NEU – Whitepaper Cloud-IT für Krankenhaus & Radiologie – hier kostenlos herunterladen

EN
EN
Kostenlose Beratung
  • Von Miriam Friedmann

NIS-2 im Krankenhaus: Ausfall- & Cybersicherheit mit der Cloud verbessern

KRITIS-Häuser beschäftigen sich schon lange mit der Frage: Wie können wir unsere Ausfallsicherheit robuster gestalten und uns bestmöglich vor Cyberangriffen schützen? Mit der EU-weiten NIS-2-Richtlinie für Cybersicherheit im Gesundheitswesen, müssen sich nun auch kleine und mittelgroße Krankenhäuser diese Fragen stellen. Was NIS-2 bringt und wie Sie mit der Cloud Ihre Ausfallsicherheit verbessern können, fasst dieser Beitrag zusammen.

NIS-2: Ausfallsicherheit im Krankenhaus

Cybersicherheit im Krankenhaus wird immer wichtiger

Das Thema Datensicherheit gewinnt für Krankenhäuser an Bedeutung. Kaum eine Woche vergeht, in der in der Presse nicht von Cyberangriffen auf Gesundheitseinrichtungen berichtet wird. 

Die Zahlen aus dem aktuellen BSI-Lagebericht 2025 unterstreichen die Dringlichkeit: Im Berichtszeitraum (Juli 2024 bis Juni 2025) wurden täglich durchschnittlich 119 neue Schwachstellen in IT-Systemen bekannt – ein Anstieg von 24 Prozent zum Vorjahr. 

Dazu gingen im aktuellen BSI-Berichtszeitraum 726 Meldungen von Betreibern Kritischer Infrastrukturen ein – nach 490 Meldungen im vorangegangenen Zeitraum, also ein deutlicher Anstieg der gemeldeten IT‑Sicherheitsvorfälle. 

Eine vom Digitalverband Bitkom beauftragte Studie beziffert den jährlichen Schaden für die deutsche Wirtschaft durch Cyberkriminalität auf über 200 Milliarden Euro.

Die dadurch entstehenden Schäden für Krankenhäuser sind vielschichtig: Neben den wirtschaftlichen Einbußen drohen Systemstillstände, die teilweise über mehrere Monate andauern können, oder die Verschlüsselung von Daten durch Hacker, deren Wiederherstellung nicht oder nur unter erheblichem Aufwand möglich ist. Besonders kritisch ist die Situation, wenn der Angriff medizinischen Bilddaten gilt: Das gefährdet die Patientenversorgung massiv, da Bilddaten in der Diagnostik und Behandlung essentiell sind. 

Durch die EU-Richtlinie NIS-2 erhöht sich der Druck auf Krankenhäuser und andere medizinische Einrichtungen. Die Richtlinie fasst den Kreis der Betroffenen deutlich weiter und nimmt neben den bereits regulierten KRITIS-Häusern auch kleinere und mittlere Gesundheitseinrichtungen in die Pflicht, die in der Richtlinie geforderten Sicherheitsmaßnahmen umzusetzen. 

NIS-2 steht für “The Network and Information Security Directive”. Die EU-Richtlinie wurde im Dezember 2022 veröffentlicht und ist auf EU-Ebene im Januar 2023 in Kraft getreten. In Deutschland ist die Umsetzung der Richtlinie zum 6. Dezember 2025 mit dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) erfolgt. Das Ziel der Richtlinie, die Cyber- und Informationssicherheit von Unternehmen und Institutionen zu regeln.

Welche Gesundheitseinrichtungen sind von NIS-2 betroffen?

Die Cyberresilienz von Kliniken steht im Fokus. Mussten bisher nur KRITIS-Häuser – also Krankenhäuser mit über 30.000 vollstationären Fällen pro Jahr – bestimmte Cybersicherheitsrichtlinien erfüllen, sind nun auch kleinere Häuser gefordert, Maßnahmen zum Schutz vor Cyberattacken zu ergreifen. NIS-2 gilt für alle Gesundheitseinrichtungen, die mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als zehn Millionen Euro aufweisen.

Zudem nimmt NIS-2 die Geschäftsführung von Krankenhäusern und anderen Gesundheitseinrichtungen deutlich in die Pflicht, vorgegebene Maßnahmen im Bereich Cybersecurity umzusetzen. Neben Schutzmaßnahmen geht es dabei auch um die Fähigkeit nach und während eines Angriffs schnell wieder einsatzfähig zu sein. Bei einer Nichteinhaltung der im NIS-2 definierten Maßnahmen drohen erhebliche Geldstrafen.

Sie sind sich unsicher, ob Sie betroffen sind? Nutzen Sie die Betroffenheitsprüfung des BSI oder suchen Sie sich juristische Beratung, die Ihnen bei der Bewertung Ihrer Situation helfen kann.

