Cybersecurity im Gesundheitswesen: Überblick und § 391 SGB V
Kernaussage
Das Gesundheitswesen hat kein einzelnes Cybersecurity-Gesetz, sondern ein Geflecht aus mehreren Ankern, die je nach Rolle greifen. Für Krankenhäuser ist der zentrale gesetzliche Anker heute § 391 SGB V "IT-Sicherheit in Krankenhäusern", eingeführt durch das Digital-Gesetz (DigiG) und in Kraft seit dem 26.03.2024. Er löst den früheren § 75c SGB V ab und verpflichtet Krankenhäuser, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zu treffen.
Für die Führung ist die wichtigste Botschaft: § 391 gilt für alle Krankenhäuser, nicht nur für KRITIS-Häuser. Praxen, Apotheken, Krankenkassen und Hersteller unterliegen daneben eigenen, sektorspezifischen Regimen. Ein CISO muss zunächst die zutreffenden Anker für die eigene Organisation sauber zuordnen, bevor er Maßnahmen plant.
Problem in der Praxis
In vielen Häusern existiert ein diffuses Bild der Rechtslage. § 75c SGB V, KRITIS-Pflichten nach dem BSIG, der branchenspezifische Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft, NIS2, MDR-Anforderungen und die Telematikinfrastruktur (TI) der gematik werden vermischt oder verwechselt. Daraus folgen zwei typische Fehlsteuerungen: Entweder wird angenommen, ohne KRITIS-Status bestünden keine harten Pflichten, oder ein einzelner Standard wie der B3S wird als alleinige Pflichtquelle behandelt.
Hinzu kommt, dass sich die Rechtslage 2024 und 2025 bewegt hat. § 75c wurde durch § 391 SGB V abgelöst, das BSIG wurde im Zuge der NIS2-Umsetzung neu strukturiert und neu nummeriert. Ältere Dokumentation, Richtlinien und Audit-Verweise zeigen oft noch auf überholte Paragrafen. Wer das nicht bereinigt, argumentiert gegenüber Aufsicht und Auditoren mit veralteten Grundlagen.
CISO-Einordnung
Sinnvoll ist es, die Cybersecurity-Landschaft des Gesundheitswesens nach Rollen statt nach Gesetzen zu sortieren:
- Krankenhäuser: Anker § 391 SGB V (Stand der Technik); KRITIS-Häuser oberhalb der Schwellenwerte zusätzlich nach dem BSIG mit B3S-Nachweis.
- Praxen, Apotheken, Krankenkassen: primär über die Anbindung an die Telematikinfrastruktur (gematik, §§ 306, 311 ff. SGB V); Kassen können zudem eigenständig unter NIS2 fallen.
- Hersteller von Medizinprodukten und In-vitro-Diagnostika: MDR und IVDR mit Cybersecurity-Anforderungen über den Produktlebenszyklus.
- Hersteller digitaler Gesundheits-/Pflegeanwendungen (DiGA/DiPA): BSI TR-03161 als Voraussetzung für die BfArM-Listung.
§ 391 SGB V ist bewusst technikoffen. Er verlangt angemessene organisatorische und technische Vorkehrungen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der für die Funktionsfähigkeit und den Schutzbedarf der Patienteninformationen maßgeblichen IT-Systeme, Komponenten und Prozesse zu vermeiden. Neu gegenüber § 75c ist eine ausdrückliche Pflicht zu Maßnahmen, die die Security-Awareness der Mitarbeitenden steigern. Die früher genannte Anpassung "alle zwei Jahre" ist im Wortlaut nicht mehr enthalten. Das entlastet jedoch nicht: Der Stand der Technik ist dynamisch, sodass eine kontinuierliche Pflege weiterhin notwendig bleibt.
Wichtig für die Behördenzuordnung: Zuständig sind das BSI (KRITIS-Aufsicht und Meldungen, Sicherheitsbestätigungen), die gematik (TI-Datensicherheit, im Benehmen mit dem BSI) und das BfArM (Listung von DiGA/DiPA, Bundesoberbehörde für Medizinprodukte). Die Bundesnetzagentur ist für den Gesundheitssektor nicht zuständig.
Umsetzungsperspektive
Für ein Krankenhaus bietet sich folgende Sequenz an. Zuerst die Pflichtenklärung: Welche Anker treffen das Haus, ist es KRITIS-Betreiber oberhalb der Schwellenwerte, welche Tochtergesellschaften oder MVZ sind einbezogen? Dann der Umsetzungsweg. § 391 erlaubt ausdrücklich die Anwendung branchenspezifischer Sicherheitsstandards. Der B3S "Medizinische Versorgung" der DKG adressiert primär KRITIS-Krankenhäuser, eignet sich konzeptionell aber auch als Orientierung für Nicht-KRITIS-Häuser im Rahmen des § 391.
Methodisch bauen § 391 und B3S auf einem ISMS auf. Ein bestehendes ISMS nach ISO/IEC 27001 oder BSI IT-Grundschutz ist eine tragfähige Grundlage, deckt aber den KRITIS-Nachweis nicht automatisch ab: Der Scope muss die kritische Anlage und die einschlägigen BSIG-Pflichten erfassen, ein ISO-27001-Zertifikat allein ersetzt den B3S-Nachweis nicht. Für die TI-Anbindung gilt die Sicherheitsarchitektur der gematik (TI 2.0 mit Zero-Trust-Ansatz); Nachweise laufen über Sicherheits- und Produktgutachten, die das BSI prüft beziehungsweise bestätigt. Hersteller von Medizinprodukten verankern Cybersecurity per Security-by-Design und -by-Default über den Lebenszyklus, gestützt auf einschlägige Prozessstandards und die frei verfügbare MDCG-Guidance 2019-16.
Typische Fehler
- Cybersecurity-Pflichten ausschließlich aus dem KRITIS-Status ableiten und übersehen, dass § 391 alle Krankenhäuser erfasst.
- Interne Richtlinien und Audit-Verweise weiter auf § 75c SGB V oder auf § 8a/§ 8b BSIG stützen, obwohl beide überholt sind.
- Die gestrichene Zwei-Jahres-Formulierung als Wegfall jeder Pflege missverstehen und Maßnahmen nicht mehr fortschreiben.
- Die ausdrückliche Awareness-Pflicht des § 391 als reine Schulungs-Pflichtübung behandeln statt als wirksamkeitsorientierte Maßnahme.
- Zuständigkeiten verwechseln, etwa die Bundesnetzagentur als Gesundheitsaufsicht annehmen.
Risiken und Trade-offs
Der Verzicht auf einen festen gesetzlichen Re-Assessment-Zyklus in § 391 schafft Flexibilität, verlagert aber die Verantwortung für die Taktung in die Organisation. Ohne interne Festlegung droht ein schleichendes Veralten des Sicherheitsniveaus. Eine zu enge Bindung an einen einzelnen Standard kann umgekehrt parallele Pflichten verdecken, etwa wenn ein Haus zugleich Medizinprodukte betreibt oder eigene digitale Anwendungen anbietet.
Ein weiterer Trade-off liegt zwischen zentraler Steuerung und Versorgungsnähe: Klinische Prozesse dürfen durch Sicherheitsmaßnahmen nicht so eingeschränkt werden, dass die Patientenversorgung leidet. Die Angemessenheitsklausel des § 391 ist hier die Leitplanke, da Aufwand und Ausfallfolgen ins Verhältnis zu setzen sind.
Entscheidungspunkte
- Ist das Haus KRITIS-Betreiber oberhalb der Schwellenwerte, und welche zusätzlichen BSIG-Pflichten folgen daraus?
- Wird der B3S "Medizinische Versorgung" als Umsetzungsweg nach § 391 gewählt, oder ein eigener, gleichwertiger Ansatz?
- Welche interne Taktung ersetzt den entfallenen gesetzlichen Zwei-Jahres-Zyklus?
- Welche Rollen außerhalb des Krankenhauses (Praxis-MVZ, Apotheke, eigene App, Medizinprodukt-Eigenherstellung) lösen weitere Anker aus?
- Wie wird sichergestellt, dass Dokumentation auf die aktuell geltenden Paragrafen verweist?
Praktische Empfehlungen
- Erstellen Sie eine Pflichten-Landkarte je Rolle und ordnen Sie jedem Anker einen verantwortlichen Owner zu.
- Bereinigen Sie alle internen Verweise: § 391 statt § 75c, neue BSIG-Nummerierung statt § 8a/§ 8b. Prüfen Sie die exakte Paragrafenzuordnung gegen den geltenden Gesetzestext.
- Legen Sie eine eigene Re-Assessment-Taktung fest, da § 391 keinen festen Zyklus mehr vorgibt.
- Verankern Sie Security-Awareness als wiederkehrende, wirksamkeitsgeprüfte Maßnahme, nicht als einmalige Schulung.
- Klären Sie Zuständigkeiten gegenüber BSI, gematik und BfArM und vermeiden Sie Fehlannahmen zur Bundesnetzagentur.
Relevante Normreferenzen
- § 391 SGB V "IT-Sicherheit in Krankenhäusern": Anker für Krankenhäuser, durch DigiG seit 26.03.2024 in Kraft, Vorgänger § 75c SGB V.
- §§ 306, 311 ff. SGB V: Auftrag der gematik für die Telematikinfrastruktur und deren Datensicherheit (im Benehmen mit dem BSI).
- NIS2-Richtlinie (RL (EU) 2022/2555) und BSIG i. d. F. NIS2UmsuCG: KRITIS- und Risikomanagementpflichten; das BSIG wurde neu nummeriert (exakte Paragrafenzuordnung am geltenden Text zu prüfen).
- VO (EU) 2017/745 (MDR) und VO (EU) 2017/746 (IVDR): Cybersecurity-Anforderungen an Medizinprodukte und In-vitro-Diagnostika.
- BSI TR-03161: Voraussetzung für die DiGA/DiPA-Listung im BfArM-Verzeichnis.
- MDCG 2019-16: frei verfügbare Guidance zur Cybersecurity von Medizinprodukten.
- DKG-B3S "Medizinische Versorgung", gematik-Spezifikationen, ISO/IEC 27001, IEC 81001-5-1 und IEC 62304: nur als Referenz, lizenz- bzw. kostenpflichtig.
Häufige Fragen
Was ist der gesetzliche Anker für IT-Sicherheit in Krankenhäusern?+
§ 391 SGB V "IT-Sicherheit in Krankenhäusern", durch das DigiG seit dem 26.03.2024 in Kraft. Er hat § 75c SGB V abgelöst.
Gilt § 391 SGB V nur für KRITIS-Krankenhäuser?+
Nein, § 391 gilt für alle Krankenhäuser. KRITIS-Betreiber oberhalb der Schwellenwerte unterliegen zusätzlich den BSIG-Pflichten mit B3S-Nachweis.
Müssen Krankenhäuser ihre Maßnahmen weiterhin alle zwei Jahre anpassen?+
Die Zwei-Jahres-Formulierung des früheren § 75c ist in § 391 nicht mehr enthalten. Da der Stand der Technik dynamisch ist, bleibt eine kontinuierliche, intern getaktete Pflege jedoch notwendig.
Wer ist für die Cybersecurity-Aufsicht im Gesundheitswesen zuständig?+
Das BSI, die gematik (im Benehmen mit dem BSI) und das BfArM. Die Bundesnetzagentur ist hier nicht zuständig.
Wie verhält sich § 391 zu NIS2 und KRITIS?+
§ 391 ist ein flächendeckendes Krankenhaus-Regime im SGB V. NIS2 wird in Deutschland über das BSIG umgesetzt; KRITIS-Pflichten treffen nur Betreiber kritischer Anlagen oberhalb der Schwellenwerte.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Gesundheitswesen prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: health-001.
