Die Cybersicherheit im Gesundheitswesen wird durch eine Vielzahl nationaler und europäischer Regulierungen geprägt, die ein komplexes Geflecht von Anforderungen und Verpflichtungen für Einrichtungen und Hersteller im Gesundheitssektor schaffen. Von spezifischen Sicherheitsstandards für kritische Infrastrukturen (KRITIS) im Gesundheitssektor bis hin zu Regelwerken wie die NIS-2-Richtlinie und der Cyber Resilience Act (CRA) auf europäischer Ebene – die Regelungen zielen darauf ab, ein einheitliches und hohes Sicherheitsniveau in der gesamten EU zu etablieren. Das Krankenhauszukunftsgesetz (KHZG) bietet Krankenhäusern die Chance, die digitale Transformation zu meistern und gleichzeitig die Cybersicherheit zu optimieren.
INHALTE

Überblick über Regulierungen, Strategien und Handlungsempfehlungen für eine sichere digitale Zukunft

Die Digitalisierung revolutioniert das Gesundheitswesen durch elektronische Patientenakten, vernetzte Medizingeräte und Telemedizin. Doch diese digitale Transformation bringt gleichzeitig erhebliche Herausforderungen und Kosten mit sich. Cyberangriffe auf Gesundheitseinrichtungen bedrohen die Verfügbarkeit kritischer Systeme und sensible Patientendaten. Allein im Jahr 2023 meldeten die EU-Mitgliedstaaten 309 schwerwiegende Cybersicherheitsvorfälle im Gesundheitssektor – mehr als in jedem anderen kritischen Bereich. Besonders alarmierend ist, dass 54 % dieser Vorfälle auf Ransomware-Angriffe zurückzuführen sind, bei denen Daten verschlüsselt und Lösegeldforderungen gestellt werden. Ein erfolgreicher Angriff kann dabei nicht nur finanzielle Schäden verursachen, sondern auch das Vertrauen der Patienten nachhaltig erschüttern und im schlimmsten Fall die Patientenversorgung gefährden.
Nationale und europäische Gesetzgeber haben zahlreiche Regulierungen und Standards eingeführt und entwickeln diese weiter. Die Europäische Kommission hat im Januar 2025 einen Aktionsplan zur Stärkung der Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern vorgestellt. Dieser Plan zielt darauf ab, die Fähigkeiten der Einrichtungen bei der Bedrohungserkennung, Vorsorge und Reaktion zu verbessern. Konkret umfasst der Aktionsplan vier Hauptbereiche:

  1. Verbesserte Prävention: Durch die Bereitstellung von Leitlinien zur Implementierung kritischer Cybersicherheitspraktiken und die Entwicklung von Lernressourcen für Fachkräfte im Gesundheitswesen soll die Präventionsfähigkeit gestärkt werden. Zudem können Mitgliedstaaten sogenannte Cybersecurity Vouchers einführen, um insbesondere kleinen und mittelständischen Gesundheitseinrichtungen finanzielle Unterstützung zu bieten.
  2. Erkennung und Identifikation von Bedrohungen: Die Einrichtung eines europäischen Frühwarnsystems soll es ermöglichen, potenzielle Cyberbedrohungen nahezu in Echtzeit zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten.
  3. Reaktion auf Cyberangriffe zur Minimierung von Auswirkungen: Der Plan sieht die Schaffung eines schnellen Reaktionsdienstes für den Gesundheitssektor vor, der im Rahmen der EU-Cybersecurity-Reserve etabliert wird.
  4. Abschreckung von Cyberbedrohungsakteuren: Durch die Nutzung der „Cyber Diplomacy Toolbox“ sollen gemeinsame diplomatische Reaktionen der EU auf bösartige Cyberaktivitäten ermöglicht werden, um potenzielle Angreifer abzuschrecken.

Diese rechtlichen Rahmenwerke zielen unter anderem darauf ab, einheitliche Sicherheitsstandards zu etablieren, Verantwortlichkeiten klar zu definieren und die Resilienz gegenüber Cyberbedrohungen zu erhöhen. Für Gesundheitseinrichtungen bedeutet dies, dass sie sich kontinuierlich mit neuen und bestehenden Anforderungen auseinandersetzen und ihre Sicherheitsstrategien entsprechend anpassen müssen, um den Schutz sensibler Gesundheitsdaten sicherzustellen und die gesetzlichen Vorgaben zu erfüllen.

Nationale Leitplanken: Deutschlands Wegweiser für Cybersicherheit im Gesundheitswesen

In Deutschland bilden verschiedene Regulierungen und Standards das Fundament für eine stärkere Cybersicherheit im Gesundheitssektor. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit seinen Standards für eHealth spezifische Anforderungen und Empfehlungen bereit, die Gesundheitseinrichtungen bei der Absicherung ihrer IT-Systeme unterstützen. Diese Standards decken Bereiche wie die sichere Vernetzung von Medizingeräten, den Schutz elektronischer Patientenakten und die Implementierung von Notfallplänen bei IT-Sicherheitsvorfällen ab. 

Die KRITIS-Verordnung verpflichtet Betreiber kritischer Infrastrukturen, zu denen auch große Krankenhäuser zählen, angemessene Sicherheitsmaßnahmen zu ergreifen und Sicherheitsvorfälle zu melden. Diese Maßnahmen umfassen regelmäßige Risikoanalysen, die Implementierung von Sicherheitskonzepten und die Schulung von Mitarbeitenden im Umgang mit Cyberbedrohungen.