NIS-2: Welche Maßnahmen müssen Krankenhäuser jetzt ergreifen?

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes in Deutschland am 6. Dezember 2025 wurde das nationale IT-Sicherheitsrecht umfassend modernisiert.

NIS-2 betroffene Gesundheitseinrichtungen müssen sich im Rahmen der NIS-2 Registrierungspflicht bis 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Die im Rahmen von NIS-2 zu erbringenden Maßnahmen sind nicht unerheblich. Ein wirksames Risikomanagement für Cybersicherheit bildet das Fundament der NIS-2-Richtlinie. Folgende Aspekte müssen Krankenhäuser zur Erhöhung der Ausfallsicherheit berücksichtigen:

  1. Risikomanagementmaßnahmen wie technische und organisatorische Maßnahmen zur Risikoanalyse, der Bewältigung von Sicherheitsvorfällen oder der Aufrechterhaltung des Betriebs.
  2. Registrierungspflicht bis 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) für betroffene Einrichtungen in einem zweistufigen Registrierungsprozess:
  3. Meldepflicht von Vorfällen innerhalb von 24 Stunden an das BSI über das BSI-Portal:
    • Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung
    • Konkretisierung der Meldung innerhalb von 72 Stunden
    • Abschlussmeldung innerhalb von 30 Tagen
  4. Governance als Steuerung der Cybersicherheit durch die Geschäftsführung, die für deren Umsetzung auch haftbar ist.
  5. Lieferkettensicherheit, um u.a. sicherzustellen, dass nachgelagerte Dienstleister Maßnahmen zur Cybersicherheit erfüllen und ein Weiterbetrieb möglich ist.

DICOM-Daten im Krankenhaus: Hohes Gefährdungspotenzial

Medizinische Bilddaten machen in Krankenhäusern den größten Anteil der Gesamtdatenmenge eines Krankenhauses aus. Je nach Bettenzahl und vorhandenen CT-, MRT- und Röntgengeräten können wöchentlich leicht über 100 GB an Daten erzeugt werden. Ein mittelgroßes Krankenhaus mit 400 Betten hat aus unserer Erfahrung im Durchschnitt 30 Terabyte alleine an DICOM-Bildern in seinen Archiven liegen. 

Nicht nur das Management dieser großen Datenmengen ist für die Krankenhäuser eine Herausforderung, sondern auch deren sichere Aufbewahrung. Mit der zunehmenden Digitalisierung gehen die notwendigen Schutzmaßnahmen weit über spezielle Serverräume und Ausfallkonzepte hinaus. Cyberangriffe sorgen aufgrund der engen internen Vernetzung in Krankenhäusern meist für einen kompletten Stillstand aller Prozesse – auch des Bilddatenmanagements.

Patientendaten in der Cloud

Mehr Datensicherheit durch Cloud-Lösungen

Eine erprobte Option, um die Datensicherheit zu erhöhen, sind zertifizierte Cloud-Lösungen, die in unterschiedlichen Ausprägungsarten in Krankenhäusern genutzt werden können. Im Bereich des Bilddatenmanagements sorgen z.B. Software-as-a-Service-Lösungen aus der Cloud, wie die TMD Cloud, dafür, dass die medizinischen Bilddaten außerhalb des Krankenhauses zuverlässig archiviert und besser gegen Cyberattacken geschützt werden.

Die Vorteile einer DICOM-Archivierung in der Cloud sind u.a.

  • Professionell geschützte Archivierung von Bilddaten in Rechenzentren externer Anbieter
  • Schneller Wiederzugriff auf die geo-redundant gespeicherten DICOM-Daten bei Hackerangriffen auf On-Premises-Systeme sowie im Falle anderer Katastrophen (z.B. Brand, Überflutung)
  • Geschützter Abruf der in der Cloud gespeicherten Gesundheitsdaten zum Beispiel von anderen Klinik-Standorten, über mobile Endgeräte oder aus dem Home Office 
  • Schnelle Wiederherstellung von Bilddaten im Fall von Datenverlusten auf lokalen Systemen

Notfallkonzept Krankenhaus: Schneller Notbetrieb bei Cyberangriffen

Im akuten Bedrohungsfall müssen Krankenhäuser schnellstmöglich einen Notbetrieb bewerkstelligen, um kritische Versorgungsleistungen aufrecht erhalten zu können – beispielsweise den Betrieb der Notaufnahme oder von kardiologischen oder gynäkologischen Abteilungen.

Haben Krankenhäuser eine ortsunabhängige Datenhaltung beispielsweise für ihre DICOM-Daten in einem Langzeitarchiv in der Cloud, können diese in kürzester Zeit wiederhergestellt und bereitgestellt werden. Auch das Archivieren von neu erzeugten Röntgen-, CT- oder MRT-Bildern im Cloud-Archiv stellt kein Problem dar – selbst wenn das eingesetzte PACS oder KIS vom Cyberangriff betroffen sind.

