ISO 27001 im Gesundheitswesen

Das Gesundheitswesen ist zum bevorzugten Angriffsziel für Ransomware- Gruppen geworden. Kliniken, Reha-Einrichtungen, Labore und Pflegedienstleister verarbeiten hochsensible Daten, betreiben kritische Infrastruktur und können sich Ausfallzeiten im Regelbetrieb nicht leisten. Mit NIS2 hat der Gesetzgeber reagiert. Einrichtungen der Gesundheitsversorgung zählen nach Anhang I Nr. 5 zu den "besonders wichtigen Einrichtungen", mit entsprechend strengen Pflichten.

ISO 27001 ist in diesem Umfeld der pragmatischste Weg, NIS2-Pflichten, KRITIS-Anforderungen und datenschutzrechtliche Besonderheiten in ein prüfbares ISMS zu überführen. Dieser Leitfaden zeigt dir, welche Controls im Gesundheitswesen den Unterschied machen, wie sich ISO 27001 zu NIS2, KRITIS und ISO 27799 verhält und was du bei Patienten- daten nach DSGVO Art. 9 besonders beachten musst.

Warum ISO 27001 im Gesundheitswesen

Der regulatorische Rahmen für Gesundheitseinrichtungen ist 2026 dichter als je zuvor. NIS2 gilt unabhängig vom KRITIS-Status für alle Einrichtungen der Gesundheitsversorgung ab einem gewissen Umfang, in der Regel ab 50 Mitarbeitenden und 10 Mio. EUR Umsatz. Zusätzlich greift die KRITIS-Verordnung für Krankenhäuser ab 30.000 stationären Fällen pro Jahr. Parallel gelten für Patientendaten die verschärften Anforderungen aus DSGVO Art. 9 und § 22 BDSG.

ISO 27001 bündelt all diese Anforderungen in einem einzigen, strukturierten Managementsystem. Wer sein ISMS nach ISO 27001 aufbaut, erfüllt die NIS2-Kernanforderungen aus § 30 NIS2UmsuCG zu rund 85 Prozent, deckt die KRITIS-Prüfungen nach § 8a BSIG weitgehend ab und liefert den Datenschutzbehörden bei Art. 32 DSGVO einen belastbaren Nachweis. Kein anderer einzelner Nachweis hat diese Hebelwirkung.

NIS2, KRITIS und ISO 27799 im Überblick

NIS2 unterscheidet zwischen "besonders wichtigen" und "wichtigen" Einrichtungen. Gesundheitseinrichtungen fallen nach Anhang I Nr. 5 grundsätzlich in die erste Kategorie, mit strengeren Audit-Pflichten und höheren Bußgeldern. Die KRITIS-Schwelle für stationäre Versorgung liegt nach BSI-KritisV bei 30.000 Fällen pro Jahr. Wer darüber liegt, unterliegt zusätzlich der Prüfpflicht nach § 8a BSIG alle zwei Jahre.

ISO 27799 ist eine sektorspezifische Erweiterung, die ISO 27002 für das Gesundheitswesen präzisiert. Sie ist keine eigenständige Zertifizierung, sondern eine Umsetzungsleitlinie zu ISO 27001. Für Krankenhäuser und größere Einrichtungen lohnt sich der Blick in ISO 27799, weil sie konkrete Antworten auf branchenspezifische Fragen liefert, etwa zur Mandantenfähigkeit von Krankenhausinformations- systemen (KIS) oder zum Umgang mit Papierdaten.

Relevante Controls für Gesundheitseinrichtungen

Die folgenden acht Controls sind im Gesundheitswesen besonders kritisch. Sie verbinden NIS2-Pflichten mit DSGVO-Art.-9-Anforderungen und der betrieblichen Realität einer Klinik oder eines Labors.

Zeitlicher und finanzieller Rahmen

Für eine Klinik mittlerer Größe mit 200 bis 800 Betten dauert die ISO 27001-Einführung typisch 12 bis 18 Monate. Der Hauptgrund ist der hohe Abstimmungsaufwand zwischen klinischen, administrativen und IT-Bereichen. Labore, Reha-Einrichtungen und ambulante Anbieter sind in 10 bis 14 Monaten fertig.

Kostenseitig bewegen sich Gesundheitseinrichtungen im oberen Drittel des Marktspektrums. Kalkuliere 40.000 bis 120.000 EUR im ersten Jahr, je nach Scope und externer Beratung. Surveillance-Audits liegen bei 4.000 bis 7.000 EUR jährlich. Für KRITIS-Häuser kommt alle zwei Jahre ein zusätzlicher § 8a-Nachweis, der 15.000 bis 30.000 EUR kostet. Self-Service mit Kopexa senkt den laufenden Tool-Anteil auf 249 EUR pro Monat, ersetzt aber weder interne Ressourcen noch externe Audits. Mehr Details in der ISO 27001 Kostenübersicht.

Framework-Synergien: ISO 27001 und NIS2

Wer ISO 27001 zertifiziert ist, hat rund 85 Prozent der NIS2- Anforderungen aus § 30 NIS2UmsuCG bereits belastbar umgesetzt. Die verbleibenden 15 Prozent betreffen vor allem die NIS2-spezifischen Meldepflichten, die persönliche Verantwortung der Geschäftsleitung und die Eintragung in die Aufsichtsregister. Für KRITIS-Betreiber ergänzt der § 8a-Nachweis das ISMS.

Der Vergleich ISO 27001 vs. NIS2 zeigt die genauen Überlappungen. Der NIS2 Content Hub ergänzt die sektorspezifischen Pflichten für Gesundheitsversorger.

Typische Fallstricke im Gesundheitswesen

• 1.Medizintechnik als "nicht anwendbar" deklariert: Moderne Medizintechnik ist vernetzt, tauscht Daten mit KIS und Cloud-Diensten. Wer sie aus dem ISMS-Scope herausnimmt, erklärt dem Auditor einen Teil der kritischen Infrastruktur für irrelevant. Das hält selten stand.
• 2.Papierakten vergessen: Trotz Digitalisierung existiert in vielen Häusern die Papierakte parallel weiter. Archivräume, Transportprozesse und Vernichtung gehören genauso in den Scope wie die digitalen Systeme.
• 3.Einwilligungsmanagement unklar: Für Forschungs- daten und Sekundärnutzung ist das Einwilligungsmanagement zentral. Die Dokumentation greift in DSGVO, ISO 27001 und sektorspezifische Regelwerke gleichzeitig ein. Ohne klare Prozesse entsteht ein chronisches Nonconformity-Risiko.
• 4.Cloud-Dienstleister nicht sauber klassifiziert: Radiologie-Cloud, Tele-Medizin-Plattformen und externe Abrechnungsdienstleister sind Auftragsverarbeiter nach DSGVO Art. 28 und kritische ICT-Drittanbieter nach NIS2. Beide Anforderungen gehören in einen integrierten Prüfprozess.

FAQ: ISO 27001 im Gesundheitswesen

Nächster Schritt