NIS-2 im Gesundheitswesen: Krankenhäuser & Medizintechnik

Wenn ein Krankenhaus von einem Cyberangriff lahmgelegt wird, geht es nicht um Umsatzausfall oder Imageschaden. Es geht um Menschenleben. Operationen werden verschoben, Notaufnahmen müssen Patienten abweisen, lebensrettende Geräte funktionieren möglicherweise nicht mehr. Die EU hat das verstanden und den Gesundheitssektor deshalb als Bereich mit hoher Kritikalität eingestuft.

In den letzten Jahren haben wir das immer wieder erlebt: Ransomware, die ganze Kliniken wochenlang außer Gefecht setzt. Das Universitätsklinikum Düsseldorf 2020 (DoppelPaymer-Angriff über eine bekannte Citrix-Schwachstelle), das Lukas-Krankenhaus in Neuss, zahlreiche weitere Fälle. Anmerkung zu UKD: Die zeitweise Erzählung vom “ersten Todesfall durch Ransomware” hat sich nicht bestätigt – die Staatsanwaltschaft Köln hat den kausalen Zusammenhang verneint und das Verfahren wegen fahrlässiger Tötung im November 2020 eingestellt. Der Vorfall bleibt trotzdem ein Lehrbuchbeispiel für die Folgen vernachlässigter Patch-Hygiene. Die Angreifer wissen, dass Krankenhäuser unter Druck stehen und oft zahlen – oder zumindest massive Probleme bekommen.

Wer genau betroffen ist

Im Gesundheitswesen sind mehrere Gruppen von NIS-2 erfasst.

Krankenhäuser sind der offensichtliche Fall. Akutkrankenhäuser, Fachkliniken, Rehabilitationseinrichtungen – wenn sie die Größenkriterien erfüllen (50+ Mitarbeitende oder 10+ Millionen Euro Umsatz), sind sie dabei. Viele größere Häuser werden sogar als “besonders wichtige Einrichtungen” eingestuft.

Hersteller von Medizinprodukten sind ebenfalls betroffen, jedenfalls wenn sie kritische Geräte produzieren: Beatmungsgeräte, Defibrillatoren, Dialysegeräte, Intensivmedizin-Equipment. Alles, was im Notfall lebensrettend ist.

Pharmazeutische Unternehmen, die Impfstoffe, kritische Arzneimittel oder Blutprodukte herstellen, fallen unter die Richtlinie.

EU-Referenzlaboratorien sind unabhängig von ihrer Größe betroffen – hier gibt es keine Mindestgrenzen.

Die besonderen Herausforderungen

Das Gesundheitswesen kämpft mit Problemen, die andere Branchen so nicht haben.

Medizingeräte, die man nicht patchen kann. Ein MRT-Gerät oder ein OP-Roboter läuft häufig auf älteren Windows-Versionen – meist Windows 7 oder Windows 10, in Einzelfällen sogar noch ältere Stände. Der Hersteller verbietet Updates, weil das Gerät sonst die Zulassung verliert. Also steht da ein System mit bekannten Sicherheitslücken, und Sie können kaum etwas dagegen tun. Hier helfen kompensierende Maßnahmen: strikte Netzsegmentierung, Hersteller-Whitelisting (so wie es das BfArM in seinen Empfehlungen vorsieht) und enge Überwachung des Datenverkehrs zwischen Medizingerätenetz und übriger Infrastruktur.

24/7-Betrieb ohne Wartungsfenster. Wann sollen Sie Patches einspielen, wenn die Intensivstation rund um die Uhr läuft? Wann können Sie das Netzwerk kurz herunterfahren, wenn gerade eine Notoperation stattfindet? Die Antwort ist oft: gar nicht, zumindest nicht so einfach.

Chronische Unterfinanzierung. Krankenhäuser rechnen jeden Euro dreimal um. IT-Sicherheit konkurriert mit medizinischen Geräten, Personalkosten, Gebäudesanierung. Der CISO – wenn es überhaupt einen gibt – muss Wunder vollbringen mit begrenztem Budget.

Vernetzte Systeme überall. Moderne Krankenhäuser sind durchdigitalisiert. Patientenmonitore, Infusionspumpen, bildgebende Verfahren – alles hängt am Netz. Das ist gut für die Patientenversorgung, aber es schafft Angriffsflächen.

Was NIS-2 konkret fordert

Die zehn Mindestmaßnahmen gelten natürlich auch im Gesundheitswesen, aber sie bekommen hier eine besondere Färbung.

Risikomanagement muss Patientensicherheit einbeziehen. Es geht nicht nur um Datenverlust, sondern darum, was passiert, wenn ein System ausfällt, an dem Menschenleben hängen. Das ändert die Bewertung fundamental.

