In einem Satz. Krankenhäuser und Gesundheitsdienstleister sind unter NIS2 als wesentliche Einrichtungen klassifiziert (Anlage 1 BSIG-NIS2UmsuCG, Sektor Gesundheit) — mit besonders strengen Pflichten wegen kritischer Versorgungsfunktion, hochsensiblen Daten und nachgewiesener Bedrohungslage (über 50 Ransomware-Angriffe auf deutsche Krankenhäuser zwischen 2019 und 2024).
Krankenhäuser kombinieren NIS2 + DSGVO + KHZG-IT-Pflichten + DiGAV. Siehe ergänzend NIS2 Deutschland, DSGVO Art. 9 sowie unseren Leitfaden zur DSGVO in Krankenhäusern und Pflegeeinrichtungen (§ 22 BDSG).
Wichtige Punkte
- Wesentliche Einrichtung ab 50 MA / 10 Mio. € Umsatz.
- KRITIS-Krankenhaus ab 30.000 stationäre Fälle/Jahr.
- ePA, eRezept, eAU Anbindung über TI.
- B3S Gesundheit (BSI-anerkannt).
- KHZG-Förderung für IT-Sicherheit.
1. Geltungsbereich
| Einrichtung | NIS2-Status | KRITIS |
|---|---|---|
| Krankenhaus > 30.000 Fälle | wesentlich | Ja |
| Krankenhaus 50-30.000 Fälle | wesentlich | Nein |
| Krankenhaus < 50 MA | Außerhalb NIS2 (rein) | Nein |
| Niedergelassene Ärzte > 50 MA | wesentlich | Nein |
| Rehakliniken > 50 MA | wesentlich | Nein |
2. Pflichten nach § 30 BSIG-NIS2
- Risikomanagement-Konzept (B3S Gesundheit).
- Vorfallsbewältigung (CSIRT-Anschluss).
- Business Continuity (BCMS).
- Lieferkettensicherheit.
- Personalschulung.
- MFA für Verwaltungszugänge.
3. Cyberangriffe auf Krankenhäuser
- Lukaskrankenhaus Neuss (2016): wegweisender Ransomware-Fall.
- Universitätsklinikum Düsseldorf (2020): Patiententod durch IT-Ausfall.
- Universitätsklinikum Heidelberg (2021): wochenlanger Ausfall.
- Klinikum Soest (2024): Datenabfluss > 100.000 Patienten.
4. ePA-Anbindung
- Telematik-Infrastruktur (TI) der gematik.
- Zertifizierte Komponenten (KIM, eMP).
- Patient kontrolliert Zugriff.
- HBA (Heilberufsausweis) für Authentisierung.
5. KHZG-Förderung
Krankenhauszukunftsgesetz (2020) mit 4,3 Mrd. € Fördermittel — 15% Mindestquote für IT-Sicherheit:
- SIEM, EDR, Backup, BCM.
- Pentest-Pflicht.
- KHZG-Förderpaket 10: ausschließlich IT-Sicherheit.
6. B3S Gesundheit
Branchenspezifischer Sicherheitsstandard (DKG, BSI-anerkannt):
- Konkrete Maßnahmenpakete.
- Audit-fähig.
- Mindestens 2-jährliche Prüfung.
- Pflicht ab KRITIS-Schwelle.
7. Meldepflichten
- 24h Frühwarnmeldung BSI.
- 72h Vollmeldung.
- 1 Monat Abschlussbericht.
- DSGVO Art. 33: 72h-Meldung bei Patientendaten-Verstoß.
- Doppelmeldung BSI + DSGVO-Aufsicht häufig erforderlich.
Fristen, Inhalte und Meldewege im Detail erläutert unser Leitfaden zur 24-Stunden-Meldepflicht an das BSI.
8. Spezifische Risiken
- Medizingeräte (MDR) oft veraltete Software.
- Vendor-Abhängigkeit (KIS-Systeme).
