Gesundheits-Vertical: Mapping zu NIS2/KRITIS/ISO und die CISO-Roadmap
Kernaussage
Das deutsche Gesundheitswesen ist regulatorisch ungewöhnlich dicht. Auf eine einzelne Einrichtung können mehrere Regime gleichzeitig einwirken: die Krankenhauspflicht aus dem Sozialrecht, ein branchenspezifischer Sicherheitsstandard, die Telematikinfrastruktur, das Medizinprodukterecht sowie die horizontale NIS2-Umsetzung und das KRITIS-Regime. Wer diese als getrennte Projekte führt, baut Doppelstrukturen auf und verliert den Überblick.
Diese Anforderungen lassen sich weitgehend über ein einziges Informationssicherheits-Managementsystem (ISMS) bedienen. ISO/IEC 27001 oder der BSI IT-Grundschutz liefern den methodischen Unterbau, auf dem die sektorspezifischen Pflichten als Ausprägungen aufsetzen: Das ISMS ist die gemeinsame Steuerungsschicht, die Regime sind Anwendungsfälle darauf.
Problem in der Praxis
In der Praxis entstehen die sektorspezifischen Pflichten historisch und organisatorisch getrennt: Die Krankenhaus-IT bedient die Pflicht aus dem Sozialrecht, das Qualitätsmanagement den branchenspezifischen Standard, die Medizintechnik das Produktrecht, ein TI-Team die Telematikanbindung, jede Einheit mit eigenen Risikoanalysen, Maßnahmenlisten und Nachweisen.
Das Ergebnis ist regelmäßig ein Flickenteppich: Dieselbe Serverlandschaft wird mehrfach bewertet, und niemand kann auf Managementebene belegen, ob die Summe der Aktivitäten die Pflichten abdeckt. Besonders kritisch ist die Doppelbetroffenheit: Ein Krankenhaus oberhalb der KRITIS-Schwellenwerte unterliegt sowohl der Krankenhauspflicht als auch dem KRITIS-Regime der NIS2-Umsetzung. Beide Ebenen unkoordiniert zu bedienen, kostet Ressourcen und erzeugt trotzdem Lücken.
CISO-Einordnung
Die sektorspezifischen Anforderungen teilen einen gemeinsamen methodischen Kern (Scope, Risikoanalyse, angemessene Maßnahmen nach dem Stand der Technik, Notfall- und Kontinuitätsmanagement, Lieferantensicherheit, Angriffserkennung, Wirksamkeitsprüfung), den ein ISMS abbildet. Die wichtigsten Bezugspunkte:
- § 391 SGB V (Digital-Gesetz, in Kraft seit 26.03.2024) verpflichtet alle Krankenhäuser zu angemessenen Vorkehrungen nach dem Stand der Technik; er löst § 75c SGB V ab, der branchenspezifische Standard ist als Umsetzungsweg vorgesehen.
- B3S "Medizinische Versorgung" (Deutsche Krankenhausgesellschaft) adressiert primär KRITIS-Krankenhäuser, dient aber auch Nicht-KRITIS-Häusern als Orientierung und ist ISMS-orientiert aufgebaut.
- Telematikinfrastruktur / gematik (§§ 306, 311 ff. SGB V) betrifft angebundene Leistungserbringer und TI-Hersteller; Datensicherheits-Maßnahmen legt die gematik im Benehmen mit dem BSI fest (TI 2.0 mit Zero-Trust-Ansatz ZETA).
- MDR/IVDR (VO (EU) 2017/745 und 2017/746) verlangt Cybersecurity über den gesamten Produktlebenszyklus; relevant für Hersteller von Medizinprodukten und Software als Medizinprodukt.
Behördenzuordnung: Zuständig sind das BSI (KRITIS, Sicherheitsbestätigungen), die gematik im Benehmen mit dem BSI (TI-Datensicherheit) und das BfArM gemeinsam mit dem BSI (DiGA/DiPA). Die Bundesnetzagentur ist für den Gesundheitssektor nicht zuständig.
Umsetzungsperspektive
Ein tragfähiges Mapping ordnet die Regime als Anwendungen unter das ISMS:
- Gemeinsamer Scope und Asset-Basis. Kritische Prozesse, Systeme und Datenflüsse werden einmal erfasst; darauf wird markiert, welche Anlagen KRITIS-relevant sind und welche TI- oder Medizinprodukte-Bezug haben.
- Eine Risikomethodik, mehrere Sichten. Die Ergebnisse der Risikoanalyse werden auf § 391, den branchenspezifischen Standard und gegebenenfalls das Produktrecht gemappt.
- Maßnahmen und Nachweise als gemeinsamer Pool. Eine Zugriffskontrolle, ein Notfallplan oder ein Patchprozess erfüllt meist mehrere Anforderungen gleichzeitig; das ISMS verwaltet beides zentral und verweist auf die jeweiligen Pflichten.
Eine Besonderheit für Hersteller: Seit dem 01.01.2025 ist ein Konformitätsnachweis nach BSI TR-03161 Voraussetzung für die DiGA/DiPA-Listung im BfArM-Verzeichnis; für Medizinprodukte dient die MDCG-Guidance 2019-16 als frei verfügbare Orientierung.
Eine sinnvolle Roadmap läuft typischerweise in vier Wellen: zuerst ISMS-Grundstruktur und gemeinsamer Scope; dann § 391 für alle Häuser; danach das KRITIS-/B3S-Regime für kritische Anlagen samt Nachweisplanung; schließlich produkt- und TI-spezifische Themen dort, wo die Einrichtung als Hersteller oder Anbieter auftritt.