Incident Response muss mit klinischen Prozessen abgestimmt sein. Wenn Sie ein System isolieren, um einen Angriff einzudämmen, was passiert dann mit den Patienten, die davon abhängen? Sie brauchen Notfallprozesse, die funktionieren, wenn die IT nicht mehr funktioniert.

Business Continuity bedeutet im Krankenhaus: Papierbasierte Backup-Prozesse, die das Personal kennt und regelmäßig übt. Was tun die Ärzte, wenn das KIS ausfällt? Wie dokumentiert die Pflege, wenn keine Computer mehr funktionieren? Das muss durchdacht und getestet sein.

Schulungen für das medizinische Personal sind kritisch – und schwierig. Ärzte und Pflegekräfte haben wenig Zeit und noch weniger Geduld für IT-Themen. Die Schulungen müssen kurz, relevant und praxisnah sein. Ein Chirurg braucht kein tiefes Verständnis von Netzwerkprotokollen, aber er muss wissen, woran er eine Phishing-Mail erkennt.

Die Schnittstellen zu anderen Regelwerken

Krankenhäuser kennen das Thema bereits – zumindest teilweise.

Die IT-Sicherheitsregel für Krankenhäuser war früher in § 75c SGB V verankert. Diese Norm wurde durch das Digital-Gesetz (DigiG) vom 22. März 2024 mit Wirkung zum 26. März 2024 aufgehoben und inhaltlich in § 391 SGB V überführt – mit zusätzlicher Pflicht zu Security-Awareness-Maßnahmen. Wer die Anforderungen erfüllt (etwa über den B3S “Medizinische Versorgung” der DKG, Version 1.2 vom 8. Dezember 2022), hat eine gute Grundlage für NIS-2. Es ist nicht dasselbe, aber die Schnittmenge ist groß.

Die KRITIS-Verordnung hat bisher nur Häuser mit mehr als 30.000 vollstationären Fällen pro Jahr erfasst. Diese Schwelle bleibt unter NIS-2 für die KRITIS-Einstufung bestehen. NIS-2 erweitert den Anwendungsbereich aber erheblich darüber hinaus – auch kleinere Kliniken sind jetzt als “wichtige” oder “besonders wichtige” Einrichtungen dabei.

Die MDR (Medizinprodukteverordnung) stellt Cybersicherheitsanforderungen an die Hersteller. NIS-2 ergänzt das aus Sicht der Betreiber. Beide müssen zusammen gedacht werden.

Und natürlich die DSGVO – Gesundheitsdaten sind besonders schützenswert. Bei einem Vorfall mit Patientendaten müssen Sie ans BSI und an die Datenschutzaufsicht melden. Parallel.

Wie Sie vorgehen sollten

Machen Sie zuerst eine Bestandsaufnahme. Welche Systeme haben Sie? Nicht nur die Server, sondern auch die Medizingeräte, die IoT-Devices, die vernetzten Sensoren. Wo fließen Patientendaten? Welche Systeme sind wirklich lebenskritisch?

Dann priorisieren Sie risikobasiert. Nicht alles auf einmal, das funktioniert nicht. Welche Systeme müssen unbedingt geschützt werden? Was sind die größten Einfallstore? Wo ist der Quick Win, der das Risiko schnell reduziert?

Und dann setzen Sie um, Schritt für Schritt. Fangen Sie mit den kritischsten Lücken an. Etablieren Sie Prozesse. Schulen Sie Ihre Leute. Das ist ein Marathon, kein Sprint.

Zur Finanzierung

Der Krankenhauszukunftsfonds (KHZF) hat IT-Sicherheit explizit als Fördertatbestand. Prüfen Sie, ob dort noch Mittel verfügbar sind. Einige Bundesländer haben zusätzliche Programme. Die IHKs können Auskunft geben.

Und argumentieren Sie gegenüber der Verwaltung: NIS-2-Compliance ist keine Kür, sondern Pflicht. Bei Verstößen drohen Bußgelder, bei Vorfällen droht persönliche Haftung der Geschäftsleitung. Das sind Argumente, die auch ein Verwaltungsdirektor versteht.

Die Realität

Krankenhäuser haben es nicht leicht mit NIS-2. Die Komplexität ist hoch, die Ressourcen sind knapp, die Anforderungen sind streng. Aber die Anforderungen sind auch berechtigt. Cyberangriffe auf Krankenhäuser können Menschenleben kosten – das ist keine Übertreibung, das ist dokumentierte Realität.

Die gute Nachricht: Viele Häuser haben durch KRITIS und die DKG-Richtlinie bereits Grundlagen gelegt. NIS-2 baut darauf auf. Es ist machbar – mit dem richtigen Ansatz, den richtigen Prioritäten und der Unterstützung der Geschäftsleitung.

Fangen Sie heute an. Warten Sie nicht auf den perfekten Moment oder das optimale Budget. Es gibt beides nicht.