Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 GesundheitswesenNIS2 KrankenhausCybersecurity Gesundheitswesen

NIS2 im Gesundheitswesen: Patientendaten und IT-Sicherheit

Was NIS2 für Krankenhäuser und Kliniken bedeutet: §75c SGB V, Patientendatenschutz, Meldepflichten und Schulungsanforderungen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 202612 Min. Lesezeit

NIS2 im Gesundheitswesen: Patientendaten und IT-Sicherheit

Krankenhäuser, Kliniken und größere Gesundheitsdienstleister müssen seit dem 6. Dezember 2025 NIS2, deutsches BSIG und bestehende Krankenhauspflichten gemeinsam umsetzen. Für die Praxis heißt das: Patientendaten, Versorgungssicherheit, Medizintechnik und Meldewege dürfen nicht mehr getrennt gesteuert werden.

Letzte Aktualisierung: 23. März 2026

Die wichtigste Einordnung zuerst: Im Gesundheitswesen ist NIS2 kein Ersatz für bestehende Spezialpflichten, sondern ein zusätzlicher Governance- und Resilienzrahmen. Krankenhäuser sind schon lange kein gewöhnlicher IT-Betrieb mehr, sondern hochvernetzte Versorgungsorganisationen mit KIS, PACS, Laboranbindung, OP-Systemen, Medizintechnik, Telematikinfrastruktur und externen Dienstleistern. Genau deshalb treffen Cyberangriffe dort nicht nur Daten, sondern Behandlung, Verfügbarkeit und Patientensicherheit.

Wer den Einstieg pragmatisch strukturieren will, sollte drei Fragen nacheinander beantworten: Fällt die Einrichtung überhaupt unter NIS2? Welche Pflichten bestehen daneben bereits aus Krankenhaus- und Datenschutzrecht? Und wie werden Meldewege, Schulungen und technische Maßnahmen so organisiert, dass im Ernstfall nicht zwischen IT, Datenschutz, Klinikleitung und Medizintechnik Zeit verloren geht? Für die Managementperspektive sind ergänzend unsere Beiträge zur Geschäftsführer-Haftung bei Cyberangriffen, zur NIS2-Online-Schulung und zum NIS2 Incident Response Plan sinnvoll.

Warum Krankenhäuser und Kliniken besonders betroffen sind

Krankenhäuser und Kliniken sind besonders betroffen, weil Cybervorfälle dort unmittelbar die medizinische Versorgung stören können. Ein Ausfall von KIS, PACS, OP-Planung, Laboranbindung oder Medizingeräten ist kein reiner Verwaltungsfehler, sondern kann Diagnostik, Terminsteuerung, Arzneimittelgabe und Notfallversorgung verzögern. Art. 21 NIS2 zielt deshalb im Gesundheitswesen nicht nur auf Datenschutz, sondern auf operative Resilienz.

Die regulatorische Grundlage ist eindeutig: Der Gesundheitssektor gehört in Anhang I der Richtlinie (EU) 2022/2555 zu den besonders kritischen Sektoren. Erfasst sind nicht nur klassische Krankenhäuser, sondern unter anderem Gesundheitsdienstleister, EU-Referenzlaboratorien, Unternehmen mit Forschungs- und Entwicklungstätigkeiten im Bereich Arzneimittel, Hersteller bestimmter pharmazeutischer Erzeugnisse sowie Hersteller von Medizinprodukten, die als kritisch oder relevant eingestuft werden können. Für die betriebliche Praxis bedeutet das: Neben Akutkrankenhäusern müssen auch größere Klinikverbünde, MVZ-Strukturen, Laborverbünde und Medizintechnik-nahe Organisationen ihre Betroffenheit aktiv prüfen.

Die Größe bleibt dabei wichtig, aber sie ist nicht die einzige Frage. NIS2 arbeitet grundsätzlich mit der sogenannten Size-Cap-Regel, also regelmäßig mit der Erfassung mittlerer und großer Einrichtungen. Als grober Praxismaßstab gelten mindestens 50 Beschäftigte oder 10 Millionen Euro Jahresumsatz. Gerade im Gesundheitswesen reicht eine schematische Größenprüfung aber nicht aus, weil sektorspezifische Normen, KRITIS-Schwellen und die konkrete Rolle im Versorgungssystem zusätzlich relevant sein können.

