Ab wann gilt ein Krankenhaus als NIS2-pflichtig?

Krankenhäuser fallen als Gesundheitsversorger automatisch unter NIS2 Anhang I Nr. 5 (Gesundheitswesen), unabhängig von Mitarbeiter- oder Umsatzschwellen. Als Einrichtungen des Gesundheitswesens im Sinne von Art. 3 Abs. 1 NIS2-RL gelten alle Krankenhäuser, die stationäre Akutversorgung erbringen. Größenunabhängige Pflichten entstehen ab dem Geltungsdatum des deutschen BSIG-neu.

Was ist der Unterschied zwischen NIS2 und KRITIS für Krankenhäuser?

NIS2 (Wesentliche Einrichtung nach Anhang I) gilt für alle Krankenhäuser ohne Größenschwelle. KRITIS nach BSI-KritisV § 6 Anhang 5 greift erst bei mehr als 30.000 stationären Fällen pro Jahr oder mehr als 55.000 ambulanten Operationen. Unterhalb der KRITIS-Schwelle gelten nur NIS2-Pflichten; ab der KRITIS-Schwelle kommen striktere Anforderungen wie 24/7-Erreichbarkeit, BSI-Nachweis alle zwei Jahre und Registrierungspflicht als KRITIS-Betreiber hinzu.

Welche Bußgelder drohen Krankenhäusern bei NIS2-Verstößen?

Krankenhäuser sind Wesentliche Einrichtungen nach Anhang I und riskieren nach § 65 BSIG-neu Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Zusätzlich haftet die Geschäftsleitung persönlich nach § 38 BSIG-neu. Für KRITIS-Krankenhäuser können darüber hinaus Zwangsgelder nach § 53 BSIG-neu verhängt werden.

Was müssen Krankenhäuser bezüglich Medizingeräte und IT unter NIS2 beachten?

Medizinisch-technische Systeme (Bildgebung, Patientendatenmanagementsysteme, Infusionspumpen mit Netzwerkanschluss) gelten als kritische IT-Infrastruktur nach § 30 BSIG-neu. Pflichten umfassen Netzwerksegmentierung zwischen klinischen Netzwerken und Verwaltungs-IT, Patch-Management für medizinische Geräte sowie Backup-Konzepte für Patientendaten. Die MDR (EU) 2017/745 und NIS2 überlappen bei Software-as-a-Medical-Device; beide Regelwerke müssen gleichzeitig erfüllt werden.

Wann müssen Krankenhäuser Sicherheitsvorfälle an das BSI melden?

§ 32 BSIG-neu schreibt eine dreistufige Meldekette vor: Erstmeldung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls, Folgebericht innerhalb von 72 Stunden mit ersten Ursachenbefunden, Abschlussbericht innerhalb von 30 Tagen. Erhebliche Vorfälle sind solche, die den Krankenhausbetrieb oder Patientenversorgung erheblich stören oder stören könnten. Parallel kann die Meldepflicht nach § 8b BSIG für KRITIS-Häuser bestehen.

Was bedeuten NIS2-Lieferkettenpflichten für Krankenhäuser?

§ 30 Abs. 2 Nr. 4 BSIG-neu verpflichtet Krankenhäuser, Cybersicherheitsanforderungen an IT-Lieferanten und Dienstleister zu stellen. Betroffen sind KIS-Anbieter (Krankenhausinformationssysteme), Medizingeräte-Hersteller, Cloud-Provider und Fernwartungsdienstleister. Verträge sollten Sicherheitsklauseln, Penetrationstest-Rechte und Meldepflichten bei eigenen Sicherheitsvorfällen des Lieferanten enthalten.

Haften Krankenhausgeschäftsführer persönlich für NIS2-Compliance?

