Sind wir als 250-Bett-Krankenhaus NIS-2-betroffen?

Höchstwahrscheinlich ja. Anhang I des NIS2UmsuCG erfasst Gesundheits-Einrichtungen als wesentliche Einrichtung ab 250 Mitarbeitenden oder 50 Millionen Euro Jahresumsatz. Bei mehr als 30.000 stationären Fällen pro Jahr kommt KRITIS-VO hinzu. Die verbindliche rechtliche Bewertung bleibt einer Kanzlei vorbehalten.

Wie verhält sich §75c SGB V zu NIS-2?

Der §75c SGB V verlangt seit 2022 sektor-spezifische Sicherheitsanforderungen (B3S Krankenhaus) für KRITIS-Krankenhäuser. NIS-2 ist allgemeines Gesetz mit Mindestmaßnahmen, B3S Krankenhaus ist sektor-spezifisch konkreter. In der Praxis überlappen sie weitgehend. Die Plattform mappt beide Kontroll-Sets gemeinsam.

Wie behandeln wir Medizingeräte ohne Update-Möglichkeit?

Legacy-Medizingeräte ohne Patch-Fähigkeit sind häufig. NIS-2 verlangt angemessene Maßnahmen zum Stand der Technik. Kompensierende Kontrollen (Netzwerksegmentierung, Monitoring, eingeschränkte Konnektivität) sind zulässig. Dokumentierte Risiko-Akzeptanz statt Unter-den-Tisch-Kehrung. Bei Patientensicherheits-Auswirkung muss MDR-Hersteller informiert werden.

Was passiert bei Ransomware in einem Krankenhaus?

Mehrfache Eskalations-Pfade: BSI nach 24-Stunden-Frist, Datenschutz-Aufsicht bei Datenpanne, KRITIS-Meldung an BSI nach §8b BSIG, Krankenhaus-Aufsicht der Bundesländer, MDR-Hersteller bei Geräte-Betroffenheit. Plus Patientensicherheits-Triage (Notfall-Versorgung sicherstellen). Die Plattform unterstützt mit dokumentiertem Meldewegen-Inventar.

Was kostet die NIS-2- und KRITIS-Vorbereitung?

Bei einem Krankenhaus mit 250 bis 500 Betten typisch 16 bis 24 Wochen für eine prüffähige NIS-2-Readiness, abhängig von KRITIS-Status, IT-Modernisierungsgrad und Anzahl Standorte. Plattform-Lizenz und Einführungsprojekt nach Größe skaliert. Die genaue Indikation kommt aus dem Risiko-Check.

NIS-2 für das Gesundheitswesen

Gesundheit ist Anhang I. Plus MDR. Plus DSGVO.

Anhang I des NIS2UmsuCG erfasst Gesundheits-Einrichtungen, Labore, Pharma-Hersteller und Medizinprodukte-Hersteller als wesentliche Einrichtungen. MDR (Medizinprodukte-Verordnung) und DSGVO mit besonderen Patientendaten-Schutz kommen hinzu. Die Cybervize-Plattform deckt ISMS, BCM und Lieferantenrisiko in einer Lösung ab.

NIS-2-Risiko-Check buchen

Cybervize-Plattform Reifegrad-Report nach ISO 27001 als Beleg branchenuebergreifender Beratungskompetenz

Was NIS-2 für das Gesundheitswesen konkret bedeutet

Krankenhäuser ab 30.000 vollstationären Behandlungsfällen pro Jahr gelten als KRITIS-Betreiber und fallen unter NIS-2-Anhang I als „besonders wichtige Einrichtung"; Medizinprodukte-Hersteller und Health-IT-Anbieter unterliegen je nach Tätigkeit Anhang I oder II plus MDR-Cybersecurity-Anforderungen. Vier Konsequenzen aus dieser Klassifikation für Krankenhäuser, Labore und Teile der Pharma-Branche. Sektor allein reicht nicht: Pharma-Hersteller und Medizinprodukte-Hersteller unterliegen unterschiedlichen Regelwerken (NIS-2-Anhang I/II, MDR, AMG); die Zuordnung hängt von Tätigkeit und Größenwerten ab. Die rechtliche Bewertung bleibt einer spezialisierten Kanzlei vorbehalten.

01 · Scope

Wesentliche Einrichtung mit proaktiver BSI-Aufsicht

Anhang I bedeutet höchste Sanktionsstufe und aktive BSI-Aufsicht. Cyber-Vorfälle mit Patientendaten-Bezug haben doppelte Meldepflichten: BSI nach NIS-2 plus Datenschutz-Aufsicht nach DSGVO.

02 · Scope

Medizinprodukte mit IT-Schnittstellen im Scope

Medizinprodukte mit IT-Schnittstellen (Bildgebung, Lab-Geräte, vernetzte Implantate) unterliegen MDR plus NIS-2. Hersteller haben zusätzlich Post-Market-Surveillance-Pflichten. Krankenhäuser haben Anwender-Pflichten.

03 · Scope

KRITIS-Verordnung für große Einrichtungen

Krankenhäuser mit über 30.000 stationären Fällen pro Jahr fallen unter KRITIS-VO. Pflichten zu BSI-Standards und Sicherheits-Audits kommen on top.

04 · Scope

Patientendaten-Schutz nach DSGVO mit besonderen Kategorien

Gesundheitsdaten sind besondere Kategorien nach Art. 9 DSGVO. Verarbeitung braucht spezifische Rechtsgrundlagen. Cyber-Vorfall mit Datenpanne hat verschärfte Melde-Pflichten und höhere DSGVO-Sanktionsrisiken.

Fünf Mindestmaßnahmen am Gesundheits-Beispiel

Fünf NIS-2-Mindestmaßnahmen nach §30, übersetzt in das Gesundheitswesen.

Risikoanalyse mit Medizinprodukte-Kontext

Risiko-Register, das Office-IT, klinische IT (KIS, RIS, PACS) und Medizingeräte trennt aber zusammenführt. Patientensicherheits-Risiken aus Cyber-Vorfällen gesondert klassifiziert.

Sicherheit in der Lieferkette für Medizinprodukte

Lieferanten-Inventar mit Medizinprodukte-Herstellern, MDR-Status, Cybersecurity-Bill-of-Materials (CBOM) für vernetzte Geräte, Vereinbarungen zu Patches und Vulnerability-Disclosure.

Kryptographie für Patientendaten

Patientendaten verschlüsselt at-rest und in-transit, Schlüssel-Management nach §75c SGB V (Sektor-Anforderungen Gesundheit), Klinik-Backups in besonderer Sicherheits-Zone.

Reaktion auf Sicherheitsvorfälle, mit Patienten-Auswirkung

Incident-Response-Plan, der zwischen reinem Cyber-Vorfall und Vorfall mit Patientensicherheits-Auswirkung unterscheidet. Eskalation an BSI, Datenschutz-Aufsicht, Krankenhaus-Aufsicht. MDR-Hersteller haben zusätzlich BfArM zu informieren.

Business Continuity für klinische Versorgung

BCM-Plan mit Patientensicherheit als oberster Priorität. Fall-Back-Prozesse für KIS-Ausfall (Papier-Akten, manueller Workflow), Notfall-Versorgung bei Ransomware. Wiederanlauf-Reihenfolge dokumentiert.

Cybervize-Bausteine für das Gesundheitswesen

Die Cybervize-Plattform deckt ISMS, BCM, Assessment und Lieferantenrisiko in einer Lösung ab. Für Gesundheit zusätzlich KRITIS-Reporting und Medizinprodukte-Risiko-Module relevant.

Service 01

NIS-2-Risiko-Check

Kostenloses 30-Minuten-Erstgespräch mit indikativer NIS-2-Einordnung, Top-5-Lücken und Pfad-Empfehlung.

Mehr erfahren Service 02

Cybervize-Plattform

ISMS, Compliance und Nachweisführung aus einer Plattform. Multi-Entity, Multi-Country, KI-gestützt.

Mehr erfahren Service 03

Virtual CISO

Plattform plus dauerhafte CISO-Funktion. Für Häuser ohne eigenen CISO.

Mehr erfahren Service 04

NIS-2-Einführungsprojekt

Gap-Assessment, Roadmap, Implementierung über die Plattform. Festpreis ab 4.500 Euro.

Mehr erfahren

Selbst-Check verfügbar

NIS-2-Reifegrad-Check: 30 Fragen, 10 Pflichtbereiche aus §30 BSIG, Sofort-Ampel

Kostenfrei, ohne Anmeldung, etwa 5 Minuten. Detail-Auswertung optional per Email.

Check starten

Warum Cybervize für das Gesundheitswesen passt

Branchen-Erfahrung in Gesundheitswesen und KRITIS aus 25 Jahren ISMS-Praxis bei PwC, Deloitte und KPMG. Krankenhaus-Mandate und Medizinprodukte-Hersteller Teil der Methodik. ISO 27001 Lead Auditor seit 2006.

KRITIS: BSIG und KRITIS-VO Coverage
MDR: Medizinprodukte-Schnittstelle
§75c SGB V: Sektor-Anforderungen Gesundheit
2006: ISO 27001 Lead Auditor seit

Häufige Fragen aus dem Gesundheitswesen

NIS-2 für das Gesundheitswesen in 30 Minuten einordnen

Kostenloser Risiko-Check mit indikativer NIS-2-Einordnung, KRITIS-Schwellen-Indikator und Pfad-Empfehlung. Idealerweise dabei: IT-Leitung oder Datenschutzbeauftragte plus Geschäftsführung.