Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

Krankenhaus & KRITIS: B3S, NIS-2-Erweiterung und KHZG-Mittel sinnvoll einsetzen

SecTepe Redaktion
|
|
7 Min. Lesezeit

Krankenhaus-CIOs in Deutschland 2026 haben einen Schreibtisch voller Pflichten: branchenspezifischer Sicherheitsstandard B3S, NIS-2-Erweiterung auf alle Krankenhäuser, ePA-Anschluss-Pflicht, KHZG-Mittel-Verwendungs-Nachweis und – im Hintergrund – eine seit 2023 unverminderte Ransomware-Welle gegen den Sektor.

Die regulatorische Kombination 2026

  • B3S Krankenhaus (BSI-zertifiziert): Pflicht für Häuser ab 30.000 stationären Fällen pro Jahr, freiwillig für kleinere – aber oft Voraussetzung für Versicherungs-Deckung und Auditor-Akzeptanz.
  • NIS-2-Umsetzungs-Gesetz: erweitert die KRITIS-Pflichten auf alle Krankenhäuser, unabhängig von der Bettenzahl. Geschäftsleiter (Vorstand, Geschäftsführung Klinik gGmbH) sind persönlich verantwortlich.
  • Patientendaten-Schutz-Gesetz (PDSG) + ePA: technische Anschluss-Pflichten, Authentifizierung über TI-Konnektor, Patienten-Zugriffsrechte digital nachweisbar.
  • KHZG-Mittel: Förderprogramm für Cyber-Sicherheit, mit pflichtgemäßem Verwendungs-Nachweis. 15 % der Mittel müssen in IT-Sicherheit fließen.

Die typischen Schmerzpunkte des Krankenhaus-CIO

1. Heterogene Geräte-Landschaft, alte Standards

MRT-Geräte mit Windows 7, OP-Roboter mit nicht-aktualisierbarem Linux, Patientenmonitoring auf seriellen Verbindungen. Asset-Inventar oft unvollständig, Schutzbedarfsfeststellung selten dokumentiert.

Lösung mit strukturiertem Asset-Management: medizinische Geräte als eigene Klasse modelliert, Hersteller-Verträge verknüpft, Patch-Status realistisch (oft „kompensierende Maßnahme: Netz-Segmentierung").

2. Ransomware-Risiko mit Patienten-Sicherheits-Konsequenz

Ein OP nicht durchführbar, weil Patientenakte verschlüsselt ist – das ist nicht „IT-Vorfall", das ist Patienten-Schaden mit haftungsrechtlicher Dimension. NIS-2 Art. 23 verlangt Frühwarnung in 24 h, was bei einem laufenden OP-Programm erst dokumentiert dann diskutiert werden muss.

Lösung mit 72h-Krisenkommunikations-Plan: vorbereitete Templates für Patienten-Information, OP-Verlegungs-Workflow, Aufsichts-Frühwarnung im Krisen-Stab geprobt.

3. ePA-Anschluss als Compliance-Disziplin

TI-Konnektor verbindet Krankenhaus-IT mit Telematik-Infrastruktur der gematik. Authentifizierung über elektronischen Heilberufsausweis (eHBA), Audit-Trail-Pflicht für jeden Patienten-Datenzugriff. Eine integrierte Keycloak-IAM-Lösung kann eHBA als zweiten Faktor einbinden – statt drei separate Systeme zu pflegen.

4. Lieferanten-Risiken im Klinik-Betrieb

Lab-Anbieter, Bildgebung-Cloud, Pflege-Dokumentation als SaaS, Medizingerät-Hersteller mit Remote-Wartung. Jeder ist ein potenzieller Einfallsweg, NIS-2 Art. 21(2)(d) macht TPRM zur Pflicht. Lieferanten-Portal mit Self-Service-Fragebogen reduziert den Pflegeaufwand drastisch.

5. KHZG-Verwendungs-Nachweis

Förder-Mittel müssen zweckgebunden eingesetzt werden, mit Verwendungs-Nachweis bis 6 Monate nach Mittelabruf. „Plattform für Cyber-Sicherheit" als Sammel-Position funktioniert nicht – jede Investition braucht klare Risiko-Reduktions-Begründung. Risiko-Register mit Treatment-Mapping liefert den geforderten Nachweis.

Empfohlene KHZG-Investitions-Priorität

  1. Asset-Inventar mit Schutzbedarfsfeststellung – Voraussetzung für alles weitere, ohne diese Foundation kein sauberes B3S-Audit.
  2. Mail-Security mit CAPE-SandboxPhishing ist 2026 weiterhin Haupt-Einfallsweg in Krankenhäuser. CAPE detoniert Anhänge automatisiert.
  3. Identity-Plattform mit eHBA-Integration – Compliance + Single-Sign-On + Account-Lifecycle in einem Schritt.
  4. SIEM mit forensischer Tiefe – Ransomware-Forensik braucht 12 Monate Logs, nicht 30 Tage.
  5. Risiko-Management-Plattform – B3S-Audit + KHZG-Verwendungs-Nachweis + Vorstands-Reporting aus einer Quelle.

Wie eine Plattform-Lösung den Sektor adressiert

SecTepe.Core liefert das ISMS- und Risiko-Management-Fundament, SecTepe.Comm das operative Sicherheits-Tooling. Beide werden self-hosted im eigenen Klinik-Rechenzentrum oder bei einem deutschen Kommunal-Hoster betrieben. Patientendaten verlassen das eigene Haus nie. Mehrere Häuser einer Trägerschaft können ein zentrales Tooling teilen, ohne dass Daten zwischen ihnen fließen müssen.

Realistische Setup-Erwartung

  • 200-Betten-Haus, mittlere IT-Reife: 6 Monate B3S-Foundation, 12 Monate B3S-Audit-Reife, ~120 k€ initiale Plattform-Investition (KHZG-förderfähig).
  • Klinik-Verbund mit 5 Häusern: 9 Monate parallele Foundation, 15 Monate Verbund-weites Audit-Programm, ~250 k€ initial – aber pro Haus deutlich günstiger.

Compliance-Mapping

  • B3S Krankenhaus (BSI-zertifiziert): 5 Schutzziele, 30+ Anforderungen, 2-jähriger Audit-Zyklus.
  • NIS-2 Art. 20–23: Geschäftsleiter-Pflicht + Mindest-Maßnahmen + 24h-Frühwarnung.
  • SGB V §75c, PDSG: TI-Anschluss, ePA-Pflichten, eHBA-Authentifizierung.
  • KHZG Förder-Tatbestand 10: IT-Sicherheit, mit Verwendungs-Nachweis.
  • ISO 27001: oft gefordert von Versicherern und Trägerschafts-Audits.

Fazit

Krankenhäuser stehen 2026 in einer regulatorischen Kombi-Welle, die nicht mehr mit Excel und gutem Willen lösbar ist. Eine integrierte ISMS- und Sicherheits-Plattform, klug priorisiert mit KHZG-Mitteln, deckt B3S, NIS-2 und ePA-Anforderungen aus einer Quelle ab – und reduziert das Ransomware-Risiko mit Patienten-Sicherheits-Bezug zugleich.

Alle Artikel ansehen Mehr aus dieser Kategorie