NIS-2 sorgt in vielen Köpfen noch für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen.
NIS-2 lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Gesundheitsorganisationen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS-2? Welche Maßnahmen müssen Unternehmen im Healthcare-Sektor implementieren?
Nur wenige Anforderungen von NIS-2 sind grundlegend neu. Zu den Neuerungen gehört vor allem zweierlei:
Ab Mitte Oktober 2024 müssen Einrichtungen des Gesundheitswesens relevante Security-Vorfälle melden. Sind sie dazu nicht in der Lage oder lassen sie die Meldefrist verstreichen, drohen empfindliche Bußgelder.
Davon unberührt führt NIS-2 auch viele Einzelmaßnahmen, die viele Unternehmen im medizinischen Sektor bereits umsetzen, in ein Regelwerk zusammen.
Dennoch ergeben sich für Gesundheitsorganisationen zentrale Aspekte, welche die NIS-2 betont und auf die Betroffene besonders achten sollten.
1. System-Inventur
Auch Healthcare-Unternehmen müssen ihre Systeme vollständig inventarisieren und Assets professionell managen. Nur so können sie Cyber-Risiken verlässlich handhaben. Doch kennen alle Organisationen ihre Unternehmenswerte? Und sind diese vor Missbrauch oder Diebstahl geschützt?
In der Haus-Analogie gedacht: Wie oft verstaut die Mieterschaft Schätze auf dem Dachboden und verliert gänzlich den Überblick darüber, was sie eigentlich alles Wertvolles besitzt. Vergleichbar dazu sind womöglich sensible Gesundheitsdaten von Patienten oder Versicherten auf einem Speichergerät unterhalb eines Schreibtisches abgelegt – und damit vor unberechtigten Zugriffen nicht sicher. Eine umfassende Bestandsaufnahme ist also der erste Schritt.
2. System-Monitoring
Gesundheitliche Einrichtungen müssen ihre Systeme auf Schwachstellen scannen und ein Vorgehen für deren Beseitigung definieren. Fakt ist: Unternehmen werden früher oder später Opfer eines Cyber-Angriffs – je systemrelevanter und kritischer die Organisation ist, umso höher das Risiko. Unternehmen im medizinischen Sektor benötigen darum zwingend Systeme zur Angriffserkennung (SzA). Nur so können sie einen drohenden Angriff frühzeitig erkennen und angemessen darauf reagieren. Zudem braucht es weitere Maßnahmen wie Pentesting, Security Audits, Log Monitoring und Compliance Monitoring.
Vergleichbar ist diese Anforderung mit der notwendigen Installation von Rauchmeldern im Haus, die eine Art Frühwarnsystem darstellen – wenn auch nicht ohne Restrisiko. Die Batterie könnte leer oder der Rauchmelder defekt sein. Für Organisationen heißt dies, dass trotz ergriffener Prevention- und Detection-Maßnahmen ein Hacker-Angriff unbemerkt bleiben kann.
3. Schadenserkennung
In der Gesundheitsbranche tätige Unternehmen müssen Schwachstellen identifizieren, bewerten, priorisieren und beheben. Darum sind automatisierte Detection- und Response-Maßnahmen ebenso in den Kernprozessen dieser Unternehmen zu verankern wie das Patch Management. Ein typisches Problem: Eine Organisation mit komplexer IT-Systemlandschaft setzt für das Schwachstellenmanagement auf lokale Excel-Listen. Weil es aufgrund der Menge an Schwachstellen den Überblick verliert, dringen Hacker in die Unternehmens-IT ein.
Zum Verständnis der Vergleich: Ist im Haus beispielsweise eine Fensterscheibe oder ein Schloss defekt, lässt sich dies leicht erkennen und beheben. Doch was, wenn in einem Gebäudekomplex gleich mehrere solcher Schwachstellen identifiziert werden? Dann gilt es, die Dringlichkeit der Reparaturmaßnahmen zu bewerten und verschiedene Handwerker bei der Schadensbehebung zu koordinieren.
4. Sensibilisierung
Unternehmen im Health-Umfeld benötigen zentrale Richtlinien und müssen Mitarbeitende und Geschäftsführung für die allgegenwärtigen Cyber-Gefahren sensibilisieren. Zudem ist neben Identity und Access Management auch Incident Management Pflicht. Man stelle sich nur vor: Weil Mitarbeitende unsichere Passwörter verwenden, sind ihre E-Mail-Konten in der Cloud nicht gesichert. Zugleich dürfen sie auf Software zugreifen, mit der sensible Gesundheitsdaten verarbeitet werden, ohne sich mit einem zweiten Faktor zu authentifizieren. Ein Krimineller dringt dann über gehackte E-Mail-Konten in die Unternehmens-IT ein und breitet sich immer weiter aus.
Sensibilisierung ist unverzichtbar, aber Richtlinien verankern diese verbindlich für alle Beteiligten: So findet man eben auch in Hausordnungen Vorgaben, die es beispielsweise untersagen, bei Unbekannten den Haustüröffner zu betätigen oder für Paketdienste Ablageorte innerhalb der Mieteinrichtung zu vereinbaren. Für die Unternehmens-IT gesundheitlicher Einrichtungen bedeutet das: Mitarbeitende müssen den Umgang mit sensiblen Daten beherrschen. Es braucht Regeln für den Zugriff auf diese Daten. Und es muss überprüfbar sein, ob sie fehlerhaft sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
5. Transparenz
Im Gesundheitssektor müssen Unternehmen ihre Systeme mithilfe von Tools für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) sowie Security Information and Event Management (SIEM) fortlaufend überwachen und bezüglich ihrer Sicherheitsrisiken bewerten.
Das Problem: Medizinische Einrichtungen wissen unter Umständen gar nicht, welche Systeme ihre Mitarbeitenden alles einsetzen. Diese unbekannten oder „vergessenen“ Tools sind im Scope nicht erfasst und werden darum weder auf Schwachstellen gescannt noch gepatcht. Daneben entstehen ungewollte Abhängigkeiten, weil das Personal unautorisierte Systeme nutzt, um wichtige Prozesse zu managen. Im Treppenhaus kann beispielsweise ein unbedarft abgelegter Müllsack ein hohes Brandrisiko für alle Bewohner darstellen, welches sich so auch nicht auf einen Blick abschätzen lässt.
6. Notfallpläne
Unternehmen müssen mit vorab definierten Response-Maßnahmen im Angriffsfall unmittelbar reagieren können. Sie sind dazu verpflichtet, sicherheitsrelevante Vorfälle in einem bestimmten Zeitfenster zu melden – einschließlich Zwischen- und Abschlussmeldungen. Diese Meldewege in Healthcare-Unternehmen müssen vorbereitet, bekannt und implementiert sein. Sensible Assets gilt es speziell abzusichern.
Zudem müssen medizinische Einrichtungen belastbare Vorkehrungen für Notfälle und bestimmte Szenarien treffen: Notfallplanung, Notfallmanagement und Pläne für die Wiederherstellung des Geschäftsbetriebs sind Pflicht. So ist beispielsweise auszuschließen, dass hochsensible Daten auf mobilen Geräten der Mitarbeitenden existieren, sodass unbefugte Dritte bei Verlust oder Diebstahl bequem Zugang zu den Daten erhalten und die Organisation so Opfer von Hackerangriffen oder Erpressungen wird.
Jeder kennt es: In Mehrfamilienhäusern und Firmengebäuden müssen alle Fluchtwege ausgewiesen, gekennzeichnet und stets ungehindert zugänglich sein. Auch der Verlust von Zentralschlüsseln ist immer direkt anzuzeigen.
7. Kommunikationswege
Es sind Verhaltensanweisungen für das Personal vorzubereiten und zu kommunizieren. Über Änderungen ist jederzeit zur informieren. Interaktive (Online-)Schulungen dienen dem Zweck, die Belegschaft zu trainieren und ihr Wissen regelmäßig aufzufrischen. Während es von der Hausverwaltung meist Aushänge, Briefe oder E-Mails mit wichtigen Handlungsanweisungen gibt, gilt für IT-Sicherheit in gesundheitlichen Unternehmen: Es braucht abgestimmte Kommunikations- und Notfallpläne, die allen zugänglich sind.
Zudem sind notwendige Änderungen sorgfältig vorzubereiten, zu bewerten, mit risikominimierenden Maßnahmen zu unterlegen und zu dokumentieren. Und natürlich müssen sich im Notfall alle entsprechend verhalten.
Hat ein Security-Dienstleister für ein medizinisches Unternehmen belastbare Notfallpläne ausgearbeitet, doch die Organisation bespricht diese Strategien nicht mit dem Personal, kommt es bei einer Cyber-Attacke schnell zu Panik oder unbedachten Handlungen, die das Problem unter Umständen verschärfen. Man denke nur daran, was passiert, wenn die Bewohner eines Mietshauses nicht über die geplante Instandhaltung der Wasserleitungen mit Abschaltung aller Leitungen informiert werden.
8. Supply-Chain-Risiken
Es gilt, Supply-Chain-Risiken ganzheitlich abzufragen und wirkungsvoll zu managen. Hierfür sollten Unternehmen im Gesundheitswesen auf branchenspezifische, bewährte Best Practices setzen. Für Geschäftsgebäude wie für die Unternehmenssysteme gilt: Lieferanten, Partner und andere Betriebsfremde wie beispielsweise Patienten, Besucher oder Versicherte, die Zugang haben oder auf Applikationen zugreifen, sind ins Risikomanagement zu integrieren. Im Bereich IT sind zum einen nur gesicherte IT-Lösungen bereitzustellen, zum anderen ist zu gewährleisten, dass Externe selbst nicht zum Sicherheitsrisiko werden. Darum sind Zero Trust und Multi-Faktor-Authentifizierung unverzichtbar.
Fazit
Vor dem Hintergrund dieser acht Handlungsfelder müssen Unternehmen im Healthcare-Sektor
rechtssicher beurteilen, inwieweit sie von den NIS-2-Vorgaben betroffen sind,
sich einen Überblick verschaffen, welche Maßnahmen bereits umgesetzt sind,
die Umsetzung der Maßnahmen konsequent priorisieren,
die damit verbundenen finanziellen und personellen Aufwendungen bestimmen,
die Umsetzbarkeit der Maßnahmen unter Einbeziehung interner und externer Ressourcen, wie etwa Managed Service Providern, gemeinsam sicherstellen,
Rollen und Verantwortlichkeiten einschließlich Kommunikation unter Einbeziehung interner und externer Ressourcen, wie etwa Managed Service Providern, vollständig definieren und
alle getroffenen Maßnahmen und Regelungen ausführlich dokumentieren.
Für einen adäquaten Schutz ist zu erörtern, welche Risiken es gibt, welche Bereiche besonders gefährdet sind und wie diese sich bestmöglich schützen lassen. So setzen medizinische Unternehmen die NIS-2 zuverlässig um.
Dr. Consuela Utsch ist Geschäftsführerin und Gründerin der Acuroc Solutions GmbH und der AQRO GmbH. Als Spezialistin berät sie seit über 20 Jahren mittelständische Unternehmen und die Großindustrie bei der Implementierung von Betriebs- und Projektmanagementprozessen sowie in allen Themenbereichen der IT-Governance.
Andreas Nolte ist Head of Cyber Security bei Arvato Systems. Bereits während seines Studiums der Elektrotechnik arbeitete er als IT-Systemtechniker, bevor er 1995 zu Arvato wechselte, wo er seitdem in verschiedenen Funktionen tätig war, unter anderem als Head of Governance and Architecture von Arvato IT Support und als Director Cyber Security von Arvato Direct Services Wilhelmshaven. Seit 2018 leitet er als Head of Cyber Security das internationale Security Operations Center (SOC) von Arvato Systems.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/24/d5/24d528e59e6a8e4e523e0a10bedb4e78/0123782471v1.jpeg "Das Startdatum der NIS-2-Richtlinie ist noch unklar, doch ihr Ziel steht fest: Cybersicherheit stärken. Deep Observability wird dabei zum Muss – für Transparenz bis in die Netzwerke hinein. (Bild: Sono Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/bd/b9bd6e6cc5501398cb9b903a5ee4228e/0126093912v2.jpeg "Medizintechnische Geräte müssen abgesichert sein, auch gegenüber Cyberangriffen. (Bild: KI-generiert)")