NIS 2.0 im Krankenhaus

NIS 2.0 im Krankenhaus

ID: 2226017

Pflichten und Haftungsrisiken für Geschäftsführung und Vorstand



(PresseBox) -  

Cybersecurity ist keine IT-Frage mehr – sondern Führungsverantwortung

Die Digitalisierung hat die medizinische Versorgung grundlegend verändert. In den Krankenhäusern und Klinikgruppen sind klinische Kernprozesse, Medizintechnik, Verwaltung und externe Dienstleister heute eng miteinander vernetzt. Gleichzeitig verzeichnet das Gesundheitswesen seit Jahren eine stark steigende Zahl schwerer Cyberangriffe. Krankenhäuser gehören dabei mittlerweile zu den bevorzugten Zielen: hohe Abhängigkeit von IT-Systemen, sensibelste Daten und geringer Spielraum für Ausfälle.

Mit der europäischen NIS-2-Richtlinie reagiert der Gesetzgeber auf diese Entwicklung. Ziel ist es, die Resilienz kritischer Einrichtungen deutlich zu erhöhen. Für Krankenhäuser bedeutet das einen Paradigmenwechsel: Informationssicherheit wird zur originären Aufgabe der Unternehmensleitung. Geschäftsführung und Vorstand tragen künftig nicht nur organisatorische, sondern auch persönliche Verantwortung.

Krankenhäuser als „wesentliche Einrichtungen“ im Sinne von NIS 2.0

Nach NIS 2.0 zählen Krankenhäuser und Klinikgruppen eindeutig zu den sogenannten wesentlichen Einrichtungen („Essential Entities“). Dies gilt unabhängig von der Trägerschaft – also für öffentliche, freigemeinnützige und private Anbieter gleichermaßen. Auch größere Klinikverbünde fallen uneingeschränkt unter den Anwendungsbereich.

Die nationale Umsetzung erfolgt in Deutschland über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Die einzelnen Pflichten haben sich mit dem Inkrafttreten der nationalen Regelung am 6. Dezember 2025 konkretisiert. Die Grundrichtung ist klar:  Krankenhäuser müssen ein angemessenes, wirksames und überprüfbares Sicherheitsniveau etablieren.

Dabei geht es nicht um die Einhaltung technischer Detailvorgaben, sondern um einen systematischen, risikobasierten Ansatz, der von der Leitung aktiv gesteuert wird.



Neue Pflichten der Geschäftsführung und des Vorstands

NIS 2.0 verschiebt die Verantwortung bewusst weg von der reinen Fachebene hin zur Unternehmensleitung. Geschäftsführung und Vorstand können sich nicht mehr darauf berufen, IT-Sicherheit delegiert zu haben. Die zentralen Pflichten lassen sich in vier Bereiche gliedern:

1. Governance und Organisation

Die Leitung ist verpflichtet, eine klare Organisationsstruktur für Informationssicherheit zu schaffen. Dazu gehören:

 

eindeutig definierte Zuständigkeiten,

ausreichende personelle und finanzielle Ressourcen,

eine Einbindung der Informationssicherheit in bestehende Führungs- und Kontrollstrukturen.

Ein Informationssicherheitsmanagementsystem (ISMS) ist dabei ein bewährtes Mittel, aber kein Selbstzweck. Entscheidend ist die tatsächliche Wirksamkeit.

2. Risikomanagement

Krankenhäuser müssen ihre cyberbezogenen Risiken regelmäßig identifizieren und bewerten. Dies betrifft nicht nur klassische IT-Systeme, sondern insbesondere:

 

medizinische Kernprozesse,

vernetzte Medizintechnik,

Abhängigkeiten von Dienstleistern und Softwareanbietern.

Die Unternehmensleitung trägt die Verantwortung, dass diese Risiken bekannt sind und in Entscheidungen einfließen.

3. Prävention und Resilienz

NIS 2.0 fordert Maßnahmen zur Vermeidung und Bewältigung von Sicherheitsvorfällen. Dazu zählen unter anderem:

Notfall- und Wiederanlaufkonzepte,

Backup- und Wiederherstellungsstrategien,

Regelungen für den Umgang mit Sicherheitsvorfällen.

Für Krankenhäuser ist dabei besonders relevant, dass auch bei IT-Ausfällen eine sichere Patientenversorgung gewährleistet bleibt.