Hinzu kommt die spezifische Schadenslogik des Sektors. Während ein Ausfall in anderen Branchen vor allem Umsatz und Reputation betrifft, können im Krankenhaus Verzögerungen bei Aufnahme, Diagnostik, Bildgebung, Arzneimittelversorgung oder Intensivmedizin unmittelbare Folgen für Patientinnen und Patienten haben. Deshalb ist die Schwelle für die praktische Erheblichkeit eines Vorfalls im Gesundheitswesen oft niedriger als in weniger kritischen Umgebungen. Ein KIS-Ausfall von wenigen Stunden kann bereits deutlich gravierender sein als ein vergleichbarer Ausfall in einem gewöhnlichen Büroprozess.

§75c SGB V und NIS2: Doppelte Pflichten

Krankenhäuser haben nicht erst seit NIS2 IT-Sicherheitspflichten, sondern bereits aus dem Sozialrecht. Wichtig ist dabei ein Datums- und Paragraphenhinweis: Der in älteren Fachbeiträgen oft genannte §75c SGB V ist in der aktuellen Gesetzesfassung zum 24. März 2026 nicht mehr als eigene Einzelnorm abrufbar. Sein Regelungsinhalt steht heute in §391 SGB V. Wer nach „§75c SGB V Krankenhaus IT-Sicherheit“ sucht, meint in der Sache also regelmäßig die heutige Vorschrift des §391 SGB V.

§391 Abs. 1 SGB V verpflichtet Krankenhäuser zu angemessenen organisatorischen und technischen Vorkehrungen nach dem Stand der Technik, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. §391 Abs. 2 SGB V ergänzt ausdrücklich verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeitenden. §391 Abs. 4 SGB V verweist zudem auf branchenspezifische Sicherheitsstandards für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus, deren Eignung vom BSI festgestellt wurde.

NIS2 und §391 SGB V stehen deshalb nicht im Widerspruch, sondern nebeneinander. §391 SGB V ist das sektorspezifische Krankenhausrecht. NIS2 beziehungsweise in Deutschland insbesondere §30 BSIG regelt den allgemeinen Cyber-Risikomanagementrahmen für besonders wichtige und wichtige Einrichtungen. Krankenhäuser müssen also nicht wählen, welches Regime „gilt“, sondern prüfen, welche Pflichten aus beiden Regimen kumulativ erfüllt werden müssen.

Die praktisch wichtigste Übersetzung lautet: §391 SGB V fokussiert sehr stark auf die Funktionsfähigkeit des Krankenhauses und den Schutzbedarf der Patienteninformationen. NIS2 erweitert diese Sicht um Management-Verantwortung, dokumentiertes Risikomanagement, Lieferkette, Vorfallbearbeitung, Business Continuity, Kryptographie, Zugriffskontrolle und Schulungspflichten. Wer nur seinen bisherigen Krankenhausstandard fortschreibt, ohne NIS2-Governance aufzubauen, bleibt unvollständig. Wer umgekehrt nur NIS2-Checklisten abarbeitet, ohne das Krankenhaus-Spezialrecht mitzudenken, riskiert eine gefährliche Lücke im Betrieb.

Die Überschneidung lässt sich so zusammenfassen:

AspektAllgemeine NIS2 / §30 BSIGSpezifisch Gesundheitswesen
RegulierungNIS2-Richtlinie, deutsches BSIG, Aufsicht durch das BSI§391 SGB V, branchenspezifische Sicherheitsstandards, Krankenhausbetrieb
Schwellenwerteregelmäßig mittlere und große Einrichtungen, typischer Praxismaßstab 50 MA oder 10 Mio. EURzusätzlich KRITIS-Schwellen und sektorspezifische Einordnung des Krankenhauses
SchwerpunktRisikomanagement, Vorfälle, Lieferkette, Business Continuity, SchulungenVersorgungssicherheit, Patienteninformationen, Krankenhausprozesse, Medizintechnik
NachweisDokumentation der Maßnahmen, Managementaufsicht, MeldeprozesseNachweis stand-der-Technik-gerechter Vorkehrungen und branchenspezifischer Standards
BesonderheitenArt. 20, Art. 21 und Art. 23 NIS2Telematikinfrastruktur, B3S, Krankenhaus-IT, Medizintechnik

Für viele Häuser ist deshalb ein Mapping sinnvoll: Welche bestehende Maßnahme aus Krankenhaus-IT-Sicherheit erfüllt bereits §391 SGB V, und welche zusätzlichen Evidenzen fordert NIS2? Genau dort entstehen meist die eigentlichen Lücken, nicht bei Firewalls oder Antivirensoftware, sondern bei Governance, Lieferantensteuerung, Eskalation und Nachweisführung.

