-
Audit
Durch unsere unabhängig und kompetent durchgeführten Prüfungsleistungen garantieren wir unseren Mandanten und deren Abschlussadressaten ein hohes Maß an Sicherheit und Vertrauen.
-
Assurance
Wir haben Assurance Service Lines im Bereich der prüfungsnahen Beratung etabliert, damit wir Sie bei der Identifizierung der für Sie relevanten Risiken und Herausforderungen unterstützen können.

-
Technology Consulting
Erhalten Sie maßgeschneiderte Technologieberatung
-
Operational Excellence und Restrukturierung
Strategien für Erfolg und Stabilität
-
Deal Advisory
Problemlos Deals realisieren
-
Valuation & Economic and Dispute Advisory
Fachkompetenz für Ihre Fragestellungen

-
Unternehmen
Weil Ihr Unternehmen – ob national oder international – eine bessere Steuerberatung verdient.
-
Vermögende Privatkunden
Vermögen braucht Vertrauen, Transparenz und kluge Köpfe. Das können wir!
-
Finanzprozesse & Reporting
Unternehmensdaten messen und nutzbar machen
-
Immobilienwirtschaft
Beratung immobiliensteuerrechtlicher Spezialfragen
-
Finanzinstitute
Financial Services Tax – für Banken, Asset-Managements und Versicherungen
-
Tax im öffentlichen Sektor
Beratung und Services für die öffentliche Hand und Non-Profit-Organisationen

-
Arbeitsrecht
Vertretung für Unternehmen.
-
Commercial & Distribution
Einkauf und Vertrieb rechtssicher gestalten.
-
Compliance & Managerhaftung
Haftung für Ihr Unternehmen vermeiden.
-
Erben & Nachfolge
Überlassen Sie die Zukunft nicht dem Zufall.
-
Financial Services | Legal
Your Growth, Our Commitment.
-
Gesellschaftsrecht
Erfolgreiche Wirtschaftstätigkeit durch optimal gestaltete Gesellschaftsstrukturen.
-
Immobilienrecht
Alles über Immobilienwirtschaft, Hotellerie, Bau- und Architektenrecht, WEG und Mietrecht.
-
IT, IP & Datenschutz
IT-Sicherheit und digitale Innovationen.
-
Litigation | Dispute Resolution
Konflikte lösen.
-
Mergers & Acquisitions (M&A)
Ihr One-Stop-Dienstleister mit Fokus auf M&A-Transaktionen.
-
Restrukturierung & Insolvenz
Zukunft sichern in der Krise.
-
Energie, Telekommunikation und öffentliches Wirtschaftsrecht
Umfassende Beratung im Energierecht, Telekommunikationsrecht, öffentlichen Wirtschaftsrecht & regulierten Märkten.

-
Technology Consulting
Digitalisierung gemeinsam meistern
-
IT Assurance
Sichere Informationen als Grundlage optimaler Analyse und Unternehmenssteuerung.
-
Tax Technology
Ihre Steuerabteilung – zukunftsfähig und leistungsstark!
-
IT, IP & Datenschutz
IT-Sicherheit und digitale Innovationen.
-
Öffentlicher Sektor
Digitalisierung, Prozesse & Projekte
-
Cyber Security
Beratung und Services für den Mittelstand in Deutschland
-
Sicherheitsberatung
Auch in stürmischen Zeiten den Kurs behalten
-
SAP Beratung & Projektmanagement
Wir halten Ihnen den Rücken frei – für ein erfolgreiches SAP-Projekt.
-
Data Engineering, Data Analytics und Künstliche Intelligenz
Datenbasierte Entscheidungen treffen und das Potenzial der Daten nutzen!
-
Sustainability Strategy
Den Grundstein für Nachhaltigkeit legen
-
Sustainability Management
Den nachhaltigen Wandel steuern
-
Sustainability Legal
Rechtliche Anforderungen an die nachhaltige Unternehmensführung
-
Sustainability Reporting
Nachhaltigkeitsperformance kommunizieren und Compliance sicherstellen
-
Sustainable Finance
Nachhaltigkeit in Investitionsentscheidungen integrieren
-
Grant Thornton B2B ESG-Studie
Grant Thornton B2B ESG-Studie
-
Expansion ins Ausland
Unsere Länderexpertise
-
Markteintritt in Deutschland
Ihr verlässlicher Partner

-
GRANT THORNTON OPINION in der ESG Automotive Nachhaltigkeitsthemen als Risiken und Chancen erkennenSenior Manager Dr. Stefan Hannen hat mit dem Magazin „Mobilität“, das als Beilage der Tageszeitung „Die Welt“ erscheint, über neue Geschäftsmodelle und aufkommende Reporting- und Kommunikationsverpflichtungen in der Automobilbranche gesprochen.
-
Pillar 2 Diskussionsentwurf für deutsches Umsetzungsgesetz liegt vorDie im Entwurf enthaltenen Regelungen sollen in einem eigenen neuen Gesetz „zur Gewährleistung einer globalen Mindestbesteuerung für Unternehmensgruppen“ verankert werden. Wir stellen die wichtigsten Punkte vor.
-
Rechnungslegung Auswirkungen der neuen US-GesetzgebungZwei von Präsident Joe Biden unterzeichnete Gesetze haben Auswirkungen auf den Zugang zum US-amerikanischen Markt für europäische Automobilhersteller. Deutsche Unternehmen mit geschäftlichen Beziehungen in die USA sollten insbesondere die bilanzielle Behandlung der gesetzlichen Neuerungen sorgfältig prüfen.
-
Interview Dynamic Dashboarding für Volvo Car GermanyWir haben gemeinsam mit Volvo Car Germany eine szenariobasierte und dynamische Dashboardlösung für den Finance Bereich bei dem Unternehmen entwickelt.
-
Sicherheitsberatung
Höchster Anspruch an Ihre Resilienz
-
Beratung für Stadtwerke und Kommunen
Expertise für eine nachhaltige Zukunft
-
Digitalisierung, Prozesse & Projekte
Spezialisiert auf den öffentlichen Sektor

-
Work-Life-Balance
Starkes Engagement im Job und eine gute Work-Life-Balance kannst Du bei uns sehr gut kombinieren.
-
Entwicklung
Wir bieten Dir ein vielfältiges Portfolio und lebendiges Wachstum in einem starken Team. Deine Entwicklung ist unser Antrieb.
-
International Arbeiten
Unser internationales Netzwerk eröffnet Dir die Chance international zu arbeiten und interkulturelle Erfahrungen zu sammeln.
-
Diversity
Vielfalt ist Teil unserer DNA. Wir vereinen unterschiedlichste Fachrichtungen, Berufserfahrungen, Kulturen, Herkunftsländer, Altersgruppen und Geschlechter.
Überblick über Regulierungen, Strategien und Handlungsempfehlungen für eine sichere digitale Zukunft
Die Digitalisierung revolutioniert das Gesundheitswesen durch elektronische Patientenakten, vernetzte Medizingeräte und Telemedizin. Doch diese digitale Transformation bringt gleichzeitig erhebliche Herausforderungen und Kosten mit sich. Cyberangriffe auf Gesundheitseinrichtungen bedrohen die Verfügbarkeit kritischer Systeme und sensible Patientendaten. Allein im Jahr 2023 meldeten die EU-Mitgliedstaaten 309 schwerwiegende Cybersicherheitsvorfälle im Gesundheitssektor – mehr als in jedem anderen kritischen Bereich. Besonders alarmierend ist, dass 54 % dieser Vorfälle auf Ransomware-Angriffe zurückzuführen sind, bei denen Daten verschlüsselt und Lösegeldforderungen gestellt werden. Ein erfolgreicher Angriff kann dabei nicht nur finanzielle Schäden verursachen, sondern auch das Vertrauen der Patienten nachhaltig erschüttern und im schlimmsten Fall die Patientenversorgung gefährden.
Nationale und europäische Gesetzgeber haben zahlreiche Regulierungen und Standards eingeführt und entwickeln diese weiter. Die Europäische Kommission hat im Januar 2025 einen Aktionsplan zur Stärkung der Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern vorgestellt. Dieser Plan zielt darauf ab, die Fähigkeiten der Einrichtungen bei der Bedrohungserkennung, Vorsorge und Reaktion zu verbessern. Konkret umfasst der Aktionsplan vier Hauptbereiche:
- Verbesserte Prävention: Durch die Bereitstellung von Leitlinien zur Implementierung kritischer Cybersicherheitspraktiken und die Entwicklung von Lernressourcen für Fachkräfte im Gesundheitswesen soll die Präventionsfähigkeit gestärkt werden. Zudem können Mitgliedstaaten sogenannte Cybersecurity Vouchers einführen, um insbesondere kleinen und mittelständischen Gesundheitseinrichtungen finanzielle Unterstützung zu bieten.
- Erkennung und Identifikation von Bedrohungen: Die Einrichtung eines europäischen Frühwarnsystems soll es ermöglichen, potenzielle Cyberbedrohungen nahezu in Echtzeit zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten.
- Reaktion auf Cyberangriffe zur Minimierung von Auswirkungen: Der Plan sieht die Schaffung eines schnellen Reaktionsdienstes für den Gesundheitssektor vor, der im Rahmen der EU-Cybersecurity-Reserve etabliert wird.
