NIS2 für das Gesundheitswesen
Das Gesundheitswesen ist ein hochkritischer Sektor unter NIS2 Anhang I. Krankenhäuser, pharmazeutische Unternehmen, Medizintechnikhersteller und Referenzlabore müssen erhöhte Sicherheitsanforderungen erfüllen.
Warum das Gesundheitswesen?
Cyberangriffe auf Gesundheitseinrichtungen gefährden unmittelbar Menschenleben. Ransomware-Angriffe auf Krankenhäuser haben in den letzten Jahren zu Notaufnahme-Umleitungen, verschobenen Operationen und kompromittierten Patientendaten geführt. NIS2 stuft das Gesundheitswesen daher als hochkritischen Sektor (Anhang I) ein – große Einrichtungen werden als besonders wichtige Einrichtungen (bwE) klassifiziert.
Der Anwendungsbereich ist breit: Krankenhäuser und Kliniken, pharmazeutische Unternehmen, Hersteller von Medizinprodukten (insbesondere bei Versorgungsengpässen), EU-Referenzlabore und Forschungseinrichtungen im Gesundheitsbereich. Ab 50 Mitarbeitern oder über 10 Mio. EUR Umsatz fallen diese Einrichtungen unter das BSIG.
Das Gesundheitswesen hat ein doppeltes Risikoprofil: Einerseits die Verfügbarkeit kritischer Systeme für die Patientenversorgung, andererseits die Vertraulichkeit sensibler Gesundheitsdaten. Patientendaten sind nach Art. 9 DSGVO besondere Kategorien personenbezogener Daten und unterliegen erhöhtem Schutzbedarf. Ein Cybersicherheitsvorfall im Gesundheitswesen ist daher fast immer auch ein Datenschutzvorfall.
Krankenhausinformationssystem (KIS)
SAP IS-H, Dedalus ORBIS, Nexus/KIS oder Cerner. Das KIS ist das zentrale System für Patientenverwaltung, Dokumentation, Leistungserfassung und Abrechnung. Ein Ausfall lähmt den gesamten klinischen Betrieb. Bei Pharma-Unternehmen entspricht dies dem ERP-System (SAP, Oracle).
PACS und Bildgebung
Picture Archiving and Communication Systems für Radiologie, Kardiologie und Pathologie. Speichert CT-, MRT-, Röntgen- und Ultraschallbilder. Kommuniziert über DICOM-Protokoll mit bildgebenden Geräten. Datenverlust im PACS bedeutet Verlust diagnostischer Informationen, die für die Patientenversorgung kritisch sind.
Vernetzte Medizingeräte
Infusionspumpen, Patientenmonitore, Beatmungsgeräte, Laborautomaten – zunehmend netzwerkfähig. Viele Medizingeräte laufen auf eingebetteten Betriebssystemen, die der Hersteller kontrolliert und die nicht eigenständig gepatcht werden können. Gemäß MDR (EU-Medizinprodukteverordnung) dürfen Modifikationen nur durch den Hersteller erfolgen.
Laborinformationssystem (LIS)
Systeme für die Labordiagnostik: Auftragsverwaltung, Befunderstellung, Anbindung an Laboranalytik-Geräte. Ohne LIS-Zugriff müssen Laborbefunde manuell erstellt und übermittelt werden – ein massiver Engpass in der Patientenversorgung.
Netzwerkinfrastruktur
Klinisches Netzwerk, Verwaltungsnetzwerk, Medizingerätenetzwerk (oft VLAN-segmentiert), WLAN für mobile Visite und Patienten-WLAN. Firewalls, VPN-Zugänge für Fernwartung und Telemedizin. Die Netzwerksegmentierung zwischen klinischen und administrativen Systemen ist sicherheitskritisch.
Endgeräte und Arbeitsplätze
Stations-PCs, mobile Visitenwagen, Tablets, Thin Clients. In Krankenhäusern oft hunderte Endgeräte an Dutzenden Standorten. Grundschutz erlaubt Gruppierung: '200 Standard-Thin-Clients auf Stationen' ist ein Asset-Eintrag.
1. Beim BSI registrieren
Die §33-BSIG-Registrierung über das MUK-Portal ist Pflicht. Gesundheitseinrichtungen als Anhang-I-Sektor unterliegen besonders wichtiger Einstufung und damit proaktiver BSI-Aufsicht. Registrieren Sie sich umgehend, falls noch nicht geschehen.
2. Asset-Inventar aufbauen
Erfassen Sie alle Systeme, die die Patientenversorgung oder Ihre wesentlichen Dienste unterstützen. Im Gesundheitswesen ist die Asset-Landschaft komplexer als in anderen Branchen. Beginnen Sie mit den sechs obigen Kategorien und verfeinern Sie schrittweise. Vergessen Sie nicht die vernetzten Medizingeräte – sie sind oft der blinde Fleck.
3. Vorfallmeldung einrichten
Im Gesundheitswesen hat ein Sicherheitsvorfall doppelte Meldepflichten: BSI-Meldung nach §32 BSIG (24h/72h/1 Monat) und bei Betroffenheit von Patientendaten zusätzlich Meldung an die Datenschutzaufsichtsbehörde nach Art. 33 DSGVO (72h). Definieren Sie einen integrierten Meldeprozess, der beide Pflichten abdeckt.
4. Zugangskontrollen verstärken
Wer hat Zugang zu Patientendaten? Im klinischen Alltag sind gemeinsam genutzte Stationskonten und fehlende Bildschirmsperren verbreitet. Führen Sie rollenbasierte Zugriffskontrollen ein, aktivieren Sie MFA für Fernzugriffe und VPN, und überprüfen Sie regelmäßig die Zugriffsberechtigungen. Jeder Zugriff auf Patientendaten muss nachvollziehbar sein.
5. Verschlüsselung umsetzen
Patientendaten müssen sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt werden. Prüfen Sie: Ist die Kommunikation zwischen KIS und PACS verschlüsselt? Sind die Datenbanken verschlüsselt? Sind mobile Endgeräte mit Patientendaten verschlüsselt? Ein gestohlener Laptop ohne Festplattenverschlüsselung ist ein meldepflichtiger Datenschutzvorfall.
Die Verfügbarkeitsanforderungen sind in kaum einem anderen Sektor so hoch. Ein KIS-Ausfall in einem Krankenhaus ist kein wirtschaftliches Problem – er gefährdet die Patientenversorgung. Notfallpläne müssen den Rückfall auf Papier-basierte Dokumentation abdecken. Jede Minute zählt, wenn Rettungswagen umgeleitet werden müssen.
Vernetzte Medizingeräte stellen eine besondere Herausforderung dar. Sie dürfen gemäß der EU-Medizinprodukteverordnung (MDR) nicht eigenständig verändert werden – auch keine Sicherheitsupdates. Die Verantwortung liegt beim Hersteller. In der Praxis bedeutet das: Netzwerksegmentierung, Überwachung des Netzwerkverkehrs und kompensierende Maßnahmen dokumentieren. Im Asset-Inventar müssen Sie festhalten, welche Geräte herstellergebunden sind.
Die Überschneidung mit der DSGVO ist im Gesundheitswesen besonders stark. Fast jeder Cybersicherheitsvorfall betrifft auch Patientendaten (Art. 9 DSGVO, besondere Kategorien). Das bedeutet doppelte Meldepflichten, erhöhte Bußgeldrisiken und höhere Anforderungen an technische und organisatorische Maßnahmen. Positiv: Wer NIS2 konsequent umsetzt, erfüllt auch einen Großteil der DSGVO-Anforderungen an die technisch-organisatorische Sicherheit.
Häufig gestellte Fragen
Wir sind ein Krankenhaus mit 300 Betten. Sind wir besonders wichtige Einrichtung?
Mit hoher Wahrscheinlichkeit ja. Krankenhäuser fallen unter NIS2 Anhang I (Gesundheitswesen, hochkritischer Sektor). Wenn Sie 250 oder mehr Mitarbeiter haben oder über 50 Mio. EUR Umsatz, werden Sie als besonders wichtige Einrichtung (bwE) eingestuft. Das bedeutet proaktive BSI-Aufsicht und die höchste Bußgeldstufe (bis 10 Mio. EUR oder 2 % des Umsatzes). Mittlere Einrichtungen (50 bis 249 Mitarbeiter) gelten als wichtige Einrichtung (wE).
Wie gehen wir mit Medizingeräten um, die wir nicht patchen dürfen?
Das ist ein bekanntes Problem, das das BSI adressiert hat. Der Ansatz: Dokumentieren Sie alle vernetzten Medizingeräte im Asset-Inventar mit Firmware-Version und Herstellerverantwortung. Isolieren Sie sie in einem eigenen Netzwerksegment. Überwachen Sie den Netzwerkverkehr auf Anomalien. Schließen Sie Cybersicherheitsklauseln in Wartungsverträge mit Herstellern ein. Dokumentieren Sie die kompensierenden Maßnahmen – das BSI erwartet nicht, dass Sie MDR-konforme Geräte verändern.
Haben wir durch das Patientendatenschutzgesetz (PDSG) nicht schon alles abgedeckt?
Nur teilweise. Das PDSG und §75c SGB V betreffen Krankenhäuser und definieren Anforderungen an die IT-Sicherheit. NIS2/BSIG geht weiter: Es verlangt ein formales Risikomanagementsystem, strenge Meldepflichten (24h/72h/1 Monat), Lieferkettenbewertung und persönliche Geschäftsführerhaftung. Wenn Sie bereits nach §75c SGB V arbeiten, haben Sie eine gute Grundlage, müssen aber Lücken in den NIS2-spezifischen Bereichen schließen.
Wie lange dauert die NIS2-Umsetzung im Gesundheitswesen?
Länger als in anderen Sektoren, weil die Asset-Landschaft komplexer ist. Für ein Krankenhaus mit 200 bis 500 Mitarbeitern rechnen Sie mit 6 bis 12 Monaten für eine solide Grundlage. Die BSI-Registrierung ist in einer Woche erledigt. Asset-Inventar und Risikobewertung dauern 6 bis 10 Wochen (wegen der Medizingeräte). Richtlinien, Prozesse und technische Maßnahmen weitere 4 bis 6 Monate. Pharma und Medizintechnik sind tendenziell schneller (4 bis 8 Monate).