NIS-2 markiert für das Gesundheitswesen den Übergang von der Registrierung zur Umsetzung konkreter Cybersicherheitsmaßnahmen. Einrichtungen müssen IT-Sicherheit strategisch verankern, um Versorgungssicherheit zu gewährleisten.
NIS-2 macht deutlich: Cybersicherheit im Gesundheitswesen ist ein zentraler Faktor für die Versorgungssicherheit.
(Bild: Canva / KI-generiert)
Die NIS-2-Registrierungspflicht ist am 6. März ausgelaufen. Gesundheitseinrichtungen stehen damit vor der entscheidenden Frage: Was kommt jetzt konkret auf uns zu? Die Antwort hängt maßgeblich davon ab, ob eine Einrichtung die Registrierung vorgenommen hat. NIS-2 markiert den Beginn eines dauerhaften Transformationsprozesses, der Cybersicherheit als integralen Bestandteil der Versorgungssicherheit etabliert. Gleichzeitig wird deutlich: Organisationen müssen Sicherheit im Sinne eines Secure-by-Design-Ansatzes von Anfang an mitdenken.
Die IT-Landschaft in Gesundheitseinrichtungen ist in der Regel historisch gewachsen, hochkomplex und eng mit der Patientenversorgung verbunden. Ein mittelgroßes Krankenhaus betreibt typischerweise oft mehrere hundert Anwendungen und vernetzte Medizingeräte. Dazu gehören etwa CT- und MRT-Systeme, Infusionspumpen oder Laborautomaten, die direkt mit klinischen Informationssystemen kommunizieren. Viele dieser Systeme lassen sich nur eingeschränkt patchen.
IT-Ausfälle treffen Krankenhäuser unmittelbar im Versorgungsalltag. Diagnostik, Therapie und klinische Abläufe werden direkt beeinträchtigt. NIS-2 macht deutlich: Cybersicherheit im Gesundheitswesen ist ein zentraler Faktor für die Versorgungssicherheit.
Von der Registrierung zur Umsetzung
Für registrierte Einrichtungen rückt nun die praktische Umsetzung der Sicherheitsanforderungen in den Fokus. Gesundheitseinrichtungen ohne Registrierung bewegen sich aktuell noch in einer Grauzone, stehen aber ebenso in der Pflicht.
Für den gesamten Sektor bedeutet das erhebliche Investitionen: Die Deutsche Krankenhausgesellschaft schätzt die initialen Mehraufwände auf rund 1,5 Milliarden Euro, hinzu kommen jährlich etwa 760 Millionen Euro für den Betrieb. Einrichtungen müssen ein systematisches Risiko- und Schwachstellenmanagement aufbauen, das speziell auf medizinische IT-Systeme zugeschnitten ist. Sie müssen klare Verantwortlichkeiten bis in die Führungsebene hinein festlegen und funktionierende Incident-Response- und Meldeprozesse etablieren, die auch im 24/7-Betrieb zuverlässig greifen. Außerdem brauchen sie belastbare Notfall- und Ausfallkonzepte, damit die Versorgung auch dann weiterläuft, wenn IT-Systeme gestört sind oder ausfallen. Gleichzeitig müssen sie Dienstleister und Lieferanten deutlich stärker steuern und überwachen, da Krankenhäuser von externen Medizintechnikherstellern, Labordienstleistern und IT-Dienstleistern abhängig sind.
Die Geschäftsführung trägt dabei persönlich Verantwortung: Sie muss Maßnahmen billigen, deren Umsetzung überwachen und sich mindestens alle drei Jahre schulen lassen. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. Zudem kann das BSI die Ausübung von Führungsaufgaben untersagen.
Security-by-Design: Sicherheit systematisch in die Architektur integrieren
Für Gesundheitseinrichtungen lässt sich die Umsetzung von NIS-2 in konkrete Handlungsfelder übersetzen, die sie schrittweise adressieren müssen. Den Ausgangspunkt bildet ein Security-by-Design-Ansatz, der Cybersicherheit systematisch in die IT-Architektur integriert und entlang des gesamten System-Lebenszyklus verankert. Grundlage ist die Priorisierung versorgungsrelevanter Systeme sowie definierter akzeptabler Ausfallzeiten. Das zentrale Prinzip: Defense-in-Depth durch mehrschichtige Sicherheitsarchitekturen.
Für Gesundheitseinrichtungen bedeutet das, Sicherheitsanforderungen bereits bei der Planung von IT-Strukturen, der Beschaffung von Medizintechnik und der Integration neuer Systeme mitzudenken. Gerade bei der Beschaffung zeigt sich, wie Security-by-Design in der Praxis umgesetzt wird: Einrichtungen definieren klare Sicherheitsanforderungen wie Patch-Fähigkeit und dokumentierte Härtungsrichtlinien. Zudem vereinbaren sie vertraglich verbindliche Reaktionszeiten der Hersteller bei Sicherheitslücken. Ziel ist es, Angriffsflächen zu reduzieren und kritische Versorgungsprozesse auch bei Störungen stabil zu halten.
Schritt 1: Segmentierung und Zugriffskontrollen
Eine klare Aufteilung des Netzwerks verhindert, dass sich Angreifer ungehindert im System ausbreiten. In der Praxis hat sich eine Struktur mit vier Zonen bewährt: Büro-IT für Verwaltung, eine klinische Zone für Systeme wie das Krankenhausinformationssystem (KIS), ein Bereich für vernetzte Medizingeräte sowie ein abgeschirmter Bereich für externe Zugänge.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Spezielle Sicherheitslösungen überwachen den Datenverkehr zwischen diesen Bereichen streng: erlaubt ist nur, was freigegeben wurde. Zusätzlich lassen sich auch innerhalb einzelner Bereiche Systeme voneinander isolieren. Das verhindert, dass ein kompromittiertes System automatisch auf andere zugreifen kann. Infizieren Angreifer beispielsweise ein Gerät in der Radiologie, bleibt der Angriff auf diesen Bereich begrenzt. Weder OP-Systeme noch die zentrale Patientenverwaltung sind so betroffen und der Klinikbetrieb kann weitgehend weiterlaufen.
