Krankenhäuser sind 'Essential Entities' unter NIS2. Was das konkret bedeutet — und warum der Angriff auf die Uniklinik Düsseldorf 2020 alles verändert hat.
Am 10. September 2020 traf ein Ransomware-Angriff die Uniklinik Düsseldorf. 30 Server verschlüsselt. Notaufnahme geschlossen. Eine Patientin musste nach Wuppertal umgeleitet werden — und starb. Ob der Tod direkt durch den Angriff verursacht wurde, ist juristisch umstritten. Dass er vermeidbar gewesen wäre, nicht.
NIS2 (Network and Information Security Directive 2) soll genau das verhindern. Krankenhäuser ab 50 Mitarbeitern sind als Essential Entity klassifiziert — die strengste Kategorie.
Systematische Identifikation und Bewertung von Cyberrisiken.
Medizingeräte (CT, MRT, Beatmung) laufen oft auf Windows XP/7. Jedes ungepatchte Gerät ist ein Risiko. Risikoregister für ALLE Systeme erforderlich.
Meldepflicht innerhalb von 24h (Frühwarnung) und 72h (detaillierter Bericht).
Düsseldorf 2020: Das Klinikum war tagelang offline. Unter NIS2 hätte innerhalb von 24h an das BSI gemeldet werden müssen.
Notfallpläne für den Weiterbetrieb bei Cyberangriff.
Was passiert, wenn alle digitalen Systeme ausfallen? Papierbasierte Backup-Prozesse für OP, Medikation, Patientendaten.
Sicherheitsanforderungen an Lieferanten und Dienstleister.
Medizintechnik-Hersteller, IT-Dienstleister, Cloud-Anbieter — alle müssen NIS2-Anforderungen erfüllen. Vertragliche Absicherung.
Regelmäßige Cybersecurity-Schulungen für alle Mitarbeitenden.
Ärzte, Pfleger, Verwaltung — ALLE müssen geschult werden. Phishing ist der #1 Angriffsvektor. Eine einzige infizierte E-Mail reicht.
Angemessene Kryptografie für Daten in Transit und at Rest.
Patientendaten sind besonders schützenswert (Art. 9 DSGVO). Verschlüsselung von Patientenakten, Befunden, Kommunikation.
Multi-Faktor-Authentifizierung, Rollenbasierte Zugriffe.
Realität: Oft ein geteiltes Passwort pro Station. NIS2 fordert individuelle Zugänge mit MFA — auch am OP-Terminal.
Geschäftsführung ist persönlich verantwortlich.
Der Klinikgeschäftsführer haftet persönlich bei Compliance-Verstößen. Bußgelder: bis zu 10 Mio. € oder 2% des Umsatzes.
Das Kernproblem: Deutsche Krankenhäuser sind chronisch unterfinanziert. IT-Budgets liegen bei 1-2% des Umsatzes (Industrie: 5-8%). NIS2 fordert Investitionen, die viele Kliniken sich kaum leisten können. Ohne zusätzliche Finanzierung wird Compliance zum Lippenbekenntnis.
Management-Haftung ist der Game-Changer: Unter NIS2 haftet der Klinikgeschäftsführer PERSÖNLICH. Das verändert die Dynamik: Cybersecurity ist keine IT-Aufgabe mehr — es ist eine Vorstandsaufgabe.
Der Düsseldorf-Effekt: Nach 2020 haben viele Kliniken investiert. Aber: Laut BSI sind 2024 immer noch 68% der deutschen Krankenhäuser nicht ausreichend gegen Cyberangriffe geschützt. NIS2 soll das ändern — mit Zwang.
NIS2-Readiness-Check — bevor der Auditor kommt.
NIS2-Analyse starten →Inspiriert von Europäische Union — NIS2-Richtlinie