Viele Krankenhäuser investieren in ihre IT-Sicherheit. Bei der Umsetzung der neuen NIS-2-Richtlinie  bleiben sie dennoch zurück. Das zeigt eine aktuelle Umfrage des IT-Sicherheitsherstellers Eset unter Entscheidern im deutschen Gesundheitswesen. Rund 36 Prozent der befragten Kliniken geben an, in den vergangenen zwölf Monaten gezielt Maßnahmen zur Erfüllung von KRITIS- oder NIS-2-Anforderungen umgesetzt zu haben. Besonders aktiv zeigen sich Fachkliniken (46 Prozent) und Allgemeinkrankenhäuser (38 Prozent). Universitätskliniken bilden mit 29 Prozent das Schlusslicht.

„Unsere Ergebnisse zeigen, dass viele Krankenhäuser die Zeichen der Zeit erkannt haben. Investitionen in Technik und Awareness nehmen zu. Gleichzeitig fehlt häufig noch ein ganzheitlicher Ansatz, der Prozesse, Verantwortlichkeiten und regelmäßige Übungen verbindlich festschreibt. NIS-2 ist kein reines Compliance-Thema, sondern ein Belastungstest für die reale Cyber-Resilienz von Kliniken“, sagt Michael Schröder, Head of Product Marketing bei Eset.

Viele Maßnahmen, aber wenig Strategie

Die Umfrage zeigt, dass Kliniken vor allem operative Sicherheitsmaßnahmen vorantreiben. 52 Prozent der Kliniken führten Notfall- oder Ransomware-Übungen durch, 48 Prozent setzten auf Schulungen und Awareness-Programme. Auch die Absicherung medizinischer Geräte und vernetzter IoMT-Systeme gewinnt mit 41 Prozent spürbar an Bedeutung. Diese Maßnahmen bleiben jedoch häufig projektbezogen. Eine strategische Verankerung in Organisation und Management fehlt in vielen Fällen noch. Trotzdem ist es positiv zu werten, dass durch NIS-2 die IT-Sicherheit die IT-Abteilung verlässt und zu einem Management-Thema wird.

Universitätskliniken: Operativ stark, regulatorisch im Rückstand

Universitätskliniken gelten als digitale Hochleistungsumgebungen, sind Forschungsstandorte, Maximalversorger und international vernetzt. Entsprechend hoch ist ihre Attraktivität für Cyberangriffe. Die Umfrage zeigt jedoch: Während Unikliniken überdurchschnittlich oft Notfallübungen durchführen oder externe Security-Audits nutzen, treiben sie die formale Umsetzung von NIS-2-Vorgaben seltener voran als andere Krankenhaustypen.

Ein möglicher Grund ist die hohe Komplexität historisch gewachsener IT-Landschaften, internationaler Forschungsnetze und tausender vernetzter Medizinsysteme. NIS-2 verschärft für Universitätskliniken damit nicht nur die formalen Pflichten, sondern auch die operative Realität.

Mehr zum Thema:

sitthiphong/stock.adobe.com

StresstestCyberangriff im Planspiel – Fraunhofer trainiert Kliniken

Andrey Popov/stock.adobe.com

CybersicherheitWarum „Phisher“ weiter leichtes Spiel haben

vectorfusionart/stock.adobe.com

Mecklenburg-VorpommernCyberattacke in Greifswalder BDH-Klinik – sind Daten abgeflossen?

Notfallmanagement: Vorhanden – aber selten geübt

Fast alle befragten Krankenhäuser geben an, über Notfallpläne für schwere IT-Sicherheitsvorfälle wie Ransomware zu verfügen. Doch nur rund jeder Dritte beschreibt diese Pläne als strukturiert und regelmäßig getestet. Knapp die Hälfte überprüft ihre Notfallkonzepte lediglich gelegentlich.

Besonders kritisch ist die Lage bei Universitätskliniken: Zwar verfügen alle über Notfallpläne, doch nur etwa 21 Prozent testen diese regelmäßig. Gerade hier hätten Cybervorfälle weitreichende Folgen von der Patientenversorgung über Forschung bis hin zur Lehre. NIS-2 stellt deshalb klare Anforderungen an Reaktionszeiten, Meldepflichten und Krisenorganisation auf Leitungsebene.

Fazit: NIS-2 zwingt Krankenhäuser zum nächsten Entwicklungsschritt

Cybersicherheit ist im Krankenhaus untrennbar mit Versorgungssicherheit verbunden. IT-Ausfälle werden schnell zur medizinischen und organisatorischen Krise. NIS-2 wirkt als struktureller Wendepunkt: Punktuelle Maßnahmen reichen nicht mehr aus. Gefordert sind gelebte Prozesse, klar definierte Rollen, belastbare Notfallpläne und regelmäßige Tests unter realistischen Bedingungen.

Eine detaillierte Analyse der ersten Ergebnisse der Eset-Studie gibt es im ESET-Blog.