÄD, ISB, Datenschutz) und Readiness-Score. Das Resultat ist ein konsolidiertes Auditdossier, das BSI-Prüfungen und KHZG-Mittelverwendungsnachweise gleichzeitig bedient.