Cyberangriffe auf Krankenhäuser sind längst Alltag. Patientendaten werden verschlüsselt, Systeme lahmgelegt, ganze OP-Pläne müssen verschoben werden. Laut dem Hasso-Plattner-Institut haben die Attacken auf Kliniken seit 2020 um über 70 % zugenommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer „angespannten Lage“.
Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) reagiert die EU – und verschärft die Regeln deutlich. Neben großen „KRITIS-Häusern“ fallen künftig auch mittlere und kleinere Einrichtungen in den Geltungsbereich. Die Geschäftsleitungen stehen dabei besonders in der Pflicht: Sie haften persönlich, wenn Cybersicherheitsmaßnahmen fehlen oder zu spät umgesetzt werden.
Was bedeutet NIS2 konkret für Kliniken?
- Informationssicherheits-Managementsystem (ISMS)
Kliniken müssen ein ISMS nachweislich aufbauen und betreiben. Das bedeutet: Strukturen, Prozesse und Verantwortlichkeiten rund um IT-Sicherheit müssen dokumentiert, geprüft und regelmäßig weiterentwickelt werden. - Vorfallmanagement & Meldepflichten
Sicherheitsvorfälle müssen künftig binnen 24 Stunden an das BSI gemeldet werden – mit einer detaillierten Zweitmeldung nach 72 Stunden und einem Abschlussbericht. Schon kleine Verzögerungen können teuer werden. - Business Continuity & Notfallpläne
Es reicht nicht mehr, nur IT-Systeme abzusichern. Kliniken müssen Szenarien für Ausfälle durchspielen, Notfallübungen durchführen und sicherstellen, dass der Betrieb im Krisenfall aufrechterhalten werden kann. - Technische Sicherheitsmaßnahmen
Regelmäßige Penetrationstests, Schwachstellenanalysen, Log-Monitoring und Sicherheitsaudits werden Standard. Auch Systeme zur Angriffserkennung (SzA) sind verpflichtend. - Schulung & Sensibilisierung
NIS2 verlangt, dass alle Mitarbeitenden regelmäßig geschult werden – von Phishing-Simulationen bis hin zu konkreten Handlungsanweisungen im Ernstfall.
Die Risiken bei Nicht-Umsetzung
Die Strafen sind hoch: Je nach Größe der Einrichtung drohen bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes. Besonders hart geahndet werden Verstöße gegen die Meldepflicht oder fehlendes Risikomanagement.
Doch es geht nicht nur um Bußgelder: Jede Cyberattacke gefährdet unmittelbar Patientenversorgung und Vertrauen. Eine lahmgelegte Notaufnahme oder gesperrte Patientendaten können im Ernstfall Leben kosten.
Wie HCM Network unterstützt
Wir begleiten Kliniken dabei, NIS2 praxisnah umzusetzen:
- Ersteinschätzung, ob und wie die Klinik von NIS2 betroffen ist
- Aufbau eines ISMS nach dem branchenspezifischen Standard (B3S)
- Unterstützung bei Notfall- und Krisenmanagement
- Schulungen für Mitarbeitende und Führungskräfte
- Externe Compliance-Begleitung, um Pflichten zuverlässig zu erfüllen
Fazit
NIS2 ist kein bürokratisches Extra, sondern eine Überlebensfrage für Krankenhäuser. Die Richtlinie zwingt Einrichtungen, IT-Sicherheit professionell aufzusetzen – und das ist gut so. Wer rechtzeitig handelt, reduziert nicht nur Haftungsrisiken und Bußgelder, sondern schützt vor allem das Wichtigste: die Versorgung und Sicherheit der Patienten.