4. Überwachung, Kontrolle und Dokumentation

Geschäftsführung und Vorstand müssen sich regelmäßig über den Stand der Informationssicherheit informieren lassen. Dazu gehören:

 

strukturierte Berichte,

Kennzahlen zur Wirksamkeit von Maßnahmen,

nachvollziehbare Dokumentation.

Diese Dokumentation ist nicht nur operativ wichtig, sondern auch zentral zur Absicherung gegenüber Aufsichtsbehörden und im Haftungsfall.

Persönliche Haftungsrisiken: Was wirklich relevant ist

Ein wesentlicher Unterschied zu früheren Regelwerken liegt in der klaren Haftungszuordnung. NIS 2.0 sieht bei Verstößen empfindliche Bußgelder vor und betont ausdrücklich die Verantwortung der Leitungsebene.

Wichtig ist jedoch eine realistische Einordnung:

Nicht jeder Cyberangriff führt automatisch zu einer persönlichen Haftung. Kritisch wird es dann, wenn:

 

bekannte Risiken ignoriert werden,

keine angemessene Sicherheitsorganisation existiert,

Aufsichts- und Kontrollpflichten verletzt werden.

Haftungsrelevant ist weniger der Vorfall selbst als vielmehr das Organisationsverschulden. Wer Risiken kennt, aber keine Maßnahmen einleitet oder deren Umsetzung nicht kontrolliert, setzt sich erheblichen rechtlichen und wirtschaftlichen Risiken aus. Hinzu kommen potenzielle Reputationsschäden und operative Beeinträchtigungen der Versorgung.

Typische Schwachstellen im Krankenhausumfeld

In vielen Krankenhäusern zeigen sich ähnliche Muster:

 

Informationssicherheit wird als reines IT-Thema betrachtet

Zuständigkeiten zwischen IT, Medizintechnik, Datenschutz und Management sind unklar

Mangelnde Projektleitungs-Ressourcen für komplexe, zeitgleiche KHZG-Projekte

Historisch gewachsene Systemlandschaften mit hohem Modernisierungsbedarf

Fehlende Sensibilisierung der Führungsebene für Cyberrisiken

Diese Schwächen sind meist organisatorischer Natur – und damit eindeutig Aufgabe der Unternehmensleitung.

Was Geschäftsführung und Vorstand jetzt konkret tun sollten

Für einen strukturierten Einstieg empfiehlt sich eine klare, pragmatische Vorgehensweise:

Betroffenheit und Pflichten klären

Informationssicherheit als wesentliches Thema einordnen und die entsprechenden Anforderungen ableiten.

Verantwortlichkeiten festlegen

Klare Zuständigkeiten auf Leitungsebene und in der Organisation definieren.

Reifegrad bewerten

Objektive Bestandsaufnahme der aktuellen Sicherheitslage durchführen.

Maßnahmen priorisieren

Fokus auf kritische Risiken und Versorgungsrelevanz legen, nicht auf technische Details.

Transparenz schaffen

Regelmäßiges Reporting und belastbare Dokumentation etablieren.

Dieser Ansatz ermöglicht es der Leitung, ihrer Verantwortung nachzukommen, ohne sich im operativen Detail zu verlieren.

Fazit: NIS 2.0 als Bestandteil moderner Krankenhausführung

NIS 2.0 macht deutlich: Informationssicherheit ist kein Projekt neben vielen anderen, sondern ein fester Bestandteil verantwortungsvoller Unternehmensführung im Krankenhaus. Geschäftsführung und Vorstand sind gefordert, Risiken aktiv zu steuern, geeignete Strukturen zu schaffen und Entscheidungen nachvollziehbar zu dokumentieren.

Wer frühzeitig handelt, reduziert nicht nur rechtliche und wirtschaftliche Risiken, sondern stärkt die Resilienz der Organisation – und damit die Sicherheit der Patientenversorgung. NIS 2.0 ist damit weniger eine Bedrohung als eine Chance, Führung und Sicherheit nachhaltig zu professionalisieren.

Die Experten der Adiccon helfen Ihnen beim Einstieg in die Thematik. Nehmen Sie Kontakt zu uns auf.

walter.schaefer@adiccon.de

Der Name Adiccon steht für "Advanced IT & Communications Consulting". Adiccon - seit 2005 erfolgreich am Markt - bietet Hersteller- und Lösungs-unabhängige Beratungs- und Dienstleistungen beim Einsatz der Informations- und Telekommunikationstechnologie für Großanwender, Mittelstand sowie für das Gesundheitswesen.

