NIS 2.0 im Krankenhaus
Pflichten und Haftungsrisiken für Geschäftsführung und Vorstand
Darmstadt, 22.01.2026 (PresseBox) -
Cybersecurity ist keine IT-Frage mehr – sondern Führungsverantwortung
Die Digitalisierung hat die medizinische Versorgung grundlegend verändert. In den Krankenhäusern und Klinikgruppen sind klinische Kernprozesse, Medizintechnik, Verwaltung und externe Dienstleister heute eng miteinander vernetzt. Gleichzeitig verzeichnet das Gesundheitswesen seit Jahren eine stark steigende Zahl schwerer Cyberangriffe. Krankenhäuser gehören dabei mittlerweile zu den bevorzugten Zielen: hohe Abhängigkeit von IT-Systemen, sensibelste Daten und geringer Spielraum für Ausfälle.
Mit der europäischen NIS-2-Richtlinie reagiert der Gesetzgeber auf diese Entwicklung. Ziel ist es, die Resilienz kritischer Einrichtungen deutlich zu erhöhen. Für Krankenhäuser bedeutet das einen Paradigmenwechsel: Informationssicherheit wird zur originären Aufgabe der Unternehmensleitung. Geschäftsführung und Vorstand tragen künftig nicht nur organisatorische, sondern auch persönliche Verantwortung.
Krankenhäuser als „wesentliche Einrichtungen“ im Sinne von NIS 2.0
Nach NIS 2.0 zählen Krankenhäuser und Klinikgruppen eindeutig zu den sogenannten wesentlichen Einrichtungen („Essential Entities“). Dies gilt unabhängig von der Trägerschaft – also für öffentliche, freigemeinnützige und private Anbieter gleichermaßen. Auch größere Klinikverbünde fallen uneingeschränkt unter den Anwendungsbereich.
Die nationale Umsetzung erfolgt in Deutschland über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Die einzelnen Pflichten haben sich mit dem Inkrafttreten der nationalen Regelung am 6. Dezember 2025 konkretisiert. Die Grundrichtung ist klar: Krankenhäuser müssen ein angemessenes, wirksames und überprüfbares Sicherheitsniveau etablieren.
Dabei geht es nicht um die Einhaltung technischer Detailvorgaben, sondern um einen systematischen, risikobasierten Ansatz, der von der Leitung aktiv gesteuert wird.
Neue Pflichten der Geschäftsführung und des Vorstands
NIS 2.0 verschiebt die Verantwortung bewusst weg von der reinen Fachebene hin zur Unternehmensleitung. Geschäftsführung und Vorstand können sich nicht mehr darauf berufen, IT-Sicherheit delegiert zu haben. Die zentralen Pflichten lassen sich in vier Bereiche gliedern:
1. Governance und Organisation
Die Leitung ist verpflichtet, eine klare Organisationsstruktur für Informationssicherheit zu schaffen. Dazu gehören:
- eindeutig definierte Zuständigkeiten,
- ausreichende personelle und finanzielle Ressourcen,
- eine Einbindung der Informationssicherheit in bestehende Führungs- und Kontrollstrukturen.
2. Risikomanagement
Krankenhäuser müssen ihre cyberbezogenen Risiken regelmäßig identifizieren und bewerten. Dies betrifft nicht nur klassische IT-Systeme, sondern insbesondere:
- medizinische Kernprozesse,
- vernetzte Medizintechnik,
- Abhängigkeiten von Dienstleistern und Softwareanbietern.
3. Prävention und Resilienz
NIS 2.0 fordert Maßnahmen zur Vermeidung und Bewältigung von Sicherheitsvorfällen. Dazu zählen unter anderem:
- Notfall- und Wiederanlaufkonzepte,
- Backup- und Wiederherstellungsstrategien,
- Regelungen für den Umgang mit Sicherheitsvorfällen.
4. Überwachung, Kontrolle und Dokumentation
Geschäftsführung und Vorstand müssen sich regelmäßig über den Stand der Informationssicherheit informieren lassen. Dazu gehören:
- strukturierte Berichte,
- Kennzahlen zur Wirksamkeit von Maßnahmen,
- nachvollziehbare Dokumentation.
Persönliche Haftungsrisiken: Was wirklich relevant ist
Ein wesentlicher Unterschied zu früheren Regelwerken liegt in der klaren Haftungszuordnung. NIS 2.0 sieht bei Verstößen empfindliche Bußgelder vor und betont ausdrücklich die Verantwortung der Leitungsebene.
Wichtig ist jedoch eine realistische Einordnung:
Nicht jeder Cyberangriff führt automatisch zu einer persönlichen Haftung. Kritisch wird es dann, wenn:
- bekannte Risiken ignoriert werden,
- keine angemessene Sicherheitsorganisation existiert,
- Aufsichts- und Kontrollpflichten verletzt werden.
Typische Schwachstellen im Krankenhausumfeld
In vielen Krankenhäusern zeigen sich ähnliche Muster:
- Informationssicherheit wird als reines IT-Thema betrachtet
- Zuständigkeiten zwischen IT, Medizintechnik, Datenschutz und Management sind unklar
- Mangelnde Projektleitungs-Ressourcen für komplexe, zeitgleiche KHZG-Projekte
- Historisch gewachsene Systemlandschaften mit hohem Modernisierungsbedarf
- Fehlende Sensibilisierung der Führungsebene für Cyberrisiken
Was Geschäftsführung und Vorstand jetzt konkret tun sollten
Für einen strukturierten Einstieg empfiehlt sich eine klare, pragmatische Vorgehensweise:
- Betroffenheit und Pflichten klären
Informationssicherheit als wesentliches Thema einordnen und die entsprechenden Anforderungen ableiten. - Verantwortlichkeiten festlegen
Klare Zuständigkeiten auf Leitungsebene und in der Organisation definieren. - Reifegrad bewerten
Objektive Bestandsaufnahme der aktuellen Sicherheitslage durchführen. - Maßnahmen priorisieren
Fokus auf kritische Risiken und Versorgungsrelevanz legen, nicht auf technische Details. - Transparenz schaffen
Regelmäßiges Reporting und belastbare Dokumentation etablieren.
Fazit: NIS 2.0 als Bestandteil moderner Krankenhausführung
NIS 2.0 macht deutlich: Informationssicherheit ist kein Projekt neben vielen anderen, sondern ein fester Bestandteil verantwortungsvoller Unternehmensführung im Krankenhaus. Geschäftsführung und Vorstand sind gefordert, Risiken aktiv zu steuern, geeignete Strukturen zu schaffen und Entscheidungen nachvollziehbar zu dokumentieren.
Wer frühzeitig handelt, reduziert nicht nur rechtliche und wirtschaftliche Risiken, sondern stärkt die Resilienz der Organisation – und damit die Sicherheit der Patientenversorgung. NIS 2.0 ist damit weniger eine Bedrohung als eine Chance, Führung und Sicherheit nachhaltig zu professionalisieren.
Die Experten der Adiccon helfen Ihnen beim Einstieg in die Thematik. Nehmen Sie Kontakt zu uns auf.