Patientendaten schützen: DSGVO + NIS2 Zusammenspiel

Patientendaten werden nicht entweder durch DSGVO oder NIS2 geschützt, sondern durch beide Regelwerke mit unterschiedlichem Fokus. Die DSGVO schützt Gesundheitsdaten als besonders sensible personenbezogene Daten, insbesondere über Art. 5, Art. 9, Art. 24, Art. 32, Art. 33 und Art. 34 DSGVO. NIS2 ergänzt diese Perspektive um Resilienz der Systeme, in denen diese Daten verarbeitet werden. Im Krankenhaus reicht Datenschutz allein deshalb nicht aus, weil auch ein Vorfall ohne bestätigten Datenabfluss die Versorgung erheblich beeinträchtigen kann.

Die saubere Abgrenzung ist einfach: Die DSGVO fragt primär, ob personenbezogene Daten rechtmäßig, sicher und transparent verarbeitet werden. NIS2 fragt, ob die Einrichtung ihre Netz- und Informationssysteme so schützt, dass Dienste verfügbar bleiben, Vorfälle beherrscht werden und die Organisation cyber-resilient funktioniert. Ein Ransomware-Angriff auf ein Krankenhaus kann deshalb gleichzeitig ein NIS2-Vorfall, eine Datenschutzverletzung und ein Fall für das interne Krisenmanagement sein.

Für das Gesundheitswesen ist diese Parallelität besonders relevant, weil Gesundheitsdaten nicht nur sensibel, sondern oft auch behandlungsrelevant sind. Wird etwa ein PACS kompromittiert, kann das zugleich Auswirkungen auf Verfügbarkeit, Integrität und Vertraulichkeit haben. Fehlen Bilddaten, sind sie manipuliert oder nicht rechtzeitig abrufbar, betrifft das nicht nur den Datenschutz, sondern womöglich unmittelbar die medizinische Entscheidung. Genau hier zeigt sich, warum NIS2 im Gesundheitswesen mehr ist als eine weitere Meldepflicht.

Praktisch sollten Kliniken deshalb mit einer Doppelprüfung arbeiten:

  1. Liegt ein erheblicher Sicherheitsvorfall mit Auswirkung auf Dienste, Systeme oder Versorgung vor?
  2. Liegt zugleich eine Verletzung des Schutzes personenbezogener Daten vor?

Wenn beide Fragen mit Ja beantwortet werden, laufen regelmäßig zwei Meldeachsen parallel: NIS2 an das BSI beziehungsweise die zuständige Meldestelle und DSGVO an die Datenschutzaufsicht. Wer diese Achsen organisatorisch trennt, verliert im Vorfall oft die kritischen ersten Stunden. Sinnvoll ist ein gemeinsamer Incident Intake mit getrennten rechtlichen Entscheidungen, aber einem gemeinsamen Lagebild. Ergänzend lohnt sich dafür der Blick auf den Regimevergleich DORA vs. NIS2, weil dort dieselbe Mehrregime-Logik aus einer anderen Sektorlogik sichtbar wird.

Medizinprodukte und vernetzte Geräte (IoMT)

Vernetzte Medizinprodukte und IoMT-Geräte machen NIS2 im Gesundheitswesen besonders anspruchsvoll, weil sie klassische IT, Medizintechnik und klinische Prozesse verbinden. Dazu gehören zum Beispiel Infusionssysteme, Patientenmonitore, Bildgebung, Laborautomation, mobile Diagnosegeräte, Remote-Service-Zugänge, intelligente Betten oder softwaregestützte Medizingeräte mit Netzwerkanbindung. Jedes zusätzliche Gerät erweitert die Angriffsfläche und erhöht die Anforderungen an Asset-Management, Segmentierung und Patch-Prozesse.

NIS2 adressiert diese Produkte nicht primär als einzelne Marktprodukte, sondern über die Betreiberverantwortung der Einrichtung. Das Krankenhaus muss also wissen, welche Geräte im Netz hängen, welche davon kritisch für Behandlung oder Diagnose sind, welche Herstellerzugriffe bestehen und wie Notbetrieb, Isolierung oder Austausch im Störfall funktionieren. Das ist in der Praxis oft schwieriger als im klassischen Office-IT-Bereich, weil Wartungsfenster, Herstellerfreigaben und klinische Nutzung eng miteinander verflochten sind.