Identitätsbasierte Zugriffskontrollen setzen außerdem das Prinzip minimaler Privilegien um: Mitarbeiter erhalten nur die Berechtigungen, die sie für ihre Aufgaben benötigen. Zusätzliche Sicherheitsabfragen, etwa über einen zweiten Faktor, schützen besonders sensible Zugänge. Auch sichere Standardkonfigurationen helfen, Risiken zu reduzieren. Dazu gehören deaktivierte unnötige Dienste, geänderte Standardpasswörter und aktivierte Verschlüsselung. Gesundheitseinrichtungen sollten ihre Systeme außerdem regelmäßig aktualisieren.
Schritt 2: Backups und Wiederanlauf
Entscheidend für die Handlungsfähigkeit nach einem Ransomware-Angriff sind getestete Backup- und Wiederanlaufkonzepte. Grundlage bildet die 3-2-1-1-Regel: drei Kopien der Daten auf zwei Medientypen, eine offline und eine unveränderlich.
In der Praxis erfolgt die Sicherung gestaffelt: Hochkritische Datenbanken werden kontinuierlich gespiegelt, sodass im Ernstfall höchstens wenige Minuten an Daten verloren gehen (Recovery Point Objective, RPO). Das RPO beschreibt also, wie viel Datenverlust maximal akzeptabel ist. Für Fachanwendungen reichen oft tägliche Sicherungen.
Ebenso wichtig sind klar definierte Wiederanlaufzeiten (Recovery Time Objectives, RTO). Für Intensivstation oder OP können sie unter einer Stunde liegen, während Abrechnungssysteme auch erst nach 24 Stunden wieder verfügbar sein müssen. Diese Zielwerte bestimmen maßgeblich die technische Architektur.
Schritt 3: Monitoring und Incident Response
Ein Security Information and Event Management (SIEM) System aggregiert Logs aus allen relevanten Quellen und erkennt verdächtige Muster. Orientierungswerte für Mean Time to Detect (MTTD) bei patientennahen Systemen: unter einer Stunde. Spezialisierte Schutzsysteme ergänzen das Monitoring: Endpoint Detection and Response (EDR) überwacht Clients, Network Detection and Response (NDR) analysiert Netzwerkverkehr.
In der Praxis stoßen viele Einrichtungen jedoch schnell an organisatorische Grenzen. Gesundheitseinrichtungen müssen in der Lage sein, sicherheitsrelevante Ereignisse kontinuierlich zu bewerten, zu priorisieren und in konkrete Maßnahmen zu überführen. Dafür braucht es klar definierte Prozesse, Zuständigkeiten und Eskalationswege, die auch unter hoher Belastung funktionieren.
Zentral ist ein strukturierter Incident-Response-Ansatz: Organisationen müssen Sicherheitsvorfälle schnell erkennen, einordnen und eindämmen. Dazu gehören vordefinierte Playbooks für typische Angriffsszenarien wie Ransomware, kompromittierte Benutzerkonten oder Ausfälle kritischer Systeme. Diese Playbooks legen fest, welche Systeme isoliert, welche Kommunikationswege genutzt und wie klinische Abläufe parallel aufrechterhalten werden.
Gerade im Gesundheitswesen ist die Verzahnung von IT-Sicherheit und klinischem Betrieb entscheidend. Incident Response bedeutet hier neben technischer Schadensbegrenzung auch die Sicherstellung der Patientenversorgung. Entsprechend müssen medizinisches Personal, IT-Abteilung und Management eng zusammenarbeiten. Regelmäßige Übungen helfen, Abläufe zu testen und die Reaktionsfähigkeit zu verbessern.
Von Compliance zu echter Cyberresilienz
Die Bedrohung durch Cyberangriffe wächst kontinuierlich. Gleichzeitig erweitert sich das regulatorische Umfeld: Das KRITIS-Dachgesetz ergänzt NIS-2 um physische Resilienz. Einrichtungen mit bestehendem Informationssicherheits-Managementsystem nach ISO 27001 erfüllen bereits 60 bis 80 Prozent der Anforderungen.
NIS-2 bietet damit die Chance, fragmentierte Sicherheitsaktivitäten strategisch zusammenzuführen. Investitionen in sichere Architekturen, kontinuierliches Monitoring und gelebte Sicherheitskultur zahlen sich mehrfach aus: Sie minimieren Risiken, erleichtern die Einhaltung regulatorischer Anforderungen und schaffen die Grundlage für vertrauenswürdige digitale Versorgungsprozesse. Einrichtungen, die frühzeitig handeln, sichern sich einen entscheidenden Vorsprung. Entscheidend ist dabei der Perspektivwechsel: Cybersicherheit entwickelt sich vom Compliance-Thema zum strategischen Erfolgsfaktor für Patientensicherheit.
Der Autor Okay Güler ist Gründer und CEO von CLOUDYRION. Nachdem er im Banking und Automotive-Bereich Erfahrung als Ethical Hacker sammeln konnte, gründete Güler 2020 CLOUDYRION. Seine Motivation: Unternehmen zu helfen, die neuen Herausforderungen im Cyberspace zu bewältigen und Awareness für Secure-by-Design zu schaffen.