- Personalschulung in 24/7-Betrieb.
- Patienten-WLAN als Angriffsvektor.
- Insider-Threats.
9. Konkrete Maßnahmen
- Microsegmentierung Medizingerätenetz.
- EDR auf allen Endpunkten.
- Backup mit Air-Gap (Ransomware-Schutz).
- BCM mit Notfall-Papierprozessen.
- Mitarbeiter-Phishing-Training.
- MFA für alle Remote-Zugänge.
10. Vendor-Management
- Vertragsklauseln zu Sicherheit.
- Sicherheits-Bewertung pre-Beschaffung.
- Patch-SLA dokumentiert.
- Notfallkontakt 24/7.
- Penetrationstest-Berichte abfragen.
11. Tool-Unterstützung
Legiscope verbindet NIS2 + DSGVO + KHZG-Pflichten in einem System für Kliniken.
11. Konkrete Pflichten und Deadlines
| Pflicht | Frist / Schwellenwert | Rechtsgrundlage |
|---|---|---|
| Registrierungspflicht beim BSI | bis 17.4.2025 bzw. 3 Monate nach Identifizierung | § 32 NIS2UmsuCG |
| Erstmeldung Incident | binnen 24 h | § 35 NIS2UmsuCG |
| Zwischenbericht | binnen 72 h | § 35 NIS2UmsuCG |
| Abschlussbericht | binnen 1 Monat | § 35 NIS2UmsuCG |
| Risikomanagement implementiert | sofort wirksam | § 30 NIS2UmsuCG |
| Geschäftsleitungs-Schulung | jährlich | § 38 NIS2UmsuCG |
| Lieferanten-Risikobewertung | jährlich | § 30 NIS2UmsuCG |
| Audit / Nachweis | alle 2 Jahre | § 39 NIS2UmsuCG |
KRITIS-Sektoren mit niedrigeren Schwellenwerten (Energie, Wasser, Gesundheit, Finanz, ITK) sind zusätzlich dem BSI-Gesetz § 8a unterworfen.
12. KRITIS-Schwellenwerte
Nach BSI-KritisV (zuletzt geändert 2025):
- Energie: Stromerzeugung > 420 MW; Gasnetz > 5,2 Mrd. kWh/Jahr.
- Wasser: > 22 Mio. m³/Jahr Trinkwasser oder > 500.000 Einwohner.
- Gesundheit: Krankenhäuser > 30.000 vollstationäre Fälle/Jahr.
- Finanz: Banken > 80 Mrd. € Bilanzsumme oder Zahlungsverkehr.
- ITK: > 100.000 Teilnehmer Telekommunikation; > 25 Mio. Domains DNS.
- Transport: Flughäfen > 20 Mio. Passagiere; Häfen > 100 Mio. t.
Unterhalb der KRITIS-Schwellen kann NIS2 trotzdem greifen, wenn Einrichtung als “wesentlich” oder “wichtig” nach Anhang I/II NIS2-Richtlinie eingestuft ist.
13. Sanktionstiere
| Verstoß | Sanktion wesentliche Einrichtung | Sanktion wichtige Einrichtung |
|---|---|---|
| Risikomanagement | bis 10 Mio. € oder 2 % Konzernumsatz | bis 7 Mio. € oder 1,4 % |
| Meldepflicht | bis 10 Mio. € oder 2 % | bis 7 Mio. € oder 1,4 % |
| Registrierungspflicht | bis 100.000 € | bis 100.000 € |
| Verletzung Audit-Pflicht | bis 5 Mio. € | bis 3 Mio. € |
| Persönliche Haftung Geschäftsleitung | ja (§ 38) | ja |
Zusätzlich kann das BSI Anordnungen erlassen, Tätigkeitsverbote aussprechen und Zertifizierungen widerrufen.
14. BSI-Leitfäden und BaFin-Guidance
Relevante Dokumente:
- BSI Orientierungshilfe zur Umsetzung NIS2 (Stand 2025).
- BSI IT-Grundschutz-Kompendium, Edition 2024.
- BSI Cyber-Sicherheits-Check für Geschäftsleitung.
- BSI Handlungsempfehlungen für die Lieferkette (Supply Chain Security).
- BaFin Merkblatt zu DORA für Finanzinstitute.
- BaFin BAIT/VAIT/KAIT (sektorale Aufsichtsanforderungen).
- ENISA Guidelines on Cybersecurity Risk Management (EU-Ebene).
Wer ISO 27001 oder BSI-Grundschutz bereits implementiert hat, kann diese als Nachweis verwenden.
15. Integration mit bestehenden Standards
NIS2-Umsetzung ist effizienter, wenn vorhandene Standards integriert werden:
- ISO 27001:2022 → ca. 80 % NIS2-Abdeckung.
- BSI IT-Grundschutz Standard-Absicherung → ca. 85 %.
- ISO 22301 (BCM) → ergänzt Resilienz-Anforderungen.
- ISO 27701 (PIMS) → Schnittstelle zu DSGVO.
- TISAX → für Automotive-Lieferanten.
Mapping-Tabellen reduzieren Dokumentations-Aufwand erheblich. Audit-Kombination ISO 27001 + NIS2-Nachweis ist Standardpraxis.
16. Supply-Chain-Implikationen
NIS2 fordert in § 30 explizit Lieferketten-Risikomanagement. Praktische Umsetzung:
- Lieferanteninventar mit Kritikalitäts-Einstufung (A/B/C-Klassen).
- Vertragsklauseln zu Cybersecurity-Mindestanforderungen.
- Audit-Recht bei kritischen Lieferanten.
- Notfall-Übungen mit Schlüssel-Lieferanten.
- Backup-Lieferanten für KRITIS-Funktionen.
- Pflicht zur Meldung von Vorfällen beim Lieferanten innerhalb von 24-72 h.
- Sub-Lieferanten-Transparenz (n-tier visibility).
Kleine Zulieferer geraten dadurch unter indirekten NIS2-Druck — viele KMU werden in 2026 zertifizierungspflichtig durch Kundenverträge.
17. Sektor-spezifische Beispiele
| Sektor | Typischer Anwendungsfall NIS2 | Pflichtige Akteure |
|---|---|---|
| Energie | Smart-Meter-Gateway, Leitstellen | Stadtwerke, Übertragungsnetzbetreiber |
| Wasser | SCADA-Steuerungen, Aufbereitung | Wasserwerke, Abwasser |
| Gesundheit | KIS, PACS, Telematik-Infrastruktur | Krankenhäuser, Praxisnetze |
| Finanz | Core-Banking, Online-Banking | Banken, Zahlungsdienstleister |
| ITK | DNS, Cloud, Rechenzentren | Hoster, Telco, ISPs |
| Transport | Logistik-IT, Buchungssysteme | Bahn, Häfen, Flughäfen |
| Verwaltung | Bürgerportale, ELSTER | Bund, Länder, Kommunen |
| Lebensmittel | Lieferketten-IT | Großhandel, Produktion |
Pflichtige Akteure sollten zusätzlich DSGVO Art. 32 Sicherheit und Datenpannenmeldung (Datenpanne melden) kohärent integrieren.
Fazit
Krankenhäuser sind Cyber-Hochrisikobereich: kritische Versorgung, sensible Daten, große Angriffsfläche. NIS2 zwingt zur Konsolidierung. Mit KHZG-Förderung, B3S Gesundheit und konsequenter Mitarbeiter-Sensibilisierung ist Verbesserung machbar — aber Personenhaftung Klinikleitung erhöht Druck.
Amtliche Quellen
- Richtlinie (EU) 2022/2555 (NIS-2) — Volltext auf EUR-Lex
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- ENISA — European Union Agency for Cybersecurity
FAQ
Welche Krankenhäuser fallen unter NIS2?