- Abschreckung von Cyberbedrohungsakteuren: Durch die Nutzung der „Cyber Diplomacy Toolbox“ sollen gemeinsame diplomatische Reaktionen der EU auf bösartige Cyberaktivitäten ermöglicht werden, um potenzielle Angreifer abzuschrecken.
Diese rechtlichen Rahmenwerke zielen unter anderem darauf ab, einheitliche Sicherheitsstandards zu etablieren, Verantwortlichkeiten klar zu definieren und die Resilienz gegenüber Cyberbedrohungen zu erhöhen. Für Gesundheitseinrichtungen bedeutet dies, dass sie sich kontinuierlich mit neuen und bestehenden Anforderungen auseinandersetzen und ihre Sicherheitsstrategien entsprechend anpassen müssen, um den Schutz sensibler Gesundheitsdaten sicherzustellen und die gesetzlichen Vorgaben zu erfüllen.
Nationale Leitplanken: Deutschlands Wegweiser für Cybersicherheit im Gesundheitswesen
In Deutschland bilden verschiedene Regulierungen und Standards das Fundament für eine stärkere Cybersicherheit im Gesundheitssektor. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit seinen Standards für eHealth spezifische Anforderungen und Empfehlungen bereit, die Gesundheitseinrichtungen bei der Absicherung ihrer IT-Systeme unterstützen. Diese Standards decken Bereiche wie die sichere Vernetzung von Medizingeräten, den Schutz elektronischer Patientenakten und die Implementierung von Notfallplänen bei IT-Sicherheitsvorfällen ab.
Die KRITIS-Verordnung verpflichtet Betreiber kritischer Infrastrukturen, zu denen auch große Krankenhäuser zählen, angemessene Sicherheitsmaßnahmen zu ergreifen und Sicherheitsvorfälle zu melden. Diese Maßnahmen umfassen regelmäßige Risikoanalysen, die Implementierung von Sicherheitskonzepten und die Schulung von Mitarbeitenden im Umgang mit Cyberbedrohungen.
Die nationale Umsetzung der NIS-2-Richtlinie wird den Kreis der verpflichteten Einrichtungen deutlich erweitern. Schätzungsweise 29.000 Unternehmen in Deutschland werden künftig unter die Aufsicht des BSI fallen, darunter viele Einrichtungen des Gesundheitssektors. Dies bedeutet, dass auch kleinere Akteure im Gesundheitswesen, wie Arztpraxen oder Pflegeeinrichtungen, zu erhöhten Sicherheitsanforderungen verpflichtet werden und ihre NIS-2-Readiness sicherstellen müssen. Die NIS-2-Richtlinie fordert zudem eine dreistufige Meldepflicht bei Sicherheitsvorfällen: eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Angesichts dessen ist die rechtskonforme Ausgestaltung von Governance-Strukturen und die Schaffung interner, organisatorischer Prozesse zur Erfüllung von Informations-, Melde- Registrierungspflichten, insbesondere bei Konzernverbünden, eine zentrale Anforderung. Hinzu tritt das Erfordernis der Umsetzung von NIS-2 in Verträgen über die Bereitstellung von IT-Infrastrukturen und IT-Dienstleistungen (wie zum Beispiel Verpflichtungen zu Sicherheitsupdates bei dem Einsatz von Komponenten Dritter, Einräumung vertraglicher Kontrollbefugnisse, kontinuierliche Informationsflüsse über mögliche Angriffsvektoren, Ermöglichung umfassender und stets aktueller Risikobewertungen).
Zusätzlich betont die NIS-2-Richtlinie die eigene Verantwortung und potenzielle Haftung der Geschäftsleitung für Cybersicherheitsmaßnahmen. Führungskräfte müssen eine informierte Entscheidungsfindung, auch im Falle der Delegierung von Aufgaben, sicherstellen und künftig verpflichtend an Schulungen teilnehmen, um ein besseres Verständnis für Cyberrisiken zu entwickeln und angemessene Sicherheitsstrategien zu implementieren.
Für Gesundheitseinrichtungen bedeutet dies, dass sie proaktiv ihre Sicherheitsstrategien überarbeiten und anpassen müssen, um den neuen gesetzlichen Vorgaben zu entsprechen und den Schutz sensibler Patientendaten zu gewährleisten.
Europäische Impulse: Einheitliche Cybersicherheitsstandards für ein vernetztes Gesundheitswesen
Auch auf europäischer Ebene zielen mehrere Initiativen darauf ab, ein einheitliches und hohes Cybersicherheitsniveau im Gesundheitswesen zu etablieren.