Die nationale Umsetzung der NIS-2-Richtlinie wird den Kreis der verpflichteten Einrichtungen deutlich erweitern. Schätzungsweise 29.000 Unternehmen in Deutschland werden künftig unter die Aufsicht des BSI fallen, darunter viele Einrichtungen des Gesundheitssektors. Dies bedeutet, dass auch kleinere Akteure im Gesundheitswesen, wie Arztpraxen oder Pflegeeinrichtungen, zu erhöhten Sicherheitsanforderungen verpflichtet werden und ihre NIS-2-Readiness sicherstellen müssen. Die NIS-2-Richtlinie fordert zudem eine dreistufige Meldepflicht bei Sicherheitsvorfällen: eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Angesichts dessen ist die rechtskonforme Ausgestaltung von Governance-Strukturen und die Schaffung interner, organisatorischer Prozesse zur Erfüllung von Informations-, Melde- Registrierungspflichten, insbesondere bei Konzernverbünden, eine zentrale Anforderung. Hinzu tritt das Erfordernis der Umsetzung von NIS-2 in Verträgen über die Bereitstellung von IT-Infrastrukturen und IT-Dienstleistungen (wie zum Beispiel Verpflichtungen zu Sicherheitsupdates bei dem Einsatz von Komponenten Dritter, Einräumung vertraglicher Kontrollbefugnisse, kontinuierliche Informationsflüsse über mögliche Angriffsvektoren, Ermöglichung umfassender und stets aktueller Risikobewertungen).

Zusätzlich betont die NIS-2-Richtlinie die eigene Verantwortung und potenzielle Haftung der Geschäftsleitung für Cybersicherheitsmaßnahmen. Führungskräfte müssen eine informierte Entscheidungsfindung, auch im Falle der Delegierung von Aufgaben, sicherstellen und künftig verpflichtend an Schulungen teilnehmen, um ein besseres Verständnis für Cyberrisiken zu entwickeln und angemessene Sicherheitsstrategien zu implementieren.
Für Gesundheitseinrichtungen bedeutet dies, dass sie proaktiv ihre Sicherheitsstrategien überarbeiten und anpassen müssen, um den neuen gesetzlichen Vorgaben zu entsprechen und den Schutz sensibler Patientendaten zu gewährleisten.

Europäische Impulse: Einheitliche Cybersicherheitsstandards für ein vernetztes Gesundheitswesen

Auch auf europäischer Ebene zielen mehrere Initiativen darauf ab, ein einheitliches und hohes Cybersicherheitsniveau im Gesundheitswesen zu etablieren.

Der Cyber Resilience Act (CRA) legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest, um Verbraucher und Unternehmen vor unsicheren Produkten zu schützen. In der Verordnung wird ferner festgelegt, dass Hersteller von Hardware und Software umfangreiche Sicherheitsanforderungen über den gesamten Lebenszyklus ihrer Produkte hinweg erfüllen müssen. Dies umfasst beispielsweise die Verpflichtung zur Durchführung von Cyber-Risikoanalysen vor der Markteinführung oder die Meldung von Sicherheitsvorfällen an zuständige Behörden innerhalb von 24 Stunden. Ein weiteres praktisches Beispiel ist die Verpflichtung von Herstellern, für die voraussichtliche Nutzungsdauer der Produkte Sicherheitsupdates automatisch bereitzustellen, gleichzeitig aber den Nutzern die Möglichkeit zu bieten, diese Updates zu deaktivieren. Für Gesundheitseinrichtungen als Nutzer einer Vielzahl digitaler Produkte (von smarten Rauchmeldern bis hin zu medizinischen Geräten) ist die Verpflichtung von hoher praktischer Bedeutung, da ihnen von den Herstellern verpflichtend Informationen zur Cybersicherheit der Produkte und zu Sicherheitsupdates bereitgestellt werden müssen. Bei Verstößen gegen den CRA können Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes verhängt werden.

Zusätzlich verfolgt der erst im Januar 2025 veröffentlichte EU-Aktionsplan zur Cybersicherheit im Gesundheitswesen das Ziel, die Resilienz von Gesundheitseinrichtungen zu stärken und das Vertrauen der Patienten in digitale Gesundheitsdienste zu erhöhen. Er umfasst Maßnahmen zur Verbesserung der Sicherheitsstandards, zur Förderung des Austauschs bewährter Praktiken und zur Bereitstellung von Schulungen für Fachkräfte im Gesundheitswesen. Durch die Umsetzung dieses Aktionsplans sollen Gesundheitsdienste besser auf die Herausforderungen der digitalen Transformation vorbereitet werden, um eine sichere und vertrauenswürdige Versorgung der Patienten zu gewährleisten.

Krankenhauszukunftsgesetz (KHZG): Digitalisierung als Chance für mehr Cybersicherheit

All diesen regulatorischen Anforderungen gegenübergestellt, bietet das Krankenhauszukunftsgesetz eine bedeutende Initiative der deutschen Bundesregierung, die darauf abzielt, Krankenhäuser bei der Digitalisierung finanziell zu unterstützen. Mit einem Investitionsvolumen von bis zu 4,3 Milliarden Euro fördern Bund und Länder diverse Projekte, die moderne Notfallkapazitäten schaffen, digitale Prozesse etablieren und die IT-Sicherheit erhöhen sollen. Ein zentraler Aspekt des KHZG ist die Verbesserung der IT-Sicherheit in Krankenhäusern. Durch die bereitgestellten Mittel können Einrichtungen in fortschrittliche Sicherheitsinfrastrukturen investieren, um sich gegen die zunehmenden Cyberbedrohungen zu wappnen und gleichzeitig den gesