Comply/CheckScope prüfen

NIS2 · Branchenüberblick

Wie betrifft NIS2 die Gesundheitswesen-Branche?

Krankenhäuser, große Praxen, MVZ und Pflegeheime sind in Anhang I als Sektor mit hoher Kritikalität gelistet. Die Pflichten überschneiden sich mit § 75c SGB V (Krankenhäuser) und der KRITIS-Verordnung — wer betroffen ist, hat oft schon ein ISMS.

NIS2-Check für Gesundheitswesen startenStand: Geprüft gegen NIS2UmsuCG-EntwurfQuelle

Welche Gesundheitswesen-Unternehmen sind NIS2-pflichtig?

Gesundheitswesen ist in Anhang I der NIS2-Richtlinie als Sektor mit hoher Kritikalität gelistet. Wichtige Einrichtungen ab 50 MA oder 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme. Wesentliche Einrichtungen ab 250 MA oder 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme. Krankenhäuser sind zusätzlich nach § 75c SGB V und teilweise KRITIS-Verordnung verpflichtet.

Typische Adressaten

  • Krankenhäuser (öffentlich, frei-gemeinnützig, privat)
  • Medizinische Versorgungszentren (MVZ) ab Schwellen-Größe
  • Pflegeheime und stationäre Pflegeeinrichtungen
  • Diagnostik-Labore (Labormedizin, Pathologie)
  • Reha-Kliniken und Spezial­einrichtungen

Top-Mindestmaßnahmen für Gesundheitswesen

NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die Gesundheitswesen-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.

Maßnahme 1 von 3

Medizingerät- und IoMT-Inventar

Warum

Medizingeräte (IoMT — Internet of Medical Things) sind oft alt, schlecht gepatcht und im Klinik-Netz erreichbar. NIS2 verlangt vollständige Asset-Inventarisierung mit Risiko-Bewertung.

In der Praxis

Passive Netz-Scanner (aktive Scans können Medizingeräte stören) zur Inventarisierung. Segmentierung Medizin-Netz vs. Office. Hersteller-Verträge zu Patch- und EOL-Strategie.

Maßnahme 2 von 3

Patientendaten-Schutz und Backup

Warum

Patientendaten sind besonders schutzbedürftig nach DSGVO Art. 9. Ransomware-Vorfälle in Krankenhäusern führen regelmäßig zu OP-Verschiebungen und Notfall-Routinen.

In der Praxis

Air-gapped Backup von Krankenhaus-Informationssystem (KIS), Radiologie-Archiv (PACS) und Labor-System (LIS). Verschlüsselung at rest. Restore-Tests mit dokumentiertem Ergebnis.

Maßnahme 3 von 3

Lieferketten- und Dienstleister-Management

Warum

Kliniken nutzen viele Dienstleister: KIS-Anbieter, Radiologie-Cloud, Telemedizin-Plattformen, externe Diagnostik. NIS2 verlangt Risiko­bewertung der direkten Zulieferer.

In der Praxis

Auftragsverarbeitungs-Verträge (DSGVO) um NIS2-Sicherheitsanhang ergänzen. Mindeststandards für KIS-Anbieter (B3S-konform). Jährliches Audit der kritischen Dienstleister.

Lieferketten-Pflicht in der Gesundheitswesen

Krankenhaus-IT ist eine vielschichtige Lieferkette: KIS-Hersteller, Medizingerät-Hersteller, Labor-Software, Radiologie-PACS, Apotheken-System, Telemedizin. Ein Vorfall bei einem zentralen Lieferanten propagiert direkt in den Klinikbetrieb.

Typische Lieferanten- und Dienstleister-Beziehungen

  • KIS-Anbieter (z. B. SAP-IS-H, ORBIS, medico): Patch-Verfahren und Eskalation
  • Medizingerät-Hersteller: Schwachstellen-Meldung und EOL-Strategie
  • Radiologie- und Labor-Dienstleister: Datenschutz- und Sicherheits-Anhang
  • Cloud-Anbieter für ePA, eRezept, KIM: BSI-C5-Testat

Erste Einordnung

NIS2-Check mit Sektor-Vorbelegung für Gesundheitswesen

Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu Gesundheitswesen-Profilen passt, und zeigt eine priorisierte erste Roadmap.

NIS2-Check für Gesundheitswesen starten

Häufige Fragen zu NIS2 in der Gesundheitswesen

Reicht § 75c SGB V für Krankenhäuser oder kommt NIS2 obendrauf?

NIS2 kommt obendrauf. § 75c SGB V und B3S decken einen Großteil der NIS2-Mindestmaßnahmen ab, aber NIS2 ergänzt um Lieferketten-Pflichten, 24-Stunden-Meldefrist und Geschäftsleitungs-Haftung. Eine Gap-Analyse zwischen B3S und NIS2 ist sinnvoll.

Sind Arztpraxen unter NIS2 pflichtig?

Einzelpraxen und kleine Gemeinschaftspraxen liegen meist unterhalb der Schwellen (unter 50 MA). MVZ und große Praxis-Netze können die Schwellen reißen und fallen dann unter NIS2. DSGVO und sektorale KV-Anforderungen gelten unabhängig davon.

Was ist mit Pflegeheimen und ambulanten Pflegediensten?

Pflegeheime ab Schwellen-Größe fallen unter NIS2. Ambulante Pflegedienste meist unter den Schwellen, aber dennoch DSGVO-pflichtig. Bei Verbund-Trägern (z. B. Diakonie-Werke) kann eine konsolidierte Größenbetrachtung greifen.

Welche Vorfälle sind in der Branche bekannt?

Uniklinik Düsseldorf (2020, Ransomware, Patientin verstorben — strafrechtlich verfolgt), Lukaskrankenhaus Neuss (2016), Krankenhaus Bad Berleburg (2023), wikipedia-dokumentierte Klinik-Ransomware-Welle 2024. Die Bedrohungslage ist hoch.

Wie integriert sich NIS2 mit dem DiGAV-Prozess?

DiGAV ist die Verordnung über digitale Gesundheits­anwendungen. DiGAs müssen ein BSI-C5-Testat erbringen — das deckt viele NIS2-Anforderungen auf Anbieter-Seite ab. Krankenhäuser, die DiGAs einsetzen, müssen die Anbieter-Konformität in ihre Lieferketten­bewertung aufnehmen.

Wer ist die zuständige Aufsicht?

Das BSI ist zentrale NIS2-Aufsicht. Für Krankenhäuser kommen je nach Bundesland Gesundheitsministerien und Aufsichts­behörden hinzu. KRITIS-pflichtige Krankenhäuser haben bereits etablierte Meldewege zum BSI.