Cyberangriffe auf Krankenhäuser nehmen seit Jahren drastisch zu – und sie treffen längst nicht mehr nur große Universitätskliniken. Jede Einrichtung, die digitale Systeme nutzt oder mit sensiblen Patientendaten arbeitet, ist ein mögliches Ziel. Die Frage ist längst nicht mehr ob, sondern wann ein Angriff passiert.
Mit der neuen NIS2-Regulierung, die der Bundestag am 13. November 2025 endgültig beschlossen hat, setzt die Europäische Union einen verbindlichen Rahmen: Krankenhäuser
müssen bis 2026 nachweisen, dass sie robust, cybersicher und resilient aufgestellt sind.
Das betrifft nicht nur die IT – sondern die gesamte Lieferkette, den Einkauf und das Management.
In diesem Beitrag erkläre ich, warum NIS2 eine der wichtigsten Vorgaben für die Krankenhausbranche wird, welche Risiken bestehen und wie Kliniken sich jetzt strategisch vorbereiten können.
Was ist NIS2 – und warum betrifft es jedes Krankenhaus?
Die NIS2-Richtlinie („Network and Information Security“) ist die zentrale europäische Vorgabe für Cybersicherheit. Sie verpflichtet Betreiber kritischer Infrastrukturen – darunter ausdrücklich alle Krankenhäuser – zu deutlich höheren Sicherheitsstandards.
NIS2 fordert u. a.:
-
eine durchgängige Bewertung von Cyberrisiken, auch in der Lieferkette
-
ein Informationssicherheitsmanagementsystem (ISMS)
-
verbindliche technische und organisatorische Schutzmaßnahmen
-
strenge Meldepflichten innerhalb von 24 Stunden
-
Nachweise über Resilienz, Business Continuity und Notfallpläne
-
eine klare Dokumentation gegenüber Aufsichtsbehörden
-
persönliche Haftung der Geschäftsleitung bei Verstößen
Besonders relevant für den Einkauf:
NIS2 bezieht die gesamte Lieferantenlandschaft mit ein.
Kliniken müssen Risiken bei ihren externen Partnern kennen, bewerten, dokumentieren und fortlaufend überwachen.
Damit wird Cybersecurity zu einer gemeinsamen Aufgabe von IT, Einkauf, Qualitätsmanagement, Medizincontrolling und Geschäftsführung.
Warum Kliniken jetzt handeln müssen
Der Gesetzestext sieht eine Frist bis 2026/27 vor – aber in der Praxis ist diese Zeitspanne sehr knapp. Viele Kliniken kämpfen schon heute mit:
-
fragmentierten Lieferantendaten
-
unvollständigen Verträgen und fehlenden Risikoanalysen
-
gewachsenen Excel-Listen ohne Systematik
-
zeitintensiven Audits
-
steigenden Angriffszahlen
-
Personalmangel in IT und Einkauf
Zudem verlangt NIS2 eine ganzheitliche Sicht auf Cyber- und Lieferkettenrisiken. Das bedeutet:
-
Jedes Krankenhaus muss wissen, welche Lieferanten kritisch sind.
-
Es muss dokumentiert werden, welche Schutzmaßnahmen bestehen.
-
Lieferanten müssen Cyber-Self-Assessments durchführen können.
-
Alle Vorgänge müssen auditfähig dokumentiert sein.
Kurz gesagt:
Ohne digitale Unterstützung wird NIS2 kaum erfüllbar.
Was sich durch den Wegfall von CSRD und LkSG ändert – und was nicht
Viele Kliniken sind erleichtert, weil die neuen Schwellenwerte der CSRD und die Abschwächungen im LkSG sie ab 2026 nicht mehr treffen.
Doch:
NIS2 bleibt – und wird sogar strenger.
Während CSRD vor allem ein Reporting-Thema war, ist NIS2 ein operatives, sicherheitskritisches Gesetz. Es wird kontrolliert. Es wird geprüft. Und die Sanktionen sind deutlich höher.
Damit wird NIS2 zum neuen strategischen Hebel:
-
für Patientensicherheit
-
für Versorgungssicherheit
-
für Haftungsminimierung
-
für ein modernes, digitales Lieferkettenmanagement
Wie Kliniken NIS2 umsetzen können – ohne eigene Ressourcen zu verbrennen
Die Herausforderung: Viele Krankenhäuser haben weder Zeit noch Personal, ein komplettes ISMS aufzubauen oder die gesamte Lieferkette manuell zu prüfen. Moderne Plattformen wie der osapiens HUB ermöglichen Kliniken:
1. Lieferketten-Cyberrisk automatisiert bewerten
Lieferanten werden zentral erfasst, bewertet und überwacht.
2. Cyber-Vorfälle digital melden
Meldepflichten nach NIS2 werden automatisch unterstützt.
3. Audit- und Dokumentationsanforderungen erfüllen
Alle Nachweise liegen digital vor – vollständig, strukturiert und revisionssicher.
4. Kritische Lieferanten klassifizieren
Welche Abhängigkeiten existieren? Welche Risiken? Welche Alternativen?
5. Ein schlankes ISMS einführen
Ohne ein großes IT-Projekt – auf Basis von Vorlagen, Standards und Automation.
Für die Kliniken bedeutet das:
NIS2-Compliance in Wochen statt Monaten.
Sie möchten wissen, was NIS2 konkret für Ihr Haus bedeutet?
Schreiben Sie an [email protected] mit dem Betreff "NIS2". Wir senden Ihnen ein Infopaket für Kliniken zu.
Download NIS2 Leitfaden für den Krankenhaus-Einkauf
Ressourcen unserer Parter osapiens / ViCCON
- Die NIS2-Richtlinie erklärt – was Unternehmen in der EU jetzt wissen müssen
- osapiens HUB for NIS 2
- NIS2 (Network and Information Security Directive) - Dr. Swantje Westpfahl (VICCON) on osapeers YouTube
- 6 medizinische Geräte, auf die Hacker gerne abzielen, und die Gründe dafür
- Ein unsicherer Lieferant kann ein ganzes Krankenhaus lahm legen.