Die NIS2‑Richtlinie hat die Cybersicherheit im Gesundheitswesen endgültig zu einem Management‑Thema gemacht. Seit dem Inkrafttreten des deutschen NIS2‑Umsetzungsgesetzes im Dezember 2025 stehen Krankenhäuser unter deutlich höherem regulatorischem und operativem Druck. Sie sind nicht mehr nur potenzielle Opfer digitaler Angriffe, sondern explizit verpflichtet, ihre Cyber-Resilienz nachweisbar zu erhöhen.
NIS2-Maßnahmen: Fortschritte ja, flächendeckend nein
Ein Blick auf die Umfrage zeichnet ein durchwachsenes Bild in puncto Umsetzung. Rund 36 Prozent der befragten Krankenhäuser geben an, in den vergangenen zwölf Monaten gezielt KRITIS‑ oder NIS2‑Anforderungen umgesetzt zu haben. Dabei sind die Fachkliniken (46 Prozent) und Allgemeinkrankenhäuser (38 Prozent) bestrebter als Universitätskliniken.
Deutlich häufiger wurden operative Sicherheitsmaßnahmen realisiert. Fast 52 Prozent der befragten Kliniken führten Notfall‑ oder Ransomware‑Übungen durch, rund 48 Prozent investierten in Schulungen und Awareness‑Programme und über 36 Prozent modernisierten ihre Netzwerkarchitektur. Auch die Absicherung medizinischer Geräte (IoMT) gewinnt mit 41 Prozent spürbar an Bedeutung.
Diese Zahlen zeigen deutlich, dass NIS2 als Beschleuniger wirkt. Die Richtlinie verändert Prioritäten und hebt IT‑Sicherheit aus der rein technischen Ecke heraus. Gleichzeitig bleibt die Umsetzung in vielen Kliniken fragmentiert und einzelne Projekte ersetzen noch zu oft eine übergreifende Sicherheitsstrategie.
Universitätskliniken unter NIS2: Vorreiter auch in der IT-Sicherheit?
Universitätskliniken gelten als digitale Vorreiter, sind Forschungsstandorte, Maximalversorger und Hochleistungs‑IT‑Umgebungen zugleich. Das spiegelt sich in den Ergebnissen nur bedingt wider.
Universitätskliniken setzen NIS2‑bezogene Maßnahmen deutlich weniger um als andere Krankenhaustypen. So geben rund 29 Prozent der Befragten an, in den letzten zwölf Monaten konkret an der Umsetzung von KRITIS‑ bzw. NIS2‑Vorgaben gearbeitet zu haben. Dies stellt einen klaren Tiefstwert im Klinikvergleich dar. Dafür sind sie in den operativen Sicherheitsmaßnahmen in vielen Bereichen führend. Notfall‑ und Ransomware‑Übungen werden mit über 54 Prozent überdurchschnittlich oft durchgeführt, ebenso externe Security‑Audits.
Offensichtlich fokussieren sich Universitätskliniken auf operative Maßnahmen, um bei Angriffen gewappnet zu sein, anstatt Regularien umzusetzen. Ihre IT‑Landschaften sind hochkomplex, heterogen und nicht zuletzt historisch gewachsen. NIS2-Vorschriften in Forschungsnetzen, internationalen Kooperationen und tausenden vernetzten Medizin‑ und IoMT‑Systemen umzusetzen, erscheint schwieriger als die dringende Stärkung der aktuellen Cyber-Resilienz.
Dies ist verständlich, denn Unikliniken sind besonders attraktive Ziele für Angreifer. Dabei geht es ihnen nicht nur um sensible Patientendaten, sondern auch um die Ergebnisse medizinischer Forschung, geistiges Eigentum und internationale Sichtbarkeit. NIS2 verschärft für diese Einrichtungen daher nicht nur formale Pflichten, sondern auch die operative Realität.
Notfallpläne im Ernstfall: Gut aufgestellt – aber nicht souverän
Über alle Krankenhäuser hinweg zeigt die Umfrage beim Notfallmanagement ein Bild mit Licht und Schatten. Nahezu alle Einrichtungen geben an, über einen Notfallplan für schwere IT‑Sicherheitsvorfälle wie Ransomware zu verfügen. Doch ein genauerer Blick relativiert diesen Eindruck deutlich. Nur rund 30 Prozent der Krankenhäuser verfügen über einen strukturierten Notfallplan, der regelmäßig getestet wird. Der größte Anteil – knapp die Hälfte – arbeitet zwar mit vorhandenen Plänen, testet diese jedoch nur gelegentlich.
Experten bewerten es als kritisch, dass fast jedes vierte Krankenhaus seine Vorbereitung lediglich als „ausreichend“ einstuft. Bestehende Notfallpläne seien veraltet oder nicht mehr vollständig passgenau. Damit besteht bei einem relevanten Teil der Krankenhäuser das Risiko, im Ernstfall zwar formal vorbereitet zu sein, operativ jedoch nicht handlungsfähig zu bleiben.
Bei den Universitätskliniken sieht es sogar schlechter aus. Zwar verfügen mehr als 90 Prozent über einen Notfallplan, doch nur rund 21 Prozent bewerten diesen als strukturiert und regelmäßig getestet. Ein Großteil arbeitet mit Plänen, die zwar vorhanden sind, aber nur gelegentlich überprüft oder teilweise nicht mehr aktuell sind. Das ist bedenklich, denn gerade Universitätskliniken erleben im Ernstfall besonders gravierende Auswirkungen: Ausfälle betreffen Lehre, Forschung und hochspezialisierte Patientenversorgung gleichzeitig. NIS2 stellt hier klare Anforderungen beispielsweise an Reaktionszeiten, Meldepflichten und die Krisenorganisation auf Leitungsebene. Ein Notfallplan, der nicht regelmäßig unter Realbedingungen getestet wird, reicht dafür nicht mehr aus.
Vor dem Hintergrund von NIS2 ist das ein zentraler Befund. Die Richtlinie macht funktionsfähiges Incident‑ und Krisenmanagement zu einer Kernanforderung. Darunter fallen etwa klar definierte Rollen, Eskalationswege, Meldefristen und Wiederanlaufprozesse. Die Studienergebnisse zeigen allerdings, dass das Notfallmanagement in vielen Krankenhäusern eher ein Dokumentations‑ und weniger ein Übungsthema ist. Der Übergang von der Existenz eines Plans hin zu einem regelmäßig erprobten, organisationsweit verankerten Krisenmechanismus steht in großen Teilen des Marktes noch aus.
Fazit: NIS2 zwingt Krankenhäuser zum nächsten Reifegrad
Krankenhäuser haben erkannt, dass Cybersicherheit und NIS2 nicht länger Randthemen sind. Investitionen in Technik, Schulungen und erste Notfallübungen nehmen spürbar zu. Gleichzeitig fehlt vielerorts noch die ganzheitliche Verankerung, sowohl organisatorisch als auch personell und strategisch.
Gerade im Krankenhausumfeld, wo IT‑Ausfälle schnell zur Versorgungsfrage werden, wird NIS2 zum Lackmustest für digitale Resilienz. Die kommenden Monate werden zeigen, welche Einrichtungen den Schritt von punktuellen Maßnahmen hin zu einem robusten, gelebten Sicherheits‑ und Notfallmanagement schaffen.
Über die ESET Studie
Die hier dargestellten Ergebnisse zu NIS2, Notfallmanagement und Universitätskliniken sind Teil einer umfangreichen Befragung von Entscheiderinnen und Entscheidern im deutschen Gesundheitswesen. Eine vertiefende Gesamtstudie, die die komplette Umfrage systematisch auswertet, befindet sich derzeit in Vorbereitung. Sie wird nicht nur Krankenhäuser, sondern auch weitere Einrichtungen des Gesundheitswesens in den Blick nehmen und Zusammenhänge zwischen Bedrohungslage, organisatorischem Reifegrad, eingesetzten Sicherheitsmaßnahmen und Investitionsprioritäten aufzeigen. Ziel der kommenden Veröffentlichung ist es, ein belastbares Lagebild zur Cybersicherheit im Gesundheitswesen zu liefern und konkrete Handlungsfelder abzuleiten. Erste Ergebnisse machen bereits deutlich: NIS2 ist dabei nicht nur ein regulatorischer Impuls, sondern ein struktureller Wendepunkt für IT‑Sicherheit und Resilienz in der medizinischen Versorgung.Jetzt vor Cyberangriffen absichern
IT-Sicherheit ist im Krankenhaus untrennbar mit Compliance und Patientensicherheit verbunden. Neben der steigenden Bedrohung durch Ransomware und gezielte Angriffe müssen Kliniken strenge gesetzliche und regulatorische Anforderungen wie etwa die DSGVO, KRITIS‑Vorgaben, NIS2 sowie interne IT‑ und Audit‑Richtlinien erfüllen. Sicherheitslösungen müssen daher nicht nur wirksam schützen, sondern auch Transparenz, Kontrollierbarkeit und Nachvollziehbarkeit ermöglichen. ESET als europäischer IT-Sicherheitshersteller unterstützt Krankenhäuser dabei mit leistungsfähigen Schutzlösungen, die zentrale Administration, klare Richtlinienumsetzung und revisionssichere Protokollierung erlauben und so aktiv zur Einhaltung von Compliance‑Anforderungen beitragen. Wie ein ganzheitlicher Ansatz für IT‑Sicherheit und Compliance im Gesundheitswesen aussieht, erfahren Sie auf unserer Landingpage: https://www.eset.com/de/business/healthcare/