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:

Der Name Adiccon steht für "Advanced IT & Communications Consulting". Adiccon - seit 2005 erfolgreich am Markt - bietet Hersteller- und Lösungs-unabhängige Beratungs- und Dienstleistungen beim Einsatz der Informations- und Telekommunikationstechnologie für Großanwender, Mittelstand sowie für das Gesundheitswesen.



drucken  als PDF  Ein neues Phantom in der Telefonie? Zero Trust ab 2026: 3 Praxisansätze für Cyberabwehr zwischen KI und Compliance
Bereitgestellt von Benutzer: PresseBox
Datum: 22.01.2026 - 09:40 Uhr
Sprache: Deutsch
News-ID 2226017
Anzahl Zeichen: 8491

Kontakt-Informationen:
Ansprechpartner: Walter Schäfer
Stadt:

Darmstadt


Telefon: +49 (6151) 500777-88

Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 181 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"NIS 2.0 im Krankenhaus"
steht unter der journalistisch-redaktionellen Verantwortung von

Adiccon GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Der ISB im Krankenhaus 2026: Rolle, Verantwortung und neue Anforderungen ...
Im Jahr 2026 steht die Informationssicherheit im Krankenhaus stärker denn je im Fokus der Unternehmensverantwortung. Krankenhäuser werden bereits seit 2019 als kritische Infrastrukturen (KRITIS) klassifiziert, wenn sie mehr als 30.000 Patienten pro Jahr vollstationär behandeln, und müssen eine V

KI im Krankenhaus: Bedeutung, Nutzen und Risiken aus Sicht der IT-Leitung ...
Künstliche Intelligenz gewinnt im Krankenhausumfeld spürbar an Relevanz. Immer mehr Fachabteilungen prüfen KI-gestützte Anwendungen, etwa für Diagnostik, Bildanalyse oder die Steuerung klinischer Prozesse. Dadurch steigt der Handlungsdruck auf die IT-Abteilung. Sie bewertet Anfragen, prüft die

Der KI-Beauftragte im Krankenhaus: Effizienz und Sicherheit durch gezielte Expertise ...
Der Einsatz von künstlicher Intelligenz (KI) in Krankenhäusern nimmt stetig zu. Medizinisches und pflegendes Personal sehen in dieser Technologie eine wertvolle Unterstützung der täglichen Arbeit und zur Optimierung der Patientenversorgung. Sie sind oft die treibenden Kräfte hinter der aktiven


Weitere Mitteilungen von Adiccon GmbH


Zero Trust ab 2026: 3 Praxisansätze für Cyberabwehr zwischen KI und Compliance ...
Künstliche Intelligenz, Quantencomputing und neue regulatorische Vorgaben wie NIS2 und DORA verändern Zero-Trust-Strategien ab 2026 in IT-, Cloud- und OT-Umgebungen umfassend. Der erste Teil dieses Zweiteilers hat gezeigt, weshalb Zero Trust heute betrieblich notwendig ist und wo klassische Ansät

Ein neues Phantom in der Telefonie? ...
Manchmal ist es nicht die Innovation, die einen wach macht, sondern die Konsequenz. Ich bin über ARAS AI gestolpert, weil dieser Name plötzlich in Clips, Kommentaren und Influencer-Posts auftauchte - begleitet von einer Behauptung, die entweder ein echter Durchbruch ist oder ein Lehrbuchbeispiel d

BSI-Sicherheitslagebericht 2025: warum ganzheitliches Exposure Management jetzt unverzichtbar ist ...
Kommentar von Thomas Sonne, Channel Sales Director Der BSI-Sicherheitslagebericht 2025 wurde auch in diesem Jahr wieder mit Spannung erwartet. Er zeigt deutlich, dass die digitale Angriffsfläche von Unternehmen schneller wächst, als Schutzmaßnahmen umgesetzt werden. Besonders auffällig: Imme

WORTMANN AG versendet rund 3 Millionen Business-Flyer ...
Die WORTMANN AG startet mit dem ersten BUSINESS-Flyer ins 40-jährige Jubiläumsjahr und wirbt erneut für ihre Marke TERRA sowie "IT Made in Germany". Ende Februar erscheint die neue Ausgabe, die gezielt Business-Kunden anspricht und Fachhändlern sowie Systemhäusern kostenfrei zur VerfÃ


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z