Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft und nimmt Geschäftsführer von Krankenhäusern, Medizinischen Versorgungszentren (MVZs) und anderen Gesundheitseinrichtungen persönlich in die Haftung für die Cybersicherheit. Doch wie soll das in einem Sektor gelingen, der von veralteter Medizintechnik und knappen Budgets geprägt ist?

heise online sprach mit den Rechtsexperten Dennis-Kenji Kipker und Tilmann Dittrich, die kürzlich einen NIS2-Leitfaden für Führungskräfte im Gesundheitswesen veröffentlicht haben, über die Änderungen und darüber, ob das Gesetz mehr als nur ein Papiertiger ist.

Mit dem NIS-2-Umsetzungsgesetz ist die Geschäftsleitung persönlich für IT-Sicherheitsvorfälle haftbar. Macht das den Klinik-Chef nun juristisch für Patientenschäden verantwortlich, ähnlich wie einen Arzt bei einem Kunstfehler?

Tilmann Dittrich: Wenn man es streng nimmt, ist die Haftung der Geschäftsleitung keine Neuheit, sondern eine Klarstellung. Ein Geschäftsführer oder Vorstand haftet nach dem GmbH-Gesetz (GmbHG) oder Aktiengesetz (AktG) schon immer für die Organisation des Unternehmens. Das neue Gesetz hebt diese Verantwortung für den Bereich Cybersicherheit jetzt aber explizit hervor und verknüpft sie mit einer Schulungspflicht. Für viele CISOs und IT-Leiter ist das ein Segen. Sie sagen uns: Endlich haben wir ein gesetzliches Argument, um bei der Geschäftsführung Budgets und die notwendige Aufmerksamkeit zu bekommen.

Ein Dauerthema in der Branche: Wer ist verantwortlich, wenn ein Arzt wegen eines Ausfalls der Telematikinfrastruktur (TI) kein E-Rezept ausstellen oder nicht auf die elektronische Patientenakte (ePA) zugreifen kann?

Dittrich: Das ist ein schwieriger Punkt. Die TI wurde aus dem BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen) herausgenommen, weil sie sektorspezifisch im Sozialgesetzbuch V geregelt ist. Das bedeutet aber nicht, dass sie keine kritische Infrastruktur ist. Die Verantwortlichkeiten sind komplex zwischen der Gematik, den Software-Herstellern und dem Arzt oder Krankenhaus als Anwender aufgeteilt. Wenn die TI von außen gestört wird, ist es schwierig, dem Krankenhaus einen Vorwurf zu machen. Aber es bleibt die Herausforderung: Wenn die elektronische Patientenakte ein verlässliches Mittel sein soll, ich aber externen Störungen ausgesetzt bin, brauche ich immer eine Redundanz.

Dennis-Kenji Kipker: Das ist eine klassische Verantwortungsdiffusion, die wir in allen komplexen Lieferketten sehen. Das ist kein Gematik-spezifisches Problem. Wir müssen uns aber von der Vorstellung lösen, dass es eine hundertprozentige Sicherheit gibt. Es ist gut, dass wir in Deutschland über Sicherheit diskutieren und nicht wie Großbritannien eine Schnelldigitalisierung durchgezogen haben. Dort hat der National Health Service (NHS) 2024 den ersten bestätigten Todesfall in Europa infolge eines Cyberangriffs gemeldet: Ein Angriff auf einen Pathologiedienstleister führte zu Verzögerungen bei den Blutergebnissen, was für einen Patienten tödlich endete. Das zeigt, wohin ein überhasteter Ansatz ohne robustes Sicherheitsfundament führen kann.

Führt die Mischung aus strengem BSIG und alten SGB-V-Regeln nicht zu einem Compliance-Albtraum statt zu mehr Sicherheit in den Kliniken?

Dittrich: Ja, diese Doppelregulierung, etwa für Klinik-MVZs, ist ein Problem. Man hat die strengen BSIG-Vorgaben auf der einen Seite und die leichter umzusetzende, aber prozessual schwächere KBV-Richtlinie auf der anderen. Das schafft Unsicherheit und Mehraufwand. Ideal wäre eine klare Regelung, die solche Überschneidungen vermeidet.

Wie soll eine Klinikleitung entscheiden, wenn sie das Budget für eine neue Firewall oder ein neues MRT-Gerät hat? Beides rettet Leben, aber nur für die IT droht persönliche Haftung.

Dittrich: Das ist genau die unternehmerische Risikoentscheidung, die getroffen und dokumentiert werden muss. Man kann nicht mehr sagen, das sei einem egal. Wenn etwas passiert, wird genau diese Abwägung geprüft – vom BSI, von einer Staatsanwaltschaft oder in einem zivilrechtlichen Prozess. Das Argument „Wir kriegen es nicht finanziert“ ist keine Rechtfertigung für eine geringere Patientensicherheit.

Reguliert NIS-2 am Ziel vorbei, wenn das größte Risiko für Kliniken oft bei kleinen, unregulierten Software-Zulieferern liegt?

Kipker: Hundertprozentige Lieferkettensicherheit ist eine Illusion. Aber Regelungen wie der Cyber Resilience Act oder spezielle Vorgaben zur digitalen Resilienz im Medizinprodukterecht sind ein erster Schritt. Wenn wir es schaffen, dass eine Insulinpumpe nicht mehr mit einem Standardpasswort aus der online verfügbaren Bedienungsanleitung angreifbar ist, haben wir viel gewonnen. Die Branchenverbände müssen zudem Standards für die Lieferkettenabsicherung entwickeln, denn das wird immer mehr zur vertraglichen Anforderung.

In vielen Krankenhäusern stehen uralte, aber teure Medizingeräte, für die es keine Sicherheitsupdates mehr gibt. Wer haftet, wenn ein Angreifer darüber ins Netz eindringt?

Kipker: Im Schadensfall interessiert es keinen, ob das Gerät alt war oder der Hersteller keine Updates mehr liefert. Das Krankenhaus ist verpflichtet, Sicherheit nach dem Stand der Technik zu gewährleisten. Wenn sie veraltete „Legacy-IT“ betreiben, müssen sie das Risiko managen, zum Beispiel, indem sie das Gerät vom Netzwerk isolieren.

Dittrich: Wenn eine Klinik einen Anbieter wählt, der keine Patches oder nur kurzfristigen Support anbietet, ist das eine unternehmerische Risikoentscheidung. Dann hat man vielleicht aber auch bei der Beschaffung einen Fehler gemacht.

Es gibt auch Fragen zum neuen Paragraph 17 der Medizinprodukte-Betreiberverordnung, der Betreiber nun zur regelmäßigen Überprüfung ihrer Software zwingt. Sowohl Kliniken als auch Hersteller scheinen unsicher, was das in der Praxis bedeutet. Was bewirkt die Änderung?

Kipker: Unsicherheit entsteht dadurch, weil § 17 keinen festen Prüfkatalog vorgibt. Eine „angemessene“ und nach den „anerkannten Regeln der Technik“ durchgeführte Prüfung bedeutet jedoch, risikobasiert und nachvollziehbar zu handeln. Dies sind Anforderungen, die wir im IT-Sicherheitsrecht allgemein bereits seit langen Jahren kennen. Insbesondere bedeutet dies für den konkreten Fall die Vornahme einer Risikoabwägung mit Blick auf die relevanten Faktoren, zum Beispiel, wie hoch der Vernetzungsgrad ist, ob Fernwartung durchgeführt wird, wie es um die Bedrohungslage bestellt ist und ob der Versorgungspfad besonders kritisch ist.

Wenn der Klinik-CISO warnt und die Leitung aus Kostengründen nicht handelt – wer haftet im Schadensfall?

Dittrich: Die Geschäftsleitung. Wenn der CISO auf ein klares Risiko hinweist, muss die Leitung eine dokumentierte Entscheidung treffen. Sie kann die Verantwortung nicht abschieben.

Behindert der Zwang zur 24-Stunden-Meldung ans BSI die eigentliche Krisenbewältigung?

Dittrich: Der Meldedruck ist hoch, keine Frage. Das erfordert exzellente interne Informationsprozesse. Im Ernstfall muss klar sein, wer wann welche Informationen an wen weitergibt. Das lenkt Ressourcen ab, ist aber nun gesetzliche Pflicht und Teil eines professionellen Krisenmanagements. Die Meldung erfolgt über das neue zentrale BSI-Portal, das gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe betrieben wird.

Was passiert, wenn dieses Portal selbst Ziel eines Angriffs wird oder ausfällt?

Kipker: Zumindest so weit es die faktische Erreichbarkeit anbelangt, sind für derlei Ausnahmesituationen Fallback-Lösungen vorgesehen, zum Beispiel die Übermittlung per Mail oder telefonisch. Inwieweit dieses Verfahren sinnvoll ist und auch über einen längeren Zeitraum aufrechterhalten kann, steht auf einem anderen Blatt, denn durch die Medienbrüche erhöhen sich die Risiken für Fehlinformationen, Missverständnisse, nicht weiter übertragene Daten und eine längere Reaktionszeit.

Kann das BSI diese Informationsflut überhaupt bewältigen?

Kipker: Das ist die entscheidende Frage. Wir sprechen von potenziell 30.000 betroffenen Einrichtungen insgesamt. Wenn auch nur ein Bruchteil davon meldet, steht das BSI vor einer gewaltigen Herausforderung. Die Sorge ist, dass das Portal zu einem reinen Datenfriedhof wird, in dem Meldungen zwar eingehen, aber aufgrund fehlender personeller und fachlicher Kapazitäten nicht zeitnah analysiert und korreliert werden können. Die Gefahr eines Single Point of Failure ist real – nicht nur durch technische Angriffe, sondern auch durch schlichte Überlastung. Ein zentrales Portal ist nur so stark wie die Behörde, die dahintersteht.

Sind die Krisenstäbe für physische Sicherheit und Cybersicherheit in Kliniken getrennte Silos, die im Ernstfall nicht zusammenarbeiten?

Kipker: Ja, das ist leider oft noch der Fall. Viele Krankenhäuser haben zwar eine Krankenhausalarm- und Einsatzplanung (KAEP) für physische Katastrophen, aber Cyberrisiken sind dort oft nicht integriert. Wir müssen dringend weg von diesem Silo-Denken, denn hybride Angriffe – etwa ein Brand im Serverraum kombiniert mit einer DDoS-Attacke – sind die neue Realität und führen zu eben jenen gefährlichen Kaskadeneffekten, die die Versorgungssicherheit gefährden können.

Ist das Gesetz für kleine MVZs und Rettungsdienste ohne IT-Abteilung realitätsfern?

Dittrich: Die Herausforderung ist riesig, das ist klar. Aber auch kleine Praxen sind Teil der kritischen Versorgungskette. Was wir dringend brauchen, sind Unterstützungsangebote und Sensibilisierungskampagnen für diese kleineren Leistungserbringer, die oft völlig ungeschützt sind, wie man bei Stromausfällen immer wieder sieht.

Wenn eine Klinik jetzt nur Budget für eine einzige große Maßnahme hätte, was wäre Ihr dringlichster Rat?

Kipker: Ganz klar das Prozessmanagement. Eine Mitarbeiterschulung ist wichtig, aber auch nicht teuer. In einem Krankenhaus ist die Prozesslandschaft entscheidender. Krankenhäuser sind extrem von Technologie abhängig. Ein strukturiertes Management, das festlegt, wie Geräte beschafft, gewartet und aus dem Netzwerk entfernt werden, ist die Basis.

Dittrich: Das sehe ich auch so. Durch technisch-organisatorische Prozesse muss man das Risiko des einzelnen Mitarbeiters ohnehin minimieren.

(mack)