§ 38 BSIG-neu verpflichtet die Geschäftsleitung zur Billigung und Überwachung von Risikomanagementmaßnahmen sowie zur aktiven Schulungsteilnahme. Kommt sie diesen Pflichten schuldhaft nicht nach, droht persönliche Haftung. Für Krankenhäuser empfiehlt sich ein ISMS nach ISO/IEC 27001 mit explizitem Healthcare-Scope, das gleichzeitig die BSI-Grundschutz-Anforderungen und NIS2-Pflichten abdeckt.

Branchengenauer Self-Check

Ist mein Krankenhaus von NIS2 betroffen?

NIS2 und KRITIS-Pflichten im Gesundheitssektor haben unterschiedliche Schwellen. Dieser Rechner prüft beide - mit aktueller Rechtslage.

Schritt 1 / 2

Versorgungsstruktur und Digitalisierungsgrad

NIS2 Anhang I Nr. 5 erfasst Gesundheitseinrichtungen mit kritischer Versorgungsfunktion. Kreuze an, was auf dein Krankenhaus zutrifft.

Somatische Akutversorgung mit stationären BettenAllgemeinkrankenhaus, Fachkrankenhaus, Uniklinik mit Inpatient-VersorgungNetzwerk- oder Trägerverbund mit mehreren StandortenKlinikverbund, Medizinische Versorgungszentren (MVZ) an Haupthaus angebundenNutzung vernetzter Medizintechnik und digitaler PatientenaktenKIS, PACS, Monitoring, vernetzte OP-Technik, digitale PatientenaktenVollstationäre Fallzahl über 15.000 pro JahrIndikator für überregionale Versorgungsrelevanz - bei 30.000 greift KRITIS

Schritt 2 / 2

Unternehmensgröße

Krankenhaus: Der vollständige NIS2-Leitfaden

Krankenhäuser ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz sind nach NIS2-Anhang I Nr. 5 (Gesundheit) als Wesentliche Einrichtung einzustufen. Das bedeutet strengere Pflichten und höhere Bußgelder als für Anhang-II-Betriebe. Die Bedrohungslage ist real: Krankenhäuser gehören zu den am häufigsten angegriffenen kritischen Infrastrukturen in Deutschland. Dieser Leitfaden richtet sich an Krankenhausleitungen, CISOs und IT-Leiter.

Wer ist betroffen?

Krankenhäuser fallen unter NIS2-Anhang I Nr. 5 (Gesundheitsdienstleister) bei Überschreitung der KMU-Schwellen: mindestens 50 Mitarbeitende oder mindestens 10 Mio. EUR Jahresumsatz (EU-Empfehlung 2003/361/EG Art. 2). Da nahezu alle Krankenhäuser diese Schwellen überschreiten, sind sie flächendeckend als Wesentliche Einrichtung einzustufen.

Große Krankenhäuser, Universitätskliniken und Krankenhausverbünde mit mehr als 250 Mitarbeitenden und mehr als 50 Mio. EUR Umsatz unterliegen zusätzlich den KRITIS-Pflichten nach BSI-KritisV (Schwelle: 30.000 vollstationäre Fälle/Jahr). Diese waren bereits nach IT-SiG 1.0 reguliert.

Ein Kreiskrankenhaus mit 200 Betten und 300 Mitarbeitenden ist Wesentliche Einrichtung nach NIS2.

Die Pflichten nach § 30 BSIG-neu

§ 30 BSIG-neu fordert sieben technisch-organisatorische Maßnahmenbereiche, die für Krankenhäuser durch die patientensicherheitskritischen IT-Systeme besonders anspruchsvoll sind:

Risikoanalyse und -management: KIS (Krankenhausinformationssystem), RIS/PACS (Radiologie), Labor-IT, Medizingeräte mit Netzwerkanbindung und Patientendaten-Infrastruktur müssen bewertet werden.
Incident Handling: Ein Ransomware-Angriff auf das KIS ist ein meldepflichtiger Vorfall. Eskalation in klinischen Betrieb (Ausweichverfahren) und IT-Security-Response müssen koordiniert sein.
Business Continuity: Krankenhäuser müssen "Downtime Procedures" für alle klinischen IT-Systeme vorhalten. Papierbasierte Notfallprozesse für KIS-Ausfall sind zu testen und zu dokumentieren.
Supply-Chain-Sicherheit: KIS-Hersteller, Labor-Software-Anbieter und Dienstleister für Medizingeräte müssen auf Sicherheitsstandards überprüft werden. § 30 Abs. 2 Nr. 4 BSIG-neu verlangt Vertragsklauseln.
Zugangskontrolle und MFA: Zugang zu KIS, PACS und administrativen Systemen muss durch MFA gesichert sein. Klinisches Personal und IT-Verwaltung brauchen unterschiedliche Zugangskonzepte.
Verschlüsselung: Patientendaten in Übertragung und Speicherung müssen verschlüsselt sein. Das gilt auch für mobile Geräte (Tablets auf Station, Smartphones des Dienstarztes).
Schulung und Awareness: Ärzte, Pflegepersonal und Verwaltung müssen regelmäßig zu Phishing und sicherem Umgang mit IT-Systemen geschult werden.

Fristen und Meldepflichten

BSI-Registrierung nach § 33 BSIG-neu binnen drei Monaten. Für Sicherheitsvorfälle nach § 32 BSIG-neu: Erstmeldung 24 Stunden, vollständige Meldung 72 Stunden, Abschlussbericht 30 Tage.

Ein Ransomware-Angriff auf das KIS muss innerhalb von 24 Stunden an das BSI gemeldet werden. Das gilt auch dann, wenn der klinische Betrieb durch Ausweichverfahren weiterlaufen kann. Die Meldung muss den Umfang des Vorfalls, betroffene Systeme und ergriffene Maßnahmen enthalten.

Bußgelder und persönliche Haftung

Wesentliche Einrichtung (Anhang I): bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Für Krankenhäuser ohne internationalen Umsatz gilt: 2 % des Gesamtumsatzes des Krankenhausverbundes.

§ 38 BSIG-neu: Persönliche Haftung des Krankenhausgeschäftsführers und des leitenden IT-Verantwortlichen für schuldhaft versäumte NIS2-Pflichten. In Kombination mit datenschutzrechtlicher Haftung (DSGVO Art. 82) und standesrechtlichen Konsequenzen ist das ein erhebliches persönliches Risiko.

KHZG-Förderung und NIS2-Pflichten: wann Fördermittel und Pflicht zusammenfallen

Das Krankenhauszukunftsgesetz (KHZG) stellt nach §§ 21-21c KHZG Fördermittel für Digitalisierung bereit, darunter auch für IT-Sicherheit (Fördertatbestand 10). Diese Förderung überschneidet sich erheblich mit NIS2-Anforderungen.

Konkret: KHZG-Fördertatbestand 10 finanziert Maßnahmen zur "Verbesserung der IT-Sicherheit". Darunter fallen Maßnahmen wie Netzwerksegmentierung, Identity-and-Access-Management, SIEM-Systeme und Notfallpläne - alles NIS2-Pflichten nach § 30 BSIG-neu.

Krankenhäuser können daher NIS2-Compliance-Maßnahmen durch KHZG-Mittel kofinanzieren. Voraussetzung: Das Krankenhaus muss bis zur KHZG-Antragsfrist begründet darlegen, wie die Maßnahmen die IT-Sicherheit verbessern. NIS2-Compliance als Rahmen bietet dafür eine klare Argumentationslinie. Nicht genutztes KHZG-Förderpotenzial für IT-Sicherheit ist eine verpasste Gelegenheit.

Erste Schritte

Prüfe, ob dein Krankenhaus als Wesentliche Einrichtung einzustufen ist (fast alle Krankenhäuser: ja).
Inventarisiere alle klinischen IT-Systeme: KIS, PACS/RIS, Labor, Apotheke, Intensivstation-Monitoring.
Stelle sicher, dass Downtime Procedures für alle kritischen Systeme existieren und regelmäßig geübt werden.
Identifiziere alle Fernwartungszugänge von KIS-Herstellern und Medizingerätewartung.
Führe eine Risikoanalyse für einen kompletten KIS-Ausfall durch: Wie lange kann klinischer Betrieb ohne KIS aufrechterhalten werden?
Prüfe offene KHZG-Antragsoptionen für IT-Sicherheitsmaßnahmen.
Registriere dich beim BSI.

Typische Fehler vermeiden

Medizingeräte aus der IT-Sicherheitsbetrachtung ausgeklammert: Beatmungsgeräte, Infusionspumpen und Patientenmonitore mit Netzwerkanbindung sind IT-Systeme im NIS2-Sinne.

KIS als "Closed System" betrachtet: Moderne KIS sind über Schnittstellen mit Laborsystemen, Radiologie und externen Diensten verbunden. Jede Schnittstelle ist ein potenzieller Angriffsweg.

Notfallpläne nur für IT-Ausfall, nicht für Cyberangriff: Klassische BCP-Pläne gehen von Hardware-Ausfall aus. Ein Cyberangriff erfordert andere Reaktionen (Netzwerk-Isolation, Forensik, Behördenmeldung).

KHZG-Förderung nicht für IT-Sicherheit genutzt: Viele Krankenhäuser haben KHZG-Fördermittel für Prozess-Digitalisierung beantragt, nicht für IT-Sicherheit. Das ist eine verpasste Finanzierungschance für NIS2-Maßnahmen.

Nutze den branchengenauen NIS2-Rechner für Krankenhäuser, um deine Pflichten in wenigen Minuten zu überprüfen.

Inhaltlich verantwortlich

Julian Köhn

Founder & CEO, Kopexa

Julian Köhn ist Gründer und CEO von Kopexa. Seit 10+ Jahren entwickelt er Sicherheits- und Compliance-Lösungen für den europäischen Mittelstand. Fokus: NIS2, ISO 27001, DSGVO, TISAX. Kopexa wurde gegründet, um GRC für KMU transparent und self-service-fähig zu machen.

LinkedIn Profil ansehen

Fachlich geprüft

Kopexa GRC Team

Subject Matter Experts — NIS2, ISO 27001, KRITIS

Das Kopexa GRC-Team besteht aus Sicherheits- und Compliance-Experten mit Zertifizierungen in ISO 27001, CISA, CRISC. Das Team entwickelt die Framework-Mappings und validiert Inhalte zu NIS2, KRITIS und branchenspezifischen Anforderungen.

Zuletzt aktualisiert: 2026-04-17

Häufig gestellte Fragen

Branchenspezifische Antworten zu NIS2-Pflichten, Schwellenwerten und Sanktionen.

Ist mein Krankenhaus von NIS2 betroffen?

Krankenhaus: Der vollständige NIS2-Leitfaden

Wer ist betroffen?

Die Pflichten nach § 30 BSIG-neu

Fristen und Meldepflichten

Bußgelder und persönliche Haftung

KHZG-Förderung und NIS2-Pflichten: wann Fördermittel und Pflicht zusammenfallen

Erste Schritte

Typische Fehler vermeiden

Häufig gestellte Fragen

01Ab wann gilt ein Krankenhaus als NIS2-pflichtig?

02Was ist der Unterschied zwischen NIS2 und KRITIS für Krankenhäuser?

03Welche Bußgelder drohen Krankenhäusern bei NIS2-Verstößen?

04Was müssen Krankenhäuser bezüglich Medizingeräte und IT unter NIS2 beachten?

05Wann müssen Krankenhäuser Sicherheitsvorfälle an das BSI melden?

06Was bedeuten NIS2-Lieferkettenpflichten für Krankenhäuser?

07Haften Krankenhausgeschäftsführer persönlich für NIS2-Compliance?