Parallel bleibt das Produktrecht relevant. Für Hersteller vernetzter Medizinprodukte ist insbesondere die Verordnung (EU) 2017/745 über Medizinprodukte relevant. Betreiber dürfen daraus aber nicht den falschen Schluss ziehen, dass Cybersecurity vollständig „beim Hersteller“ liegt. NIS2 verlangt vom Krankenhaus als Betreiber weiterhin angemessene organisatorische und technische Maßnahmen, also etwa:

  • vollständiges Inventar vernetzter Medizinprodukte und Schnittstellen,
  • Segmentierung zwischen Büro-IT, Medizintechnik und besonders kritischen Zonen,
  • geregeltes Patch- und Schwachstellenmanagement mit Herstellerabstimmung,
  • Notfallverfahren für Ausfall oder Isolation einzelner Geräte,
  • Zugangskontrolle für Dienstleister und Fernwartung,
  • nachvollziehbare Risikobewertung für Altgeräte ohne modernen Support.

Gerade Altgeräte sind ein typischer Schwachpunkt. Viele Häuser betreiben Medizinprodukte mit langen Lebenszyklen, proprietären Betriebssystemen und restriktiven Wartungsvorgaben. NIS2 verlangt nicht das sofortige Ersetzen aller Legacy-Geräte, aber eine nachvollziehbare Risikobehandlung. Wenn ein altes Gerät nicht zeitnah gepatcht werden kann, müssen Segmentierung, Monitoring, physische Zugangskontrollen und klare Ersatz- oder Notfallprozesse diese Lücke kompensieren.

Meldepflichten bei Cyberangriffen im Gesundheitswesen

Cyberangriffe im Gesundheitswesen lösen besonders schnell Meldepflichten aus, weil die Erheblichkeitsschwelle wegen der möglichen Versorgungsfolgen früh erreicht sein kann. Art. 23 NIS2 sieht für erhebliche Sicherheitsvorfälle eine gestufte Meldelogik vor: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden und Abschlussbericht grundsätzlich binnen eines Monats. Im Gesundheitswesen sollte diese Uhr ab dem Moment ernst genommen werden, in dem eine belastbare Einschätzung besteht, dass ein Vorfall die Dienstleistung oder Versorgung erheblich beeinträchtigt.

Typische meldepflichtige Szenarien sind Ransomware auf klinischen Kernsystemen, erhebliche Ausfälle von KIS oder Laboranbindung, Kompromittierung von Administratorzugängen, Ausfälle der Bildgebung mit spürbaren Behandlungsfolgen, Störungen durch kompromittierte Dienstleister oder Manipulationen an vernetzten Medizinprodukten. Maßgeblich ist nicht, ob schon jedes Detail forensisch geklärt ist, sondern ob ein erheblicher Sicherheitsvorfall wahrscheinlich vorliegt.

Für Kliniken läuft daneben oft mindestens eine zweite Meldeachse. Sind personenbezogene Patientendaten betroffen, ist regelmäßig Art. 33 DSGVO zu prüfen. Bestehen Meldepflichten gegenüber Landesbehörden, Vertragspartnern, Cyberversicherern oder Aufsichtsgremien, müssen diese parallel in das Incident Playbook aufgenommen werden. Die größte operative Schwäche vieler Einrichtungen ist nicht fehlendes Fachwissen, sondern ein unklarer Meldeprozess zwischen IT, Datenschutz, Rechtsabteilung, Klinikleitung, Krisenstab und externer Forensik.

Ein belastbarer Gesundheitswesen-Workflow sollte deshalb mindestens diese Fragen vorab beantworten:

FrageWarum sie im Krankenhaus kritisch ist
Wer stellt die Erheblichkeit fest?Zeitverlust zwischen IT, Datenschutz und Klinikleitung reißt Fristen.
Welche Systeme sind versorgungskritisch?Nicht jedes System ist gleich, aber manche Ausfälle stoppen die Behandlung.
Wer informiert das Management?Art. 20 NIS2 macht die Leitungsebene unmittelbar verantwortlich.
Wann wird die Datenschutzaufsicht eingebunden?Bei Patientendaten läuft häufig parallel Art. 33 DSGVO.
Welche Drittparteien müssen informiert werden?Hersteller, Dienstleister, TI-Anbieter und Versicherer sind oft Teil der Bewältigung.

Wer diesen Prozess noch nicht belastbar aufgebaut hat, sollte die Detailfristen zusätzlich in unserem Beitrag zur NIS2-Vorfallmeldung vertiefen. Für Kliniken ist der entscheidende Punkt: Die Meldung darf nicht auf die fertige Forensik warten. Geschwindigkeit geht in den ersten 24 Stunden vor Vollständigkeit.

Schulungspflichten für medizinisches Personal

NIS2 verlangt Schulung im Gesundheitswesen nicht nur für die IT, sondern für die gesamte Organisation. Art. 20 Abs. 2 NIS2 verpflichtet Leitungsorgane ausdrücklich, Schulungen zu absolvieren und die Schulung innerhalb der Organisation zu fördern. Art. 21 Abs. 2 Buchst. g NIS2 nennt grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen als Pflichtbestandteil des Risikomanagements. In Deutschland greift diese Logik im Krankenhausrecht zusätzlich in §391 Abs. 2 SGB V, der verpflichtende Security-Awareness-Maßnahmen verlangt.

Für medizinisches Personal ist das keine bloße Compliance-Formalität. Ärztinnen, Ärzte, Pflege, Aufnahme, Labor, Funktionsdiagnostik, Apotheke und Medizintechnik treffen täglich Entscheidungen, die Cyberrisiken direkt beeinflussen. Phishing, schwache Passworthygiene, unkontrollierte USB-Nutzung, fehlerhafte Zugriffsfreigaben, unsichere Fernwartung oder verspätete Vorfallmeldungen entstehen selten aus böser Absicht, sondern aus fehlender Rollenpassung der Schulung.

Ein tragfähiges Schulungskonzept im Gesundheitswesen sollte deshalb mindestens vier Zielgruppen unterscheiden:

  1. Geschäftsleitung und Klinikmanagement: Governance, Haftung, Freigaben, Krisenentscheidungen, Meldewege.
  2. IT, Informationssicherheit und Medizintechnik: Incident Response, Segmentierung, Schwachstellenmanagement, Drittparteiensteuerung.
  3. Medizinisches Personal: Phishing-Erkennung, sichere Nutzung klinischer Systeme, Meldewege, Umgang mit Notbetrieb.
  4. Verwaltung und unterstützende Bereiche: Zugriffsschutz, Rechnungs- und Identitätsbetrug, Datenschutz, Dienstleisterkontakte.

Die wirksamste Schulung ist deshalb kein Einmal-Webinar für alle, sondern ein dokumentiertes Programm mit Basisschulung, rollenbezogenen Vertiefungen, Wiederholung und klarer Nachweisführung. Wer Cyberhygiene im Krankenhaus nur als IT-Thema behandelt, unterschätzt die Realität des Sektors. Gerade in Häusern mit Schichtbetrieb, hoher Personalrotation und Zeitdruck müssen Meldewege, Passworthygiene und Notfallverhalten einfach und wiederholbar trainiert werden.

Wenn Sie diesen Aufbau pragmatisch angehen wollen, ist eine strukturierte NIS2-Online-Schulung für Management, Fachbereiche und Schlüsselrollen der schnellste Einstieg. Sie ersetzt keine individuelle Risikoanalyse des Krankenhauses, schafft aber die gemeinsame Sprache, ohne die §391 SGB V, §30 BSIG und die DSGVO in der Praxis regelmäßig auseinanderlaufen.

Handlungsempfehlung für Krankenhäuser, Kliniken und MVZ

Die sinnvollste Umsetzung beginnt nicht mit einer Einkaufsliste für neue Tools, sondern mit einer klaren Verantwortungsmatrix. Zuerst sollte die Einrichtung ihre Betroffenheit unter NIS2, §391 SGB V, KRITIS und DSGVO schriftlich einordnen. Danach folgt ein Inventar der versorgungskritischen Systeme einschließlich KIS, PACS, Labor, Medizintechnik, Fernwartung und zentraler Dienstleister. Erst auf dieser Basis werden Meldewege, Schulungsplan, Segmentierung, Backup-Strategie und Lieferantenpflichten belastbar.

Ein realistischer 90-Tage-Plan für das Gesundheitswesen sieht meist so aus:

  1. Scope klären: NIS2-Betroffenheit, §391 SGB V, KRITIS, zentrale Verantwortliche.
  2. Kritische Systeme priorisieren: Versorgungskritik, Patientendaten, Abhängigkeiten, Notbetrieb.
  3. Incident Playbook anpassen: NIS2, DSGVO, interne Krisenstäbe und externe Meldungen zusammenführen.
  4. Schulung starten: Management zuerst, danach medizinische und technische Schlüsselrollen.
  5. Lieferkette prüfen: Medizintechnik, MSPs, Cloud, Fernwartung, Labor- und Bildgebungsanbieter.