Der Cyber Resilience Act (CRA) legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, um Verbraucher und Unternehmen vor unsicheren Produkten zu schützen. In der Verordnung wird ferner festgelegt, dass Hersteller von Hardware und Software umfangreiche Sicherheitsanforderungen über den gesamten Lebenszyklus ihrer Produkte hinweg erfüllen müssen. Dies umfasst beispielsweise die Verpflichtung zur Durchführung von Cyber-Risikoanalysen vor der Markteinführung oder die Meldung von Sicherheitsvorfällen an zuständige Behörden innerhalb von 24 Stunden. Ein weiteres praktisches Beispiel ist die Verpflichtung von Herstellern, für die voraussichtliche Nutzungsdauer der Produkte Sicherheitsupdates automatisch bereitzustellen, gleichzeitig aber den Nutzern die Möglichkeit zu bieten, diese Updates zu deaktivieren. Für Gesundheitseinrichtungen als Nutzer einer Vielzahl digitaler Produkte (von smarten Rauchmeldern bis hin zu medizinischen Geräten) ist die Verpflichtung von hoher praktischer Bedeutung, da ihnen von den Herstellern verpflichtend Informationen zur Cybersicherheit der Produkte und zu Sicherheitsupdates bereitgestellt werden müssen. Bei Verstößen gegen den CRA können Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes verhängt werden.
Zusätzlich verfolgt der erst im Januar 2025 veröffentlichte EU-Aktionsplan zur Cybersicherheit im Gesundheitswesen das Ziel, die Resilienz von Gesundheitseinrichtungen zu stärken und das Vertrauen der Patienten in digitale Gesundheitsdienste zu erhöhen. Er umfasst Maßnahmen zur Verbesserung der Sicherheitsstandards, zur Förderung des Austauschs bewährter Praktiken und zur Bereitstellung von Schulungen für Fachkräfte im Gesundheitswesen. Durch die Umsetzung dieses Aktionsplans sollen Gesundheitsdienste besser auf die Herausforderungen der digitalen Transformation vorbereitet werden, um eine sichere und vertrauenswürdige Versorgung der Patienten zu gewährleisten.
Krankenhauszukunftsgesetz (KHZG): Digitalisierung als Chance für mehr Cybersicherheit
All diesen regulatorischen Anforderungen gegenübergestellt, bietet das Krankenhauszukunftsgesetz eine bedeutende Initiative der deutschen Bundesregierung, die darauf abzielt, Krankenhäuser bei der Digitalisierung finanziell zu unterstützen. Mit einem Investitionsvolumen von bis zu 4,3 Milliarden Euro fördern Bund und Länder diverse Projekte, die moderne Notfallkapazitäten schaffen, digitale Prozesse etablieren und die IT-Sicherheit erhöhen sollen. Ein zentraler Aspekt des KHZG ist die Verbesserung der IT-Sicherheit in Krankenhäusern. Durch die bereitgestellten Mittel können Einrichtungen in fortschrittliche Sicherheitsinfrastrukturen investieren, um sich gegen die zunehmenden Cyberbedrohungen zu wappnen und gleichzeitig den gesetzlichen Vorgaben zu entsprechen. Dazu gehören Maßnahmen wie die Implementierung von Sicherheitstechnologien oder die Schulung des Personals im Umgang mit digitalen Systemen.
Insgesamt stellt das KHZG eine bedeutende Chance für Krankenhäuser dar, die Herausforderungen der digitalen Transformation zu meistern und gleichzeitig die Cybersicherheit zu optimieren. Durch gezielte Investitionen und die Umsetzung innovativer Projekte können sie ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen erhöhen und eine qualitativ hochwertige Patientenversorgung gewährleisten. Insgesamt ist die Sicherstellung und Finanzierung der Cybersicherheit im Gesundheitswesen eine komplexe und fortlaufende Herausforderung, die sowohl nationale als auch europäische Regulierungen erfordert. Dennoch sind die Implementierung und Einhaltung dieser Standards entscheidend für den Schutz sensibler Patientendaten und die Aufrechterhaltung des Vertrauens in digitale Gesundheitsdienste.
Bei Fragen oder dem Bedarf an weiterführender Beratung zu diesem Themenkomplex stehen Ihnen unsere Experten gerne zur Verfügung. Zögern Sie nicht, uns zu kontaktieren, um gemeinsam Lösungen für Ihre spezifischen Anforderungen im Bereich der Cybersicherheit zu entwickeln.
Dieser Beitrag wurde von unseren Experten Jonas Neurath, Marco Müller-ter Jung und David Peter verfasst.
Gestalten Sie Ihren individuellen Informationsbedarf: Abonnieren Sie hier unsere kostenlosen Newsletter.