Typische Fehler
- Jedes Regime wird als eigenes Projekt mit eigener Risikoanalyse und eigenen Nachweisen geführt, statt auf einer gemeinsamen ISMS-Basis aufzusetzen.
- Es wird angenommen, ein ISO/IEC-27001-Zertifikat decke den KRITIS-Nachweis automatisch ab. Das gilt nur, wenn der Scope die kritische Anlage und die KRITIS-Pflichten erfasst.
- Die Doppelbetroffenheit aus Krankenhauspflicht und KRITIS-Regime wird übersehen, sodass eine der beiden Ebenen unbedient bleibt.
- Behördenzuständigkeiten werden verwechselt, etwa die Bundesnetzagentur fälschlich als Aufsicht im Gesundheitssektor angenommen.
- Der starre Zyklus "alle zwei Jahre" aus dem alten § 75c wird fortgeschrieben, obwohl § 391 diese Formulierung nicht mehr enthält.
Risiken und Trade-offs
Die Konsolidierung über ein ISMS reduziert Doppelarbeit, schafft aber eine Abhängigkeit von der Qualität der gemeinsamen Basis: Ist der Scope unsauber, vervielfältigen sich Fehler über alle Regime hinweg. Eine belastbare Asset- und Prozesslandkarte ist daher Voraussetzung, bevor Mappings entstehen.
Ein zweiter Trade-off betrifft die Tiefe je Regime: Ein generischer ISMS-Control kann eine Pflicht formal adressieren, ohne die fachliche Tiefe zu liefern, die Produktrecht oder TI-Sicherheitsarchitektur verlangen. Schließlich ist die Rechtslage in Bewegung: Die NIS2-Umsetzung hat Paragrafenverweise neu strukturiert, sodass auf Paragrafen festgeschriebene Mappings regelmäßig gegen den geltenden Gesetzestext zu prüfen sind.
Entscheidungspunkte
- Ist die Einrichtung tatsächlich KRITIS-Betreiber im Gesundheitssektor, oder gilt allein die allgemeine Krankenhauspflicht? Die Antwort entscheidet über Umfang und Nachweispflichten.
- Soll das ISMS auf ISO/IEC 27001 oder auf dem BSI IT-Grundschutz aufsetzen, und deckt der gewählte Scope die kritische Anlage vollständig ab?
- Tritt die Einrichtung auch als Hersteller oder TI-Anbieter auf, sodass MDR/IVDR, TR-03161 oder TI-Sicherheitsanforderungen zusätzlich greifen?
- Welche Maßnahmen und Nachweise lassen sich regimeübergreifend nutzen, und wo ist fachspezifische Tiefe unverzichtbar?
Praktische Empfehlungen
- Errichten Sie zuerst die gemeinsame ISMS-Basis mit einem sauberen Scope und einer einheitlichen Risikomethodik, bevor Sie sektorspezifische Mappings anlegen.
- Führen Sie eine Betroffenheitsmatrix: je Regime, ob es greift, mit welchem Geltungsbereich und welcher Behördenzuständigkeit.
- Klären Sie frühzeitig den KRITIS-Status und planen Sie den Nachweis als wiederkehrende Pflicht, nicht als Einmalprojekt.
- Verknüpfen Sie jede zentrale Maßnahme mit den Pflichten, die sie bedient, damit ein Nachweis mehrfach wirkt, und prüfen Sie Paragrafenverweise regelmäßig gegen den geltenden Gesetzestext.
- Integrieren Sie produkt- und TI-spezifische Anforderungen in die jeweiligen Entwicklungs- und Betriebsprozesse, statt sie nachgelagert dem ISMS aufzubürden.
Relevante Normreferenzen
Frei zitierfähig: § 391 SGB V (IT-Sicherheit in Krankenhäusern), §§ 306, 311 ff. SGB V (gematik/TI), BSIG i. d. F. des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) (Umsetzung der NIS2-Richtlinie, RL (EU) 2022/2555; Paragrafenverweise neu strukturiert, am geltenden Text zu prüfen), VO (EU) 2017/745 (MDR) und VO (EU) 2017/746 (IVDR), MDCG 2019-16 sowie BSI TR-03161 (DiGA/DiPA-Konformitätsnachweis).
Nur konzeptionell referenziert (kostenpflichtig bzw. lizenzsensibel): DKG-B3S "Medizinische Versorgung", gematik-Spezifikationen, ISO/IEC 27001, IEC 81001-5-1, IEC 62304. Ohne deutschen Rechtsbezug, optionales Mapping-Raster: NIST CSF / SP 800-53.
Häufige Fragen
Kann ein einziges ISMS alle Gesundheits-Sicherheitspflichten abdecken?+
Es deckt den methodischen Kern ab und steuert die Pflichten als Ausprägungen. Fachspezifische Tiefe für Produkte und TI bleibt erforderlich.
Deckt ein ISO/IEC-27001-Zertifikat den KRITIS-Nachweis ab?+
Nicht automatisch. Der Zertifizierungs-Scope muss die kritische Anlage und die KRITIS-spezifischen Pflichten erfassen.
Was bedeutet Doppelbetroffenheit von NIS2/KRITIS und § 391?+
Ein Krankenhaus oberhalb der KRITIS-Schwellenwerte unterliegt sowohl der Krankenhauspflicht aus § 391 SGB V als auch dem KRITIS-Regime der NIS2-Umsetzung; beide Ebenen sind zu bedienen.
Gilt noch der Zyklus "alle zwei Jahre" aus dem alten Recht?+
Diese Formulierung aus dem früheren § 75c SGB V ist in § 391 nicht mehr enthalten. KRITIS-Nachweise folgen separat dem Zyklus der nationalen NIS2-Umsetzung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Gesundheitswesen prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: health-006.
