Zum Hauptinhalt springen
NIS2Certify
Zurück zur Übersicht

NIS2 für Gesundheitsdienstleister: Was MSPs leisten müssen

Von NIS2Certify
nis2gesundheitswesenmsplieferketten-sicherheitarticle-21
NIS2 für Gesundheitsdienstleister: Was MSPs leisten müssen

Ein Krankenhaus in Europa erhält um 2 Uhr nachts einen Ransomware-Alarm. Das Bereitschaftsteam weiß genau, welche Lieferantenverbindung das Einfallstor ist. Es kann sie nicht schnell genug kappen. Bis die Verbindung getrennt ist, hat sich die Verschlüsselung auf die Bildgebungssysteme ausgebreitet, und elektive Operationen werden für drei Tage abgesagt.

Dieses Szenario ist nicht hypothetisch. Die Bedrohungsdaten von ENISA zeigen, dass der Gesundheitssektor der am stärksten von Ransomware betroffene kritische Sektor in der EU ist, und eine aktuelle Umfrage ergab, dass weniger als jeder dritte europäische Gesundheitsdienstleister einen kompromittierten Tier-1-Lieferanten innerhalb von 90 Minuten isolieren kann. Unter NIS2 ist diese Lücke nicht mehr nur eine operative Peinlichkeit. Sie ist ein Compliance-Versagen mit persönlicher Haftung.

Wenn Sie einen MSP betreiben oder Krankenhäuser, Kliniken, Labore oder Hersteller von Medizinprodukten beraten, ist das Gesundheitswesen jetzt einer der Sektoren mit dem höchsten Einsatz unter NIS2, in denen Sie arbeiten werden. Hier ist, was die Richtlinie diesen Kunden tatsächlich abverlangt und wo die praktische Arbeit liegt.

Einrichtungen des Gesundheitswesens sind "wesentlich" — die strengste Stufe von NIS2

NIS2 teilt regulierte Organisationen in wesentliche und wichtige Einrichtungen ein. Krankenhäuser und die meisten Gesundheitsdienstleister fallen in die Kategorie wesentlich, die das schärfere Aufsichtsregime mit sich bringt.

Die Größenschwelle erfasst mehr Einrichtungen, als die meisten erwarten: Eine Einrichtung mit mindestens 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz oder Bilanzsumme fällt in den Anwendungsbereich. In der Praxis bedeutet das die meisten Krankenhäuser, größere Diagnoselabore, Pharmahersteller und große Medizinproduktehersteller. Viele mittelgroße Privatkliniken und Laborgruppen überschreiten die Grenze, ohne es zu merken.

Der Unterschied zwischen wesentlich und wichtig ist nicht kosmetisch. Wesentliche Einrichtungen unterliegen einer Ex-ante-Aufsicht — proaktiven Audits, Vor-Ort-Inspektionen und Sicherheitsscans, selbst wenn nichts schiefgegangen ist. Wichtige Einrichtungen werden reaktiv beaufsichtigt, nach einem Vorfall oder einer Beschwerde. Gehen Sie bei Ihren Gesundheitskunden davon aus, dass ein Prüfer unangekündigt auftauchen kann.

Gilt NIS2 für Ihre Organisation?
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
JaNein
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
JaNein
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
JaNein
NIS2 gilt nicht unmittelbar für Ihre Organisation.
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
Gilt
Gilt möglicherweise
Gilt nicht

Die Geschäftsleitung haftet persönlich, und vierteljährliche Überprüfungen müssen protokolliert werden

NIS2 Article 20 überträgt das Cyberrisiko auf das Leitungsorgan. Für ein Krankenhaus bedeutet das, dass der Vorstand oder die Geschäftsleitung dies nicht an die "IT" delegieren und dann vergessen kann. Sie müssen die Risikomanagementmaßnahmen genehmigen, die Umsetzung überwachen und an Schulungen zur Cybersicherheit teilnehmen.

Der praktische Test, den Prüfer anwenden, ist die Dokumentation. Kann die Einrichtung mindestens vierteljährlich protokollierte Überprüfungen des Cyberrisikos auf Leitungsebene nachweisen? Gibt es Aufzeichnungen über die Teilnahme der Geschäftsleitung an Schulungen? Gibt es ein Challenge-Log, das zeigt, dass die Geschäftsleitung die Sicherheitslage hinterfragt hat, statt sie einfach abzunicken?

Bei wiederholter oder schwerwiegender Nichteinhaltung können Aufsichtsbehörden ein vorübergehendes Verbot für Personen verhängen, die Führungspositionen innehaben. Einem Krankenhausdirektor kann im Prinzip die Ausübung seiner Funktion untersagt werden. Das ist die Art von Konsequenz, die einen Vorstand dazu bringt, eine vierteljährliche Überprüfung ernst zu nehmen — Ihre Aufgabe ist es, ihm den Nachweisweg zu liefern, der belegt, dass er es getan hat.

Die zehn Maßnahmen nach Article 21, übersetzt für eine klinische Umgebung

Article 21 listet zehn grundlegende Maßnahmen auf, die jede in den Anwendungsbereich fallende Einrichtung umsetzen muss. Im Gesundheitswesen schlagen sie auf spezifische, manchmal unbequeme Weise durch:

Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme müssen klinische Systeme abdecken, die nie mit Blick auf Sicherheit konzipiert wurden — alte PACS-Bildgebungsserver, Infusionspumpen und Patientenmonitore, die auf nicht unterstützten Betriebssystemen laufen. Sie können einen 12 Jahre alten MRT-Controller nicht patchen, also wird die Maßnahme zu Netzwerksegmentierung und kompensierenden Kontrollen, entsprechend dokumentiert.

Die Behandlung von Vorfällen muss funktionieren, wenn die Personen, die den Vorfall erkennen, Kliniker sind und keine Sicherheitsanalysten. Die Kontrolle, die zählt, ist diejenige, die es einem Krankenhaus ermöglicht, einen Sicherheitsvorfall zu erkennen, bevor er die Patientenversorgung beeinträchtigt.

Geschäftskontinuität und Backup-Management ist der Punkt, an dem Lebenssicherheit auf Compliance trifft. Die Einrichtung muss in der Lage sein, die Versorgung aufrechtzuerhalten, wenn Systeme ausfallen, was getestetes Failover für die elektronische Patientenakte und Offline-Backups bedeutet, die Ransomware nicht erreichen kann.

Lieferkettensicherheit ist die Maßnahme, die die meisten Krankenhäuser bloßstellt. Das Gesundheitswesen läuft auf Drittanbietern für Bildgebung, Laborinformationssystemen, verwalteten Geräteflotten und zunehmend KI-Diagnoseplattformen. NIS2 verlangt von der Einrichtung, das Risiko in diesen Beziehungen zu managen — und einen kompromittierten Partner schnell trennen zu können.

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
Artikel 21
10 Cybersicherheitsmaßnahmen
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Wenn Sie die vollständige Aufschlüsselung aller zehn Maßnahmen möchten, lesen Sie unseren Leitfaden zu den zehn erklärten Maßnahmen nach Article 21.

Lieferantenrisiko ist die Maßnahme, die zuerst durch Audits fällt

Die Zahl zur Lieferantenisolierung verdient Aufmerksamkeit: Weniger als ein Drittel der europäischen Gesundheitsdienstleister glaubt, einen Tier-1-Lieferanten oder eine KI-Plattform innerhalb von eineinhalb Stunden vollständig isolieren zu können. Viele Sicherheitsverantwortliche betrachten eine Isolierung in unter einer Stunde inzwischen als das eigentliche Ziel für die Patientensicherheit.

NIS2 erlaubt es einem Krankenhaus nicht, auf seinen Lieferanten zu zeigen und davonzugehen. Die Richtlinie macht die Einrichtung für das Management des Lieferkettenrisikos verantwortlich, was konkrete Ergebnisse bedeutet: ein Lieferantenverzeichnis, das abbildet, welcher Dritte welches klinische System berührt, in Lieferantenverträge geschriebene Sicherheitsklauseln und ein getestetes Verfahren, um einen kompromittierten Lieferanten zu trennen, ohne die Patientenversorgung lahmzulegen.

Das ist fruchtbarer Boden für MSPs und Berater. Die meisten Krankenhäuser haben keine aktuelle Karte ihrer Lieferantenkonnektivität, keine vertragliche Sicherheitsbasis und kein eingeübtes Isolierungs-Playbook. Der Aufbau dieser drei Artefakte ist ein sauberes, klar abgegrenztes Mandat, das direkt die risikoreichste Lücke nach Article 21 schließt. Für die Vertragsseite im Besonderen behandelt unsere Aufschlüsselung von Lieferantenverträgen nach Article 21 die Klauseln, die standhalten.

NIS2-Sanktionseskalation — Jenseits der Geldbuße
!
Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen
Nicht-finanzielle Sanktionen
1
Anordnungen mit bindenden Fristen
2
Verpflichtende Sicherheitsaudits auf eigene Kosten
3
Öffentliche Bekanntmachung von Verstößen
4
Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu
Betriebliche und persönliche Konsequenzen
1
Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2
Vorübergehendes Verbot von Leitungsfunktionen für Personen
3
Öffentliche Benennung verantwortlicher natürlicher Personen
Auslöser
Nicht-finanziell
Betrieblich / persönlich

Die Meldung von Vorfällen läuft nach einer Uhr, die klinische Prioritäten ignoriert

Wenn ein meldepflichtiger Vorfall eintritt, schreibt NIS2 einen gestaffelten Zeitplan vor, der für Visiten nicht pausiert. Eine Frühwarnung an das nationale CSIRT oder die zuständige Behörde innerhalb von 24 Stunden. Eine vollständige Vorfallsmeldung innerhalb von 72 Stunden, einschließlich einer ersten Bewertung von Schweregrad und Auswirkung. Ein Abschlussbericht innerhalb eines Monats.

In einem Krankenhaus ist der schwierige Teil nicht das technische Detail — es ist, jemanden zu haben, dessen Aufgabe es ist, diese Meldungen einzureichen, während das klinische Personal die operativen Folgen bewältigt. Die Kontrolle, die ein Audit besteht, ist eine benannte Rolle, eine getestete Meldevorlage und ein Entscheidungsbaum dafür, was als meldepflichtig gilt.

NIS2 Zeitplan für die Vorfallmeldung
24h
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72h
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1mo
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Ein Krankenhaus, das seine Meldepflichten erst während des Vorfalls kennenlernt, hat den Bereitschaftstest bereits nicht bestanden. Die Vorlage und die benannte verantwortliche Person müssen vorher existieren. Unsere Aufschlüsselung der Meldefristen für Vorfälle erläutert den Zeitplan im Detail.

Die EU baut gesundheitsspezifische Unterstützung auf — nutzen Sie sie als Fahrplan

Im Januar 2025 veröffentlichte die Kommission einen EU-Aktionsplan für die Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern. Er wird über 2025 und 2026 ausgerollt und zeigt Ihnen, wohin die regulatorische Aufmerksamkeit geht.

Der Plan schlägt ein paneuropäisches Unterstützungszentrum für Cybersicherheit unter der Leitung von ENISA vor, das maßgeschneiderte Anleitung, Werkzeuge und Schulungen für Gesundheitsdienstleister anbietet. Er umfasst einen EU-weiten Frühwarndienst, der nahezu in Echtzeit Bedrohungswarnungen liefert, anvisiert für 2026. Und er sieht ransomware-spezifische Reaktions-Playbooks für Gesundheitsorganisationen vor.

Für einen Berater ist der Aktionsplan eine kostenlose Priorisierungskarte. Die Themen, in die die Kommission investiert — Frühwarnung, Ransomware-Playbooks, Lieferantenrisiko — sind genau die Kontrollen, deren Reifung Prüfer erwarten werden. Bauen Sie die Programme Ihrer Gesundheitskunden entlang dieser Linien auf, und Sie sind sowohl mit der Richtlinie als auch mit der Entwicklungsrichtung im Einklang.

Womit Sie bei einem Gesundheitskunden beginnen

Der schnellste Weg zu einer verteidigungsfähigen Sicherheitslage ist, die Lücken zu finden, bevor ein Prüfer es tut. Beginnen Sie mit einer strukturierten Bereitschaftsbewertung: Bestätigung des Anwendungsbereichs, eine ehrliche Karte der klinischen Systeme und ihrer Sicherheitsschulden, das Verzeichnis der Lieferantenkonnektivität und eine Prüfung der Governance-Nachweise auf Leitungsebene.

Das liefert Ihnen eine priorisierte Mängelliste statt eines vagen Gefühls, dass "wir etwas wegen NIS2 tun sollten". Für die meisten Gesundheitskunden werden die obersten drei Punkte dieselben sein — die Fähigkeit zur Lieferantenisolierung, getestete Backups für die Patientenakte und ein dokumentierter Prozess zur Vorfallsmeldung mit einem benannten Verantwortlichen.

Wenn Sie einen schnellen, strukturierten Ausgangspunkt möchten, den Sie diese Woche mit einem Gesundheitskunden durchführen können, bildet unser Quick-Scan seine aktuelle Sicherheitslage gegen die NIS2-Anforderungen ab und liefert Ihnen die Mängelliste, um das Mandat darum herum aufzubauen.

Das Gesundheitswesen ist der Bereich, in dem der Einsatz von NIS2 am höchsten, die technischen Altlasten am tiefsten und das Lieferantenrisiko am stärksten exponiert sind. Diese Kombination ist für Krankenhäuser schwierig — und sie ist genau die Art von Arbeit, für die MSPs und Berater positioniert sind, sie zu übernehmen.

    NIS2 für Gesundheitsdienstleister: Was MSPs leisten müssen — NIS2Certify