Der entscheidende Erfolgsfaktor ist nicht Perfektion, sondern Verbindlichkeit. Ein Krankenhaus muss nicht in jedem Bereich sofort maximal ausgereift sein. Es muss aber belegen können, dass Risiken erkannt, priorisiert, dokumentiert und gesteuert werden. Genau diese Nachweisfähigkeit ist die eigentliche Brücke zwischen NIS2, Krankenhausrecht und Datenschutz.

FAQ zu NIS2 im Gesundheitswesen

Welche Krankenhäuser fallen unter NIS2?

Krankenhäuser fallen unter NIS2, wenn sie als Gesundheitsdienstleister im Gesundheitssektor nach Anhang I der Richtlinie (EU) 2022/2555 einzuordnen sind und die Größenkriterien oder sektoralen Erfassungsregeln erfüllen. Zusätzlich gelten für Krankenhäuser in Deutschland unabhängig davon die spezialgesetzlichen IT-Sicherheitspflichten aus §391 SGB V.

Wie schützt NIS2 Patientendaten zusätzlich zur DSGVO?

NIS2 schützt Patientendaten nicht über neue Datenschutzgrundsätze, sondern über Resilienzpflichten für die Systeme, die diese Daten verarbeiten. Art. 21 NIS2 und §30 BSIG verlangen Risikoanalyse, Incident Handling, Backup, Lieferkettensicherheit, Zugriffskontrolle und Schulungen. Die DSGVO bleibt parallel für Rechtsgrundlage, Vertraulichkeit, Datensicherheit und Datenschutzmeldungen zuständig.

Müssen Arztpraxen NIS2 umsetzen?

Nicht jede Arztpraxis ist automatisch NIS2-reguliert. Kleine Einzelpraxen liegen häufig außerhalb des direkten NIS2-Anwendungsbereichs. Größere Praxisverbünde, MVZ oder spezialisierte Gesundheitsdienstleister können jedoch erfasst sein. Unabhängig davon gelten weiterhin DSGVO, berufsrechtliche Vorgaben und Anforderungen der Telematikinfrastruktur.

Welche Meldepflichten gelten für Kliniken unter NIS2?

Bei einem erheblichen Sicherheitsvorfall gilt nach Art. 23 NIS2 die gestufte Meldelogik mit 24-Stunden-Frühwarnung, 72-Stunden-Meldung und Abschlussbericht nach grundsätzlich einem Monat. Sind zugleich Patientendaten betroffen, ist regelmäßig zusätzlich die 72-Stunden-Meldung nach Art. 33 DSGVO zu prüfen.

Was bedeutet NIS2 für medizinische IT-Systeme wie KIS, PACS oder Laborsoftware?

NIS2 verlangt für diese Systeme angemessene technische und organisatorische Schutzmaßnahmen des Betreibers. Dazu gehören Segmentierung, Zugriffsschutz, Patch- und Schwachstellenmanagement, Monitoring, Backup, Notbetrieb und klare Verantwortlichkeiten bei Störungen oder Kompromittierungen.

Welche Rolle spielen vernetzte Medizinprodukte und IoMT-Geräte?

Sie vergrößern die Angriffsfläche erheblich und müssen deshalb in Inventar, Risikoanalyse, Netzwerkarchitektur und Incident Response einbezogen werden. Zusätzlich bleibt das Medizinprodukterecht, insbesondere die Verordnung (EU) 2017/745, auf Herstellerseite relevant.

Braucht auch die Geschäftsleitung eine Schulung?

Ja. Art. 20 Abs. 2 NIS2 verpflichtet Leitungsorgane zu eigener Schulung und zur Förderung von Schulungen in der Organisation. Im Gesundheitswesen ist das besonders wichtig, weil Cybervorfälle nicht nur IT, sondern Behandlung, Patienteninformationen und klinische Betriebsfähigkeit betreffen.

Krankenhäuser und Kliniken sollten NIS2 nicht als weiteres Einzelprojekt behandeln, sondern als verbindenden Rahmen zwischen Krankenhaus-IT, Datenschutz, Medizintechnik und Management. Wenn Sie Pflichten, Schulungsbedarf und Prioritäten für Ihr Haus strukturiert bewerten wollen, ist unsere NIS2-Online-Schulung der schnellste Einstieg und der Beitrag zur Geschäftsführer-Haftung bei Cyberangriffen der passende nächste Schritt für ein belastbares Governance-Setup.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →