Cybersecurity

NIS2 Krankenhäuser: Gesundheit Deutschland 2026

NIS2 Krankenhäuser 2026: Pflichten, KRITIS-Schwellen, ePA-Sicherheit und typische Cyberangriffe im Detail.

Auch verfügbar in:Español

In einem Satz. Krankenhäuser und Gesundheitsdienstleister sind unter NIS2 als wesentliche Einrichtungen klassifiziert (Anlage 1 BSIG-NIS2UmsuCG, Sektor Gesundheit) — mit besonders strengen Pflichten wegen kritischer Versorgungsfunktion, hochsensiblen Daten und nachgewiesener Bedrohungslage (über 50 Ransomware-Angriffe auf deutsche Krankenhäuser zwischen 2019 und 2024).

Krankenhäuser kombinieren NIS2 + DSGVO + KHZG-IT-Pflichten + DiGAV. Siehe ergänzend NIS2 Deutschland, DSGVO Art. 9 sowie unseren Leitfaden zur DSGVO in Krankenhäusern und Pflegeeinrichtungen (§ 22 BDSG).

Wichtige Punkte

  • Wesentliche Einrichtung ab 50 MA / 10 Mio. € Umsatz.
  • KRITIS-Krankenhaus ab 30.000 stationäre Fälle/Jahr.
  • ePA, eRezept, eAU Anbindung über TI.
  • B3S Gesundheit (BSI-anerkannt).
  • KHZG-Förderung für IT-Sicherheit.

1. Geltungsbereich

Einrichtung NIS2-Status KRITIS
Krankenhaus > 30.000 Fälle wesentlich Ja
Krankenhaus 50-30.000 Fälle wesentlich Nein
Krankenhaus < 50 MA Außerhalb NIS2 (rein) Nein
Niedergelassene Ärzte > 50 MA wesentlich Nein
Rehakliniken > 50 MA wesentlich Nein

2. Pflichten nach § 30 BSIG-NIS2

  • Risikomanagement-Konzept (B3S Gesundheit).
  • Vorfallsbewältigung (CSIRT-Anschluss).
  • Business Continuity (BCMS).
  • Lieferkettensicherheit.
  • Personalschulung.
  • MFA für Verwaltungszugänge.

3. Cyberangriffe auf Krankenhäuser

  • Lukaskrankenhaus Neuss (2016): wegweisender Ransomware-Fall.
  • Universitätsklinikum Düsseldorf (2020): Patiententod durch IT-Ausfall.
  • Universitätsklinikum Heidelberg (2021): wochenlanger Ausfall.
  • Klinikum Soest (2024): Datenabfluss > 100.000 Patienten.

4. ePA-Anbindung

  • Telematik-Infrastruktur (TI) der gematik.
  • Zertifizierte Komponenten (KIM, eMP).
  • Patient kontrolliert Zugriff.
  • HBA (Heilberufsausweis) für Authentisierung.

5. KHZG-Förderung

Krankenhauszukunftsgesetz (2020) mit 4,3 Mrd. € Fördermittel — 15% Mindestquote für IT-Sicherheit:

  • SIEM, EDR, Backup, BCM.
  • Pentest-Pflicht.
  • KHZG-Förderpaket 10: ausschließlich IT-Sicherheit.

6. B3S Gesundheit

Branchenspezifischer Sicherheitsstandard (DKG, BSI-anerkannt):

  • Konkrete Maßnahmenpakete.
  • Audit-fähig.
  • Mindestens 2-jährliche Prüfung.
  • Pflicht ab KRITIS-Schwelle.

7. Meldepflichten

  • 24h Frühwarnmeldung BSI.
  • 72h Vollmeldung.
  • 1 Monat Abschlussbericht.
  • DSGVO Art. 33: 72h-Meldung bei Patientendaten-Verstoß.
  • Doppelmeldung BSI + DSGVO-Aufsicht häufig erforderlich.