Denn die Übermittlung der DICOM-Bilder kann direkt von den Notfall-Modalitäten in die Cloud erfolgen. Im Falle einer gekappten Internetverbindung kann die erforderliche Verbindung zur Cloud über einen eigens für den Notfallbetrieb vorgehaltenen mobilen Hotspot erfolgen.

Die Business Continuity Management-Lösung von Telepaxx erfüllt alle regulatorischen Anforderungen.

Betriebssicherheit als Kernanforderung von NIS-2

Die Fähigkeit zur schnellen Wiederherstellung des Betriebs – also das Business Continuity Management oder kurz BCM – ist eine zentrale Anforderung der NIS-2-Richtlinie. Ein professioneller Notfallplan hilft Krankenhäusern, die gesetzlichen Vorgaben zu erfüllen und auch in Krisensituationen eine verlässliche Patientenversorgung zu bieten.

Cloud-basierte Lösungen können Krankenhäuser dabei unterstützen:

  • Gesetzliche Anforderungen zu erfüllen: NIS-2 verlangt dokumentierte Notfallpläne und nachweisbare Wiederherstellungsprozesse
  • Ausfallzeiten zu minimieren: Sofortiger Zugriff auf kritische Bilddaten, auch bei Komplettausfall der lokalen IT-Infrastruktur
  • Compliance nachzuweisen: Dokumentierte und regelmäßig getestete Wiederherstellungsprozesse als Nachweis für die Aufsichtsbehörden
  • Meldepflichten zu erfüllen: Schnelle Reaktionsfähigkeit bei Sicherheitsvorfällen durch klare Prozesse

Diagnostik von DICOM-Daten im Notfallbetrieb

Neben der Archivierung und dem Abruf der Daten kann auch die Befundung unabhängig von einzelnen Arbeitsplätzen in einem Angriffsfall über Cloud-Lösungen weiterhin gewährleistet werden. 

So bietet zum Beispiel die TMD Cloud von Telepaxx ein webbasiertes Nutzerportal, über das Ärzte die DICOM-Daten und Befunde geschützt über einen Webbrowser von jedem Computer aus befunden können. Das bedeutet: Schnelle Wiedereinsatzbereitschaft wichtiger Abteilungen in einer akuten Bedrohungslage.

Demo-Termin vereinbaren

Fazit: Mit Cloud- und SaaS-Lösungen die Ausfallsicherheit erhöhen

Die Datensicherheit von Gesundheitsdaten ist durch die zunehmende Digitalisierung von Prozessen und der Vernetzung von Systemen gefährdet. Die NIS-2-Richtlinie setzt hier an und möchte die Datensicherheit in für die Gesellschaft kritischen Einrichtungen in der Europäischen Union verbessern.

Innovative Technologien wie Cloud-Lösungen und Software-als-Service sollten eine zentrale Rolle bei der Entwicklung einer Cybersecurity-Strategie in Krankenhäusern spielen, da sie das Risiko minimieren und die Ausfallsicherheit erhöhen können.

Gerade für medizinische Bilddaten als größte Datenmenge eines Krankenhauses, ist eine externe Cloud-Archivierung empfehlenswert, um im Krisenfall schneller wieder einsatzbereit zu sein und mögliche Datenverluste zu minimieren.

Ergänzende Informationen des BSI

Das BSI bietet umfangreiche Informationsmaterialien und Schritt-für-Schritt-Anleitungen zur Unterstützung bei der NIS-2-Umsetzung:

  • NIS-2 Infopakete: Kompakte Informationen zu spezifischen Themen wie Risikomanagement, Meldepflichten und sektorspezifischen Anforderungen
  • NIS-2 FAQ: Antworten auf häufig gestellte Fragen zur Betroffenheit und Umsetzung
  • NIS-2 Roadmap: Strukturierte Anleitung zur Projektplanung und Umsetzung der Anforderungen im Unternehmen

Alle Materialien sind verfügbar unter: www.bsi.bund.de – NIS-2-regulierte Unternehmen

Weitere Beiträge, die sie interessieren könnten.

!0 Gründe für Cloud-Lösungen im Krankenhaus: Weniger IT-Aufwand und mehr Datensouveränität

10 Gründe für die Cloud

Miriam Friedmann 13. Februar 2024

Entdecken Sie zehn Gründe, warum die Cloud-Technologie für Krankenhäuser nicht nur effizienzsteigernd, sondern auch unabdingbar für eine moderne Healthcare-IT ist – spätestens mit dem DigiG. Lesen Sie unseren Argumentationsleitfaden.

European Health Data Space

European Health Data Space

Miriam Friedmann 11. November 2022

Der European Health Data Space soll klare Spielregeln für den Austausch von Gesundheitsdaten in der Europäischen Union definieren. Dieser Artikel fasst das Wichtigste zusammen und stellt vergleichbare Ansätze vor.