NIS2 im Gesundheitswesen: Was Krankenhäuser und MedTech-Firmen jetzt tun müssen

Der Gesundheitssektor ist einer der am stärksten gefährdeten Bereiche kritischer Infrastrukturen in Europa. Ransomware-Angriffe auf Krankenhäuser haben in den letzten Jahren Versorgungsengpässe, Operationsabsagen und in Einzelfällen tödliche Konsequenzen verursacht. Die NIS2-Richtlinie macht daher aus der bisherigen Selbstregulierung des Sektors verbindliches Recht mit scharfen Strafen.

Dieser Artikel zeigt, wer im deutschen Gesundheitswesen unter NIS2 fällt, wie das Zusammenspiel mit der KRITIS-Verordnung funktioniert und wie Krankenhäuser die Umsetzung operativ meistern.

1. Wer ist im Gesundheitssektor betroffen?

Wesentliche Einrichtungen (Anhang I NIS2)

• Gesundheitsdienstleister nach Art. 3 Nr. 4 der Richtlinie 2011/24/EU — also Krankenhäuser, Rehakliniken, größere MVZ
• EU-Referenzlaboratorien
• Unternehmen, die Forschungs- und Entwicklungstätigkeiten für Arzneimittel durchführen
• Hersteller von grundlegenden pharmazeutischen Erzeugnissen
• Hersteller von Medizinprodukten, die während einer öffentlichen Gesundheitsnotlage als entscheidend betrachtet werden

Wichtige Einrichtungen (Anhang II)

• Weitere Hersteller von Medizinprodukten (MDR / IVDR)
• Hersteller von pharmazeutischen Grundstoffen

2. Schwellenwerte und Konzernperspektive

Die 50/10-Regel gilt grundsätzlich auch im Gesundheitswesen: ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz. Entscheidend ist jedoch die konsolidierte Betrachtung auf Konzernebene:

• Ein Krankenhausverbund mit 10 Häusern à 30 Mitarbeitenden fällt unter NIS2 (gesamt >50)
• Ein Universitätsklinikum als Anstalt des öffentlichen Rechts ist automatisch erfasst
• MedTech-Startups unter 50 MA können durch ihre Einstufung als "kritisch" bei Public-Health-Emergency dennoch erfasst werden

3. Zusammenspiel mit der KRITIS-Verordnung

Das deutsche KRITIS-Recht (BSI-Gesetz + KRITIS-Verordnung) war seit 2017 die zentrale Regulierung für Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr. Mit dem NIS2UmsuCG wird KRITIS in BSIG-neu integriert.

Wichtige Änderungen für den Gesundheitssektor:

• Schwellenwerte werden gesenkt — mehr Krankenhäuser fallen unter die Pflichten
• Bisherige KRITIS-Anforderungen (B3S Gesundheit) bleiben weitgehend gültig, werden aber um NIS2-Elemente erweitert
• Management-Verantwortung nach § 30 BSIG-neu ist für Klinikgeschäftsführungen neu
• Meldewege laufen weiterhin über das BSI — das bewährte KRITIS-Meldesystem bleibt

4. Die zehn Maßnahmen für Krankenhäuser

Die zehn Sicherheitsmaßnahmen aus Art. 21 NIS2 sind für den Gesundheitssektor besonders herausfordernd:

1. Risikoanalyse — umfasst Patientendaten, klinische Systeme (KIS, PACS, LIS), Medizingeräte
2. Incident-Handling — 24h/72h-Meldung trotz oft schwacher IT-Teams vor Ort
3. Business Continuity — Ausfall eines KIS darf nicht zu Patientengefährdung führen
4. Lieferkettensicherheit — MedTech, IT-Dienstleister, Laboranbieter
5. SDLC und Wartung — besonders kritisch für vernetzte Medizingeräte
6. Effektivitätsprüfung — Audits, Tests, Pentests
7. Cyberhygiene und Schulung — Klinikpersonal in Cybersicherheit zu schulen ist Pflicht
8. Kryptografie — Patientendaten, Telemedizin, Datenaustausch mit Niederlassern
9. Personal- und Zugriffskontrolle — besonders heikel bei Notfallzugriffen
10. MFA und sichere Kommunikation — Einführung oft am schwächsten Punkt

5. Besonderheiten und Konflikte

Medizingeräte

Vernetzte Medizingeräte (z.B. Infusionspumpen, MRT-Geräte, Bildgebung) sind oft schlecht gesichert und herstellerseitig kaum updatebar. NIS2 verlangt trotzdem die Einbindung in das Sicherheitskonzept. Lösungsansätze:

• Netzwerksegmentierung (getrennte Medizingeräte-VLANs)
• Kompensierende Controls (Monitoring statt Patching)
• Lieferantenverträge mit Sicherheitsgewährleistung

Patientendatenschutz + NIS2

NIS2 überschneidet mit der DSGVO (Patientendaten = besondere Kategorien nach Art. 9). Eine Sicherheitsverletzung ist oft gleichzeitig meldepflichtig nach NIS2 (an BSI) und DSGVO (an Landesdatenschutzbehörde). Die Fristen sind unterschiedlich:

• DSGVO: 72 Stunden
• NIS2: 24h Frühwarnung + 72h Detailmeldung + 30d Abschlussbericht

Universitätskliniken als Behörden

Uniklinika unterliegen zusätzlich dem öffentlichen Vergaberecht (Procurement) und spezifischen Länderhochschulgesetzen. Die Compliance muss beide Ebenen abdecken.

6. Fünf-Schritte-Plan für Kliniken

1. Scope-Erfassung (2 Wochen): IT-Assets, Medizingeräte, Outsourcing-Partner, kritische Prozesse dokumentieren
2. Gap gegen B3S Gesundheit (1 Woche): bisherige KRITIS-Umsetzung mappen auf Art. 21 NIS2
3. Incident-Management aufsetzen (3 Wochen): BSI-Meldeweg, interne Rollen, Kommunikationsmatrix
4. Schulung Klinikpersonal (6-12 Monate rolling): Awareness, Phishing-Simulationen, Management-Training
5. Audit und Nachweis (laufend): jährliche Selbstaudits, alle zwei Jahre externe Prüfung

Eine ISMS-Software wie Matproof automatisiert die Nachweisführung, verwaltet das Medizingeräte-Inventar (mit NIS2- und MDR-Tags) und hält den Stand der Cyberhygiene-Schulungen nach.

Fazit

Der Gesundheitssektor steht vor einer der schärfsten NIS2-Umsetzungen in Deutschland. Die Kombination aus knappen IT-Budgets, Legacy-Medizingeräten und 24/7-Kritikalität macht Compliance operativ hart. Gleichzeitig schützt NIS2 vor Angriffen, die Menschenleben kosten können — die Motivation ist damit höher als in anderen Sektoren.

Wer die Umsetzung aus dem B3S Gesundheit heraus entwickelt und mit einem modernen GRC-Tool kombiniert, schafft NIS2-Compliance ohne eine vollständige Neuanlage der Prozesse.

Weiterführend:

• NIS2-Umsetzungsleitfaden
• Industries: Healthcare
• ISMS-Software für NIS2