Fristen, Inhalte und Meldewege im Detail erläutert unser Leitfaden zur 24-Stunden-Meldepflicht an das BSI.

8. Spezifische Risiken

  • Medizingeräte (MDR) oft veraltete Software.
  • Vendor-Abhängigkeit (KIS-Systeme).
  • Personalschulung in 24/7-Betrieb.
  • Patienten-WLAN als Angriffsvektor.
  • Insider-Threats.

9. Konkrete Maßnahmen

  • Microsegmentierung Medizingerätenetz.
  • EDR auf allen Endpunkten.
  • Backup mit Air-Gap (Ransomware-Schutz).
  • BCM mit Notfall-Papierprozessen.
  • Mitarbeiter-Phishing-Training.
  • MFA für alle Remote-Zugänge.

10. Vendor-Management

  • Vertragsklauseln zu Sicherheit.
  • Sicherheits-Bewertung pre-Beschaffung.
  • Patch-SLA dokumentiert.
  • Notfallkontakt 24/7.
  • Penetrationstest-Berichte abfragen.

11. Tool-Unterstützung

Legiscope verbindet NIS2 + DSGVO + KHZG-Pflichten in einem System für Kliniken.

11. Konkrete Pflichten und Deadlines

Pflicht Frist / Schwellenwert Rechtsgrundlage
Registrierungspflicht beim BSI bis 17.4.2025 bzw. 3 Monate nach Identifizierung § 32 NIS2UmsuCG
Erstmeldung Incident binnen 24 h § 35 NIS2UmsuCG
Zwischenbericht binnen 72 h § 35 NIS2UmsuCG
Abschlussbericht binnen 1 Monat § 35 NIS2UmsuCG
Risikomanagement implementiert sofort wirksam § 30 NIS2UmsuCG
Geschäftsleitungs-Schulung jährlich § 38 NIS2UmsuCG
Lieferanten-Risikobewertung jährlich § 30 NIS2UmsuCG
Audit / Nachweis alle 2 Jahre § 39 NIS2UmsuCG

KRITIS-Sektoren mit niedrigeren Schwellenwerten (Energie, Wasser, Gesundheit, Finanz, ITK) sind zusätzlich dem BSI-Gesetz § 8a unterworfen.

12. KRITIS-Schwellenwerte

Nach BSI-KritisV (zuletzt geändert 2025):

  • Energie: Stromerzeugung > 420 MW; Gasnetz > 5,2 Mrd. kWh/Jahr.
  • Wasser: > 22 Mio. m³/Jahr Trinkwasser oder > 500.000 Einwohner.
  • Gesundheit: Krankenhäuser > 30.000 vollstationäre Fälle/Jahr.
  • Finanz: Banken > 80 Mrd. € Bilanzsumme oder Zahlungsverkehr.
  • ITK: > 100.000 Teilnehmer Telekommunikation; > 25 Mio. Domains DNS.
  • Transport: Flughäfen > 20 Mio. Passagiere; Häfen > 100 Mio. t.

Unterhalb der KRITIS-Schwellen kann NIS2 trotzdem greifen, wenn Einrichtung als “wesentlich” oder “wichtig” nach Anhang I/II NIS2-Richtlinie eingestuft ist.

13. Sanktionstiere

Verstoß Sanktion wesentliche Einrichtung Sanktion wichtige Einrichtung
Risikomanagement bis 10 Mio. € oder 2 % Konzernumsatz bis 7 Mio. € oder 1,4 %
Meldepflicht bis 10 Mio. € oder 2 % bis 7 Mio. € oder 1,4 %
Registrierungspflicht bis 100.000 € bis 100.000 €
Verletzung Audit-Pflicht bis 5 Mio. € bis 3 Mio. €
Persönliche Haftung Geschäftsleitung ja (§ 38) ja

Zusätzlich kann das BSI Anordnungen erlassen, Tätigkeitsverbote aussprechen und Zertifizierungen widerrufen.

14. BSI-Leitfäden und BaFin-Guidance

Relevante Dokumente:

  • BSI Orientierungshilfe zur Umsetzung NIS2 (Stand 2025).
  • BSI IT-Grundschutz-Kompendium, Edition 2024.
  • BSI Cyber-Sicherheits-Check für Geschäftsleitung.
  • BSI Handlungsempfehlungen für die Lieferkette (Supply Chain Security).
  • BaFin Merkblatt zu DORA für Finanzinstitute.
  • BaFin BAIT/VAIT/KAIT (sektorale Aufsichtsanforderungen).
  • ENISA Guidelines on Cybersecurity Risk Management (EU-Ebene).

Wer ISO 27001 oder BSI-Grundschutz bereits implementiert hat, kann diese als Nachweis verwenden.

15. Integration mit bestehenden Standards

NIS2-Umsetzung ist effizienter, wenn vorhandene Standards integriert werden:

  • ISO 27001:2022 → ca. 80 % NIS2-Abdeckung.
  • BSI IT-Grundschutz Standard-Absicherung → ca. 85 %.
  • ISO 22301 (BCM) → ergänzt Resilienz-Anforderungen.
  • ISO 27701 (PIMS) → Schnittstelle zu DSGVO.
  • TISAX → für Automotive-Lieferanten.

Mapping-Tabellen reduzieren Dokumentations-Aufwand erheblich. Audit-Kombination ISO 27001 + NIS2-Nachweis ist Standardpraxis.

16. Supply-Chain-Implikationen

NIS2 fordert in § 30 explizit Lieferketten-Risikomanagement. Praktische Umsetzung:

  • Lieferanteninventar mit Kritikalitäts-Einstufung (A/B/C-Klassen).
  • Vertragsklauseln zu Cybersecurity-Mindestanforderungen.
  • Audit-Recht bei kritischen Lieferanten.
  • Notfall-Übungen mit Schlüssel-Lieferanten.
  • Backup-Lieferanten für KRITIS-Funktionen.
  • Pflicht zur Meldung von Vorfällen beim Lieferanten innerhalb von 24-72 h.
  • Sub-Lieferanten-Transparenz (n-tier visibility).

Kleine Zulieferer geraten dadurch unter indirekten NIS2-Druck — viele KMU werden in 2026 zertifizierungspflichtig durch Kundenverträge.

17. Sektor-spezifische Beispiele

Sektor Typischer Anwendungsfall NIS2 Pflichtige Akteure
Energie Smart-Meter-Gateway, Leitstellen Stadtwerke, Übertragungsnetzbetreiber
Wasser SCADA-Steuerungen, Aufbereitung Wasserwerke, Abwasser
Gesundheit KIS, PACS, Telematik-Infrastruktur Krankenhäuser, Praxisnetze
Finanz Core-Banking, Online-Banking Banken, Zahlungsdienstleister
ITK DNS, Cloud, Rechenzentren Hoster, Telco, ISPs
Transport Logistik-IT, Buchungssysteme Bahn, Häfen, Flughäfen
Verwaltung Bürgerportale, ELSTER Bund, Länder, Kommunen
Lebensmittel Lieferketten-IT Großhandel, Produktion

Pflichtige Akteure sollten zusätzlich DSGVO Art. 32 Sicherheit und Datenpannenmeldung (Datenpanne melden) kohärent integrieren.

Fazit

Krankenhäuser sind Cyber-Hochrisikobereich: kritische Versorgung, sensible Daten, große Angriffsfläche. NIS2 zwingt zur Konsolidierung. Mit KHZG-Förderung, B3S Gesundheit und konsequenter Mitarbeiter-Sensibilisierung ist Verbesserung machbar — aber Personenhaftung Klinikleitung erhöht Druck.

Amtliche Quellen

FAQ

Welche Krankenhäuser fallen unter NIS2?

Ab 50 MA / 10 Mio. € Umsatz. KRITIS zusätzlich ab 30.000 stationären Fällen/Jahr.

Was ist B3S Gesundheit?

Branchenspezifischer Sicherheitsstandard, von DKG entwickelt und vom BSI anerkannt. Auditfähig.

Was finanziert KHZG für IT?

15% Mindestquote der 4,3 Mrd. € Fördermittel für IT-Sicherheit. KHZG-Paket 10 ausschließlich Cybersecurity.

Wie war der UKD-Fall 2020?

Universitätsklinikum Düsseldorf wurde durch Ransomware lahmgelegt; eine Patientin verstarb nach Umleitung in anderes Krankenhaus.

Haftet die Klinikleitung persönlich?

Ja, NIS2UmsuCG sieht persönliche Geschäftsführer-Haftung explizit vor.

Welche Sanktionen drohen Geschäftsführern persönlich?

§ 38 NIS2UmsuCG sieht persönliche Haftung der Geschäftsleitung vor — bei Verletzung der Sorgfaltspflichten haftet die Person mit ihrem Privatvermögen für Schäden des Unternehmens. Zusätzlich: Tätigkeitsverbote durch das BSI (§ 39 NIS2UmsuCG). D&O-Versicherungen decken NIS2-Haftung nur eingeschränkt — explizite Cyber-Klausel erforderlich. Pflichtschulung jährlich (§ 38) ist nicht delegierbar.

Wie unterscheiden sich wesentliche und wichtige Einrichtungen?

Wesentliche Einrichtungen (Anhang I NIS2): KRITIS-Sektoren mit hoher Kritikalität — strengere Aufsicht, höhere Sanktionen (bis 10 Mio. € / 2 % Konzernumsatz). Wichtige Einrichtungen (Anhang II): mittlere Kritikalität — reaktive Aufsicht, Sanktionen bis 7 Mio. € / 1,4 %. Größenschwelle: > 250 Mitarbeitende oder > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme. Einstufung obliegt dem BSI nach §§ 28-29 NIS2UmsuCG.

Wie integriere ich NIS2 mit DORA und DSGVO?

DORA (EU-VO 2022/2554) gilt für Finanzsektor und ist lex specialis gegenüber NIS2 — Finanzinstitute brauchen DORA-Compliance, dürfen aber NIS2-Maßnahmen anrechnen. DSGVO Art. 32 fordert TOM, NIS2 fordert Cyber-Sicherheit insgesamt — Überschneidung > 60 %. Beste Praxis: ein integriertes ISMS nach ISO 27001 / BSI-Grundschutz, das alle drei Regelwerke abdeckt.

Welche Meldewege bestehen beim BSI?

Online-Portal “Meldungen” auf bsi.bund.de mit BSI-MeldeAPI. Pflicht: Erstmeldung 24 h (kurze Faktenmeldung), Zwischenbericht 72 h (Ursachen, Auswirkungen), Abschlussbericht 1 Monat (Lessons Learned, Maßnahmen). Bei gleichzeitiger Datenpanne (Datenpanne melden): zusätzlich Meldung an Datenschutzbehörde. Doppelmeldungen sind häufig — getrennte Workflows einrichten.

Wie hoch sind die Implementierungskosten?

Mittleres Unternehmen (250-500 MA): Erstimplementierung 200.000-500.000 €, jährlich 80.000-200.000 €. Großbetrieb (> 5.000 MA): 1-5 Mio. € Erstaufwand, 500.000-2 Mio. € jährlich. Wer ISO 27001 hat, spart 60-70 %. Investitionen amortisieren sich typisch nach 2-3 Jahren über reduzierte Vorfallskosten und niedrigere Versicherungsprämien (10-20 % Rabatt).

Siehe auch: Für kleinere Einrichtungen und Praxen lohnt zusätzlich der Blick auf DSGVO-Software für Arztpraxen.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →