Home/Insights/Krankenhäuser unter NIS-2: Informationssicherheit wird zur Pflicht
Veröffentlicht am 30. Januar 2026
Lesedauer ca. 4 Minuten
Advisory & IT

Krankenhäuser unter NIS-2: Informationssicherheit wird zur Pflicht

  • NIS-2 gilt sofort für viele Unternehmen – hoher Handlungsdruck ohne Übergangsfrist
  • Krankenhäuser sind betroffen und riskieren erhebliche Bußgelder bei unzureichender Umsetzung
  • ISMS und B3S weisen den strukturierten Weg zur nachhaltigen NIS-2-Compliance
Jürgen Schwestka
Partner
CISA, Diplom-Kaufmann, ISO 27001 Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager, Zertifizierter IT-Security-Auditor, Zertifizierter IT-Sicherheitsbeauftragter
T +49 911 9193 3508
Anfrage senden
Kontaktieren Sie uns:
Jetzt Kontakt aufnehmen
NIS-2 gilt seit Dezember 2025 ohne Übergangsfrist und betrifft nahezu alle Krankenhäuser. Die Anforderungen erhöhen den Druck auf Management und IT erheblich. Hohe Bußgelder machen klar: Abwarten ist kein Weg. Ein strukturiertes ISMS und der B3S „Medizinische Versorgung“ weisen die Richtung. RÖDL begleitet Sie als erfahrener Wegbereiter sicher zur NIS-2-Compliance.

Seit dem 6. Dezember 2025 gilt das Gesetz zur Umsetzung der NIS-2-Richtlinie. Rund 29.500 Unternehmen in Deutschland stehen seitdem auf einem neuen regulatorischen Weg. Die Anforderungen greifen sofort. Eine Übergangsfrist gibt es nicht.

Wir zeigen Ihnen frühzeitig die richtige Richtung. NIS-2 verlangt unmittelbares Handeln. Abwarten ist kein gangbarer Weg.

Eine klassische Prüfpflicht wie bei KRITIS entfällt. Dennoch begleitet das Bundesamt für Sicherheit in der Informationstechnik Ihren Weg eng. Betroffene Unternehmen müssen jederzeit mit Stichprobenkontrollen rechnen:

  • Das BSI verschafft sich dabei Einblick in Ihre Dokumentationen.
  • Es prüft Ihr Risikomanagement.
  • Es bewertet die Umsetzung Ihrer technischen und organisatorischen Maßnahmen.

Gesundheitswirtschaft: Kaum ein Weg führt an NIS-2 vorbei

In der Gesundheitswirtschaft fallen nahezu alle Krankenhäuser unter NIS-2. Sie gelten mindestens als „wichtige Einrichtungen“.

Die Pflicht zur Informationssicherheit besteht bereits seit § 391 SGB V. Begrenzte Ressourcen haben den Weg jedoch häufig verlangsamt. NIS-2 erhöht nun den Druck deutlich.

Hohe Bußgelder machen den Handlungsbedarf deutlich

NIS-2 orientiert sich bei Sanktionen an der DSGVO. Der finanzielle Spielraum wird eng:

  • Wichtige Einrichtungen riskieren Bußgelder bis zu 1,4 % des weltweiten Jahresumsatzes. Alternativ drohen bis zu 7 Mio. Euro.
  • Besonders wichtige Einrichtungen stehen vor Bußgeldern bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.

Diese Zahlen zeigen klar: Der sichere Weg führt nur über eine strukturierte Umsetzung.

Diese Anforderungen weist Ihnen NIS-2 als Wegmarken

Die Umsetzung von NIS-2 muss daher sehr ernst genommen werden. Insbesondere werden dabei folgende Bestandteile verlangt:

  • NIS-2 verlangt ein kohärentes und dokumentiertes Informationssicherheitskonzept. Unternehmen müssen Risiken systematisch bewerten. Ein belastbares ISMS bildet dabei das Fundament. Die Risikoanalyse bleibt dauerhaft aktuell.
  • Unternehmen müssen Sicherheitsvorfälle frühzeitig erkennen. Monitoring und Logging schaffen Transparenz. Klare Melde- und Incident-Response-Prozesse sichern den weiteren Weg.
  • Betriebskontinuität erhält einen festen Platz. Notfall- und Krisenmanagement greifen strukturiert. Backup- und Wiederanlaufprozesse sind definiert.
  • Dienstleister und Lieferanten rücken stärker in den Fokus. Unternehmen müssen deren Cyber-Resilienz prüfen. Verträge regeln Sicherheitsanforderungen verbindlich.
  • Technische und organisatorische Maßnahmen sichern den Weg im Tagesgeschäft. Patch- und Schwachstellenmanagement greifen systematisch. Kryptografische Verfahren schützen Daten.
  • Zugriffskontrollen schaffen klare Grenzen. MFA und IAM steuern Identitäten zuverlässig.
  • Regelmäßige Schulungen stärken das Sicherheitsbewusstsein. Die Geschäftsleitung kennt ihre Verantwortung und Cyberrisiken.

ISMS: Der einzige nachhaltige Weg

Ein ganzheitlicher Ansatz gelingt nur mit einem etablierten ISMS. Bewährte Standards weisen hier den Weg:

  • ISO/IEC 27001 bietet internationale Orientierung.
  • Der BSI-IT-Grundschutz liefert strukturierte Tiefe.
  • Branchenspezifische Sicherheitsstandards (B3S) berücksichtigen Praxisnähe.

Für Krankenhäuser ebnet der B3S „Medizinische Versorgung“ den passenden Weg. Er berücksichtigt branchenspezifische Risiken und den Stand der Technik. Für Krankenhäuser ist dies der Branchenspezifische Sicherheitsstandard „Medizinische Versorgung“ (vgl. „Informationssicherheit im Krankenhaus | Deutsche Krankenhausgesellschaft e. V.“).

Dieser umfasst die folgenden Bereiche:

  • Betriebliches Kontinuitätsmanagement
  • Asset Management
  • Robuste/resiliente Architektur
  • Physische Sicherheit
  • Personelle und organisatorische Sicherheit
  • Vorfallerkennung und Behandlung
  • Überprüfungen im laufenden Betrieb
  • Externe Informationsversorgung und Unterstützung
  • Lieferanten, Dienstleister und Dritte
  • Technische Informationssicherheit
    • Netz- und Systemmanagement (Netztrennung und Segmentierung)
    • Absicherung Fernzugriffe
    • Härtung und sichere Basiskonfiguration der Systeme und Anwendungen
    • Schutz vor Schadsoftware
    • Intrusion Detection/Prevention
    • Identitäts- und Rechtemanagement
    • Sichere Authentisierung
    • Kryptografische Absicherung (data in rest, data in motion)
    • Mobile Sicherheit, Sicherheit mobiler Zugang und Telearbeit (inkl. BYOD)
    • Vernetzung von Medizingeräten
    • Datensicherung, Datenwiederherstellung und Archivierung
    • Ordnungsgemäße Systemadministration
    • Patch- und Änderungsmanagement
    • Beschaffungsprozesse
    • Protokollierung
    • Umgang mit Datenträgern, Austausch von Datenträgern
    • Sicheres Löschen und Entsorgung von Datenträgern
    • Softwarezustand und Freigaben
    • Datenschutz
    • Branchenspezifische Technik

Wesentliche Anforderungen aus NIS-2 sind damit abgedeckt. Einige Wegabschnitte bleiben jedoch offen. Ergänzende Orientierung bieten die BSI – #nis2know-Infopakete.

Wenn Sie nicht sicher sind, wo Ihr Unternehmen aktuell steht, schaffen wir Klarheit:

  • Wir prüfen Ihre NIS-2-Betroffenheit.
  • Wir analysieren gemeinsam Ihren Status.
  • Wir identifizieren Lücken.
  • Wir entwickeln eine konkrete Maßnahmenplanung.

Ausblick

NIS-2 markiert keinen Endpunkt, sondern einen weiteren Wegabschnitt der regulatorischen Entwicklung. Parallel rücken der AI Act und das KRITIS-Dachgesetz in den Fokus. Beide Regelwerke betreffen viele Unternehmen direkt oder mittelbar. Sie bringen zusätzliche Anforderungen an Governance, Risikomanagement und technische Kontrolle.

Wir empfehlen daher, den Aufbau des ISMS von Beginn an ganzheitlich auszurichten. Wer NIS-2 isoliert betrachtet, riskiert Umwege und spätere Nachsteuerung. Wer regulatorische Entwicklungen früh einbezieht, ebnet den Weg für Effizienz und Nachhaltigkeit.

RÖDL unterstützt Sie dabei, Informationssicherheit, Regulierung und strategische Unternehmensziele zusammenzuführen. So schaffen wir gemeinsam ein ISMS, das nicht nur heutigen Anforderungen entspricht, sondern auch zukünftige Wege sicher mitgeht.

Unsere Experten begleiten diesen Weg praxisnah. Sie arbeiten als Informationssicherheitsbeauftragte im Krankenhausumfeld und kennen den B3S. Sie verstehen Ihre Herausforderungen.

Kontaktieren Sie RÖDL. Gemeinsam ebnen wir Ihren sicheren Weg zur NIS-2-Compliance.

Aus dem Newsletter „Gesundheits- und Sozialwirtschaft“      Weitere Informationen zur Umsetzung der NIS-2-Richtlinie

Ähnliche Beiträge

Alle Beiträge zu diesem Thema
30.01.2026

KHAG: Streichung der Insolvenzrisikoprüfung und Verzicht auf das Wirtschaftsprüfertestat – Risikoerhöhung zu Lasten der Geschäftsleitungsorgane?!

Das Krankenhausreformanpassungsgesetz (KHAG) hat am 21.11.2025 den Bundesrat durchlaufen. Nach aktuellem Stand sind die Insolvenzrisikoprüfung und das Verlangen eines Wirtschaftsprüfertestats...
Rechtsberatung
30.01.2026

Honoraransprüche gewerblicher Anbieter für die Erbringung ärztlicher Leistungen trotz sozialversicherungspflichtiger Tätigkeit im Krankenhaus

Das Bundessozialgericht hat wiederholt entschieden, dass ärztliche Leistungen Dritter, die im Krankenhausbetrieb erbracht werden, sozialversicherungspflichtige Tätigkeit darstellen. Die Folgen daraus...
Rechtsberatung
30.01.2026

Kooperationen mit Gemeinschaftspraxen: BSG verschärft auch hier die Sozialversicherungspflicht deutlich

Das Bundessozialgericht hat entschieden: Auch wenn ein Krankenhaus ärztliche Leistungen über einen Kooperationsvertrag mit einer Berufsausübungsgemeinschaft (BAG/GbR) bezieht, kann der...
Rechtsberatung
30.01.2026

Wenn der Staat nicht zahlt: Krankenhausinvestitionen am Finanzmarkt sichern

In der Praxis beobachten wir zunehmend, dass staatliche Träger Fördermittelanträge ablehnen, verschieben oder nur in Teilen bewilligen. Um in der...
Advisory & IT