NIS2-Gesetz: Gesundheitswesen im Umbruch – ISB werden zu Schlüsselfiguren

Die Schonfrist ist vorbei. Seit Ende 2025 verschärft das deutsche NIS2-Umsetzungsgesetz die Cybersicherheitspflichten für das Gesundheitswesen radikal – ohne Übergangsfrist. Für Informationssicherheitsbeauftragte (ISB) und die nun persönlich haftende Geschäftsführung beginnt eine neue Ära unter enormem Druck.

Die EU-Richtlinie NIS2, in Deutschland vor allem durch eine Novellierung des BSI-Gesetzes umgesetzt, markiert einen Wendepunkt. Sie zielt darauf ab, die Cyberresilienz kritischer Sektoren wie dem Gesundheitswesen massiv zu stärken. Angesichts zunehmender Ransomware-Angriffe wird der ISB vom Technikexperten zum strategischen Risikomanager an der Seite der Unternehmensleitung.

Erweiterter Geltungsbereich: Tausende neue Einrichtungen in der Pflicht

Eine der tiefgreifendsten Änderungen ist die massive Ausweitung des Regelungsbereichs. Galten bisher vor allem große Krankenhäuser als Kritische Infrastrukturen (KRITIS), erfasst das neue Gesetz nun nahezu alle Kliniken. Zusätzlich rücken erstmals größere Arztpraxen und Medizinische Versorgungszentren (MVZ) in den Fokus.

Viele Kliniken, Praxen und MVZ stehen durch NIS2 plötzlich vor massiven IT-Lücken — und müssen kurzfristig nachweisen, dass Patientendaten und Betriebsabläufe geschützt sind. Ein kostenloses E‑Book erklärt praxisnah, welche Sofortmaßnahmen Priorität haben, wie Sie Meldeprozesse und Incident Response aufbauen und die Geschäftsführung rechtssicher einbinden. Ideal für Informationssicherheitsbeauftragte und Leitungsteams, die jetzt handeln müssen. Gratis-Cybersecurity-Leitfaden für das Gesundheitswesen herunterladen

Betroffen sind Einrichtungen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro. Schätzungen zufolge fallen rund 1.000 Praxen und MVZ unter die strengeren Vorgaben. Insgesamt steigt die Zahl der durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beaufsichtigten Stellen in Deutschland von etwa 4.500 auf rund 29.500. Die Botschaft ist klar: Patientensicherheit hängt von einer funktionierenden IT in der gesamten Versorgungskette ab.

Neue ISB-Rolle: Vom Techniker zum Management-Berater

Mit den gesetzlichen Pflichten wandelt sich die Position des Informationssicherheitsbeauftragten grundlegend. Der ISB agiert nicht länger im Hintergrund, sondern wird zum zentralen Berater der Geschäftsführung und strategischen Manager für Informationsrisiken.

Zu seinen Kernaufgaben gehört nun die Umsetzung eines umfassenden Maßnahmenkatalogs. Dieser reicht vom Management von Sicherheitsvorfällen und der Gewährleistung der Geschäftskontinuität bis zur Sicherung der Lieferkette. Ein weiterer Schwerpunkt liegt auf der regelmäßigen Schulung aller Mitarbeiter. Als maßgeblicher Orientierungsrahmen dient der aktualisierte Branchenspezifische Sicherheitsstandard (B3S) für Krankenhäuser. Der ISB muss diese abstrakten Anforderungen in die Praxis übersetzen und ihre Wirksamkeit stetig überprüfen.

Persönliche Haftung und scharfe Meldefristen erhöhen den Druck

Ein entscheidender Hebel der neuen Regulierung ist die direkte Verantwortung der Geschäftsführung. Die Leitungsebene muss die Cybersicherheitsmaßnahmen billigen, überwachen und kann bei Verstößen persönlich belangt werden. Das stärkt zwar die Position des ISB, erhöht aber gleichzeitig den Erwartungsdruck an seine Arbeit.

Verschärft wird die Lage durch drastisch verkürzte Meldefristen. Bei erheblichen Sicherheitsvorfällen muss innerhalb von 24 Stunden ab Kenntnis eine Erstmeldung an das BSI erfolgen. Seit dem 6. Januar 2026 steht dafür ein aktives Online-Portal zur Verfügung. Die Nichteinhaltung der Pflichten wird teuer: Bußgelder orientieren sich an der DSGVO und können für „wichtige Einrichtungen“ bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes betragen.

Hintergrund: Notwendige Antwort auf eskalierende Cyber-Bedrohungen

Die Verschärfungen sind eine direkte Reaktion auf eine reale und wachsende Gefahr. Der Gesundheitssektor war in den vergangenen Jahren immer wieder Ziel verheerender Angriffe, die nicht nur finanzielle Schäden und Datendiebstahl zur Folge hatten, sondern die Patientenversorgung unmittelbar gefährdeten.

NIS2 etabliert daher einen neuen, EU-weit harmonisierten Mindeststandard. Die Botschaft an die Unternehmen ist eindeutig: Informationssicherheit muss als strategische Daueraufgabe verstanden werden, nicht als einmaliges IT-Projekt. Für ISB bietet sich die Chance, ihr Fachgebiet endgültig auf der Vorstandsebene zu verankern und die nötigen Ressourcen für eine widerstandsfähige Sicherheitsarchitektur einzufordern.

Ausblick: Erste Fristen rücken näher – Handeln ist jetzt Pflicht

Die Uhr tickt für alle betroffenen Einrichtungen. Eine der ersten und wichtigsten Pflichten ist die Registrierung beim BSI, die bis Anfang März 2026 abgeschlossen sein muss. Parallel dazu müssen ISB und ihre Teams dringend eine Ist-Analyse durchführen, um Lücken zwischen bestehenden Maßnahmen und den neuen Anforderungen zu identifizieren.

Die lückenlose Dokumentation des Risikomanagements wird entscheidend, da das BSI stichprobenartige Kontrollen durchführen kann. Informationssicherheitsbeauftragte sind jetzt gefordert, proaktiv Budgets für Investitionen einzufordern und sicherzustellen, dass die neuen Sicherheitsanforderungen in der gesamten Organisation verstanden und gelebt werden. Die Ära des Abwartens ist definitiv vorbei.

PS: NIS2 fordert lückenlose Dokumentation, schnelle Meldewege und nachweisbare Awareness-Maßnahmen. Unser E‑Book „Cyber Security Awareness Trends“ fasst kompakt die wichtigsten Schutzmaßnahmen, Checklisten für Schulungen, Incident-Response-Vorlagen und Hinweise zur Lieferkettensicherung zusammen. Es ist praxisorientiert für ISB, IT-Leitung und Geschäftsführung und hilft Ihnen, Prioritäten zu setzen und Budgets zu begründen. Jetzt E-Book ‚Cyber Security Awareness Trends‘ gratis anfordern