Ab 50 MA / 10 Mio. € Umsatz. KRITIS zusätzlich ab 30.000 stationären Fällen/Jahr.
Was ist B3S Gesundheit?
Branchenspezifischer Sicherheitsstandard, von DKG entwickelt und vom BSI anerkannt. Auditfähig.
Was finanziert KHZG für IT?
15% Mindestquote der 4,3 Mrd. € Fördermittel für IT-Sicherheit. KHZG-Paket 10 ausschließlich Cybersecurity.
Wie war der UKD-Fall 2020?
Universitätsklinikum Düsseldorf wurde durch Ransomware lahmgelegt; eine Patientin verstarb nach Umleitung in anderes Krankenhaus.
Haftet die Klinikleitung persönlich?
Ja, NIS2UmsuCG sieht persönliche Geschäftsführer-Haftung explizit vor.
Welche Sanktionen drohen Geschäftsführern persönlich?
§ 38 NIS2UmsuCG sieht persönliche Haftung der Geschäftsleitung vor — bei Verletzung der Sorgfaltspflichten haftet die Person mit ihrem Privatvermögen für Schäden des Unternehmens. Zusätzlich: Tätigkeitsverbote durch das BSI (§ 39 NIS2UmsuCG). D&O-Versicherungen decken NIS2-Haftung nur eingeschränkt — explizite Cyber-Klausel erforderlich. Pflichtschulung jährlich (§ 38) ist nicht delegierbar.
Wie unterscheiden sich wesentliche und wichtige Einrichtungen?
Wesentliche Einrichtungen (Anhang I NIS2): KRITIS-Sektoren mit hoher Kritikalität — strengere Aufsicht, höhere Sanktionen (bis 10 Mio. € / 2 % Konzernumsatz). Wichtige Einrichtungen (Anhang II): mittlere Kritikalität — reaktive Aufsicht, Sanktionen bis 7 Mio. € / 1,4 %. Größenschwelle: > 250 Mitarbeitende oder > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme. Einstufung obliegt dem BSI nach §§ 28-29 NIS2UmsuCG.
Wie integriere ich NIS2 mit DORA und DSGVO?
DORA (EU-VO 2022/2554) gilt für Finanzsektor und ist lex specialis gegenüber NIS2 — Finanzinstitute brauchen DORA-Compliance, dürfen aber NIS2-Maßnahmen anrechnen. DSGVO Art. 32 fordert TOM, NIS2 fordert Cyber-Sicherheit insgesamt — Überschneidung > 60 %. Beste Praxis: ein integriertes ISMS nach ISO 27001 / BSI-Grundschutz, das alle drei Regelwerke abdeckt.
Welche Meldewege bestehen beim BSI?
Online-Portal “Meldungen” auf bsi.bund.de mit BSI-MeldeAPI. Pflicht: Erstmeldung 24 h (kurze Faktenmeldung), Zwischenbericht 72 h (Ursachen, Auswirkungen), Abschlussbericht 1 Monat (Lessons Learned, Maßnahmen). Bei gleichzeitiger Datenpanne (Datenpanne melden): zusätzlich Meldung an Datenschutzbehörde. Doppelmeldungen sind häufig — getrennte Workflows einrichten.
Wie hoch sind die Implementierungskosten?
Mittleres Unternehmen (250-500 MA): Erstimplementierung 200.000-500.000 €, jährlich 80.000-200.000 €. Großbetrieb (> 5.000 MA): 1-5 Mio. € Erstaufwand, 500.000-2 Mio. € jährlich. Wer ISO 27001 hat, spart 60-70 %. Investitionen amortisieren sich typisch nach 2-3 Jahren über reduzierte Vorfallskosten und niedrigere Versicherungsprämien (10-20 % Rabatt).
Siehe auch: Für kleinere Einrichtungen und Praxen lohnt zusätzlich der Blick auf DSGVO-Software für Arztpraxen.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial