Warum ist dieses Thema für meine Organisation relevant?

Menschliches Verhalten ist die häufigste Ursache von Sicherheitsvorfällen. Wissen und Awareness zu diesem Thema senken das Risiko direkt und nachweisbar.

Wie hilft 2LRN4 bei diesem Thema?

2LRN4 verknüpft das Thema mit einem risikobasierten Trainingsmodul, optionaler Phishing-Simulation und Reports, sodass Sie Compliance gegenüber Aufsicht und Vorstand belegen können.

Reicht ein Awareness-Training aus oder braucht es mehr?

Training ist ein notwendiger Baustein, aber kein vollständiger Schutz. Kombinieren Sie es mit technischen Maßnahmen (MFA, E-Mail-Filter), Prozessen und einer Meldekultur für besten Schutz.

NIS2-Awareness für Gesundheitsorganisationen

Krankenhäuser und Gesundheitseinrichtungen fallen unter das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), sobald sie die sektoralen Schwellen für die Gesundheitsversorgung erreichen. Für KRITIS-relevante Krankenhäuser gilt zusätzlich der § 75c SGB V mit der Pflicht, IT-Sicherheit nach dem Stand der Technik umzusetzen, in der Praxis durch Anwendung des B3S Medizinische Versorgung im Krankenhaus, eines BSI-anerkannten branchenspezifischen Sicherheitsstandards der Deutschen Krankenhausgesellschaft (DKG). Hinzu kommen das Patientendaten-Schutz-Gesetz (PDSG) und die DSGVO. Für österreichische Einrichtungen gilt das NISG 2024, ergänzt durch ELGA-Vorgaben und das GTelG 2012.

Welche Gesundheitseinrichtungen sind betroffen?

Im Gesundheitssektor wird zwischen mehreren Regelungsebenen unterschieden, die parallel gelten:

Erstens fallen Krankenhäuser, große ambulante Versorgungseinrichtungen, Labore und Hersteller/Vertreiber pharmazeutischer Produkte unter das NIS2UmsuCG als wesentliche oder wichtige Einrichtungen, sobald sie 50+ Mitarbeiter oder €10 Mio. Jahresumsatz erreichen. Aufsicht ist primär das BSI, sektoral ergänzt durch die jeweiligen Landes-Gesundheitsministerien.

Zweitens gilt § 75c SGB V für alle Krankenhäuser, unabhängig von NIS2-Status: Krankenhäuser müssen seit 1. Januar 2022 angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik treffen. Häuser mit mehr als 30.000 vollstationären Fällen pro Jahr gelten zudem als KRITIS-Betreiber im Sinne der BSI-KRITIS-Verordnung und unterliegen verschärften Pflichten, einschließlich der Nachweispflicht alle zwei Jahre gegenüber dem BSI.

Drittens kann der B3S Medizinische Versorgung im Krankenhaus (von der DKG erstellt und vom BSI anerkannt) als anerkannter Maßstab für den "Stand der Technik" herangezogen werden. Wer den B3S anwendet, schafft eine starke Vermutung der Konformität.

Spezifische Risiken im Gesundheitswesen

Das Gesundheitswesen kombiniert mehrere Risikofaktoren, die Awareness besonders dringlich machen:

Patientendaten. Gesundheitsdaten sind besondere personenbezogene Daten nach DSGVO Art. 9 und haben hohen Schwarzmarktwert. Ein Datenleck löst sowohl die DSGVO-Meldepflicht (an die Landesdatenschutzbehörde) als auch die NIS2-Meldepflicht (an das BSI) aus.
Medizingeräte (IoMT). Infusionspumpen, Beatmungsgeräte, MRT, Herzschrittmacher haben oft lange Lebenszyklen und eingeschränkte Patch-Möglichkeiten. Ransomware-Angriffe können direkt die Patientensicherheit gefährden, wie der Fall der Uniklinik Düsseldorf 2020 zeigte.
Notfallversorgung. Anders als in vielen Branchen kann ein Krankenhaus den Betrieb nicht "pausieren". Notfallpläne müssen den Betrieb auch bei vollständigem IT-Ausfall gewährleisten — Stichwort Manuell-Modus, Rückfall auf Papier, Verlegung von Patienten.
Phishing und Social Engineering. Pflegende und ärztliches Personal arbeiten unter Zeitdruck und haben oft umfangreiche Zugriffsrechte im Krankenhausinformationssystem (KIS). Gezieltes Spear-Phishing auf ärztliches oder kaufmännisches Personal ist ein häufiger Einstiegsvektor.
Schatten-IT und BYOD. WhatsApp-Gruppen für Übergaben, private E-Mail-Adressen für Überweisungen, private Endgeräte am Arbeitsplatz: strukturelle Schwachstellen, die durch Awareness adressiert werden müssen.

Awareness-Ansatz für Beschäftigte im Gesundheitswesen

Ein NIS2- und B3S-konformes Awareness-Programm kombiniert generische Security-Module mit sektorspezifischen Inhalten. Sowohl das BSIG (§ 30 n.F.) als auch der B3S Gesundheit benennen explizit Schulung und Sensibilisierung als verpflichtende Maßnahme mit nachweisbarer Frequenz und Teilnahmequote.

Rollenbasierte Schulung. Unterscheidung zwischen klinischem Personal (Fokus: Patientendaten, KIS-Hygiene, Phishing erkennen), Verwaltungspersonal (Fokus: CEO-Fraud, Social Engineering Richtung Buchhaltung) und IT-Personal (Fokus: Incident Response, Secure Development).
Frequenz. Mindestens jährliche Vollschulung plus quartalsweise Mikrolearnings. Bei hoher Personalfluktuation (Leasing-Personal, Honorarkräfte) verpflichtende Onboarding-Schulung innerhalb von 2 Wochen nach Dienstantritt.
Phishing-Simulationen. Sektorspezifische Szenarien, etwa gefälschte Krankenkassen-Mails, vermeintliche Kollegenanfragen für KIS-Zugang, oder gefälschte KBV-/MDK-Schreiben.
Incident Reporting. Niedrigschwellige Meldewege, idealerweise als Button im KIS oder über eine dedizierte Security-Mailadresse. Eine Just Culture (keine Bestrafung bei ehrlicher Meldung) ist entscheidend, da Underreporting im Gesundheitswesen ein bekanntes Problem ist.
Vorstandsschulung. § 38 BSIG n.F. und die NIS2-Vorgaben verpflichten die Geschäftsführung (in Universitätskliniken auch das Klinikum-Vorstandsgremium) zur Eigenschulung. Der medizinische Vorstand und kaufmännische Vorstand müssen nachweisbar geschult werden.

Sektorale Normen: B3S, § 75c SGB V und PDSG

Der B3S Medizinische Versorgung im Krankenhaus wird von der Deutschen Krankenhausgesellschaft (DKG) erstellt und vom BSI als branchenspezifischer Sicherheitsstandard anerkannt. Er konkretisiert den "Stand der Technik" nach § 75c SGB V und ist faktisch der Referenzrahmen für die IT-Sicherheit deutscher Krankenhäuser. Die aktuelle Version (2.0) ist bis Anfang 2026 anwendbar und wird turnusmäßig fortgeschrieben.

§ 75c SGB V verpflichtet alle Krankenhäuser seit dem 1. Januar 2022 zur Umsetzung angemessener IT-Sicherheitsmaßnahmen nach dem Stand der Technik. KRITIS-Krankenhäuser (über 30.000 vollstationäre Fälle/Jahr) müssen ihre Sicherheitsvorkehrungen alle zwei Jahre gegenüber dem BSI nachweisen.

Das Patientendaten-Schutz-Gesetz (PDSG) ergänzt diese Vorgaben mit spezifischen Anforderungen an die elektronische Patientenakte (ePA), Telematikinfrastruktur und Schnittstellen zur gematik. Die DSGVO gilt parallel für alle personenbezogenen Gesundheitsdaten, mit den Landesdatenschutzbehörden als Aufsicht. Ein Vorfall mit Patientendaten kann gleichzeitig DSGVO-Meldepflicht (72h an Landesdatenschutzbehörde) und NIS2-Meldepflicht (24h an BSI) auslösen.

Und in Österreich?

In Österreich gilt das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) als Umsetzung der NIS2-Richtlinie. Krankenhäuser und größere Gesundheitseinrichtungen werden als wesentliche oder wichtige Einrichtungen eingestuft, abhängig von Größe und Versorgungsrelevanz. Zentrale Koordination liegt beim Bundesministerium für Inneres (BMI), sektorale Aufsicht beim Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK).

Ergänzend gilt das Gesundheitstelematikgesetz 2012 (GTelG 2012), das die Datensicherheit und Authentifizierung in der elektronischen Gesundheitsakte ELGA regelt. ELGA ist das nationale System für elektronische Gesundheitsbefunde, mit eindeutiger Patientenidentifikation und rollenbasiertem Zugriff. Awareness rund um den korrekten Umgang mit ELGA-Zugriffen, Bürgerkarte und Handy-Signatur ist eine spezifisch österreichische Anforderung.

Für Konzerne mit Niederlassungen in Deutschland und Österreich gilt die Hauptniederlassungsregel aus NIS2 Artikel 26: das nationale Recht des Mitgliedstaats, in dem die Hauptverwaltung sitzt, ist primär anwendbar. Sektorale Pflichten (etwa gegenüber dem ELGA-Hauptverband in Österreich oder dem BSI in Deutschland) können dennoch parallel bestehen.

Von der Erklärung zur Lösung

Entdecken Sie, wie 2LRN4 dieses Thema in ein praxistaugliches Security-Awareness-Programm mit messbaren Ergebnissen überführt.

Zur NIS2-Seite

Quellen

FAQ

Ab welcher Größe gilt § 75c SGB V als KRITIS-Schwelle?

Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr gelten als KRITIS-Betreiber im Sinne der BSI-KRITIS-Verordnung. Sie unterliegen verschärften Pflichten, einschließlich des Nachweises nach § 8a BSIG alle zwei Jahre. § 75c SGB V (Pflicht zu angemessenen IT-Sicherheitsmaßnahmen nach Stand der Technik) gilt jedoch für alle Krankenhäuser, unabhängig von der Größe.

Ersetzt das NIS2UmsuCG den B3S Gesundheit?

Nein. Der B3S Gesundheit bleibt als BSI-anerkannter branchenspezifischer Sicherheitsstandard bestehen und konkretisiert den "Stand der Technik" nach § 75c SGB V. Das NIS2UmsuCG fügt eine zusätzliche regulatorische Ebene mit Meldepflichten, Geschäftsleitungspflichten und schärferen Sanktionen hinzu. In der Praxis ergänzen sich beide Regelwerke; ein vollständig nach B3S betriebenes Krankenhaus erfüllt einen Großteil der NIS2-Anforderungen bereits.

Was ist die Meldepflicht bei einem Ransomware-Angriff auf das Krankenhaus?

Erhebliche Vorfälle sind nach § 32 BSIG n.F. in drei Stufen an das BSI zu melden: Frühwarnung innerhalb von 24 Stunden, Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Bei Verlust von Patientendaten läuft parallel die DSGVO-Meldepflicht (72h an die Landesdatenschutzbehörde). Zusätzlich kann eine Meldung an die zuständige Landes-Krankenhausaufsicht erforderlich werden.

Wer haftet bei einem Datenleck im Krankenhaus?

Nach § 38 BSIG n.F. ist die Geschäftsleitung für die Billigung und Überwachung der Risikomanagementmaßnahmen verantwortlich und haftet bei schuldhafter Pflichtverletzung persönlich. Nach DSGVO haftet die Einrichtung als Verantwortlicher. Zivilrechtlich kann die Geschäftsleitung gegenüber dem Krankenhausträger in Regress genommen werden. Strafrechtliche Konsequenzen sind bei grober Fahrlässigkeit ebenfalls möglich.

Wie oft müssen Beschäftigte im Gesundheitswesen Awareness-Schulungen absolvieren?

NIS2UmsuCG und B3S Gesundheit schreiben keine starre Frequenz vor, die Praxisnorm liegt jedoch bei einer jährlichen Vollschulung plus quartalsweise Mikro-Schulungen. Bei hoher Personalfluktuation (Leasing-Personal, Honorarkräfte) empfiehlt sich eine verpflichtende Onboarding-Schulung innerhalb von zwei Wochen nach Dienstantritt. Die Teilnahme muss nachweisbar dokumentiert werden.

Gilt das auch für Arztpraxen?

Einzelne Arzt- und Zahnarztpraxen fallen in der Regel nicht direkt unter das NIS2UmsuCG, da sie die Schwellenwerte (50+ Mitarbeiter oder €10M Umsatz) nicht erreichen. DSGVO und sektorale Vorgaben (etwa MVZ, KBV-Richtlinien, gematik-Anforderungen für die TI-Anbindung) bleiben jedoch anwendbar. Über Lieferkettenklauseln können auch Praxen indirekt NIS2-abgeleiteten Anforderungen begegnen, etwa beim Anschluss an Klinik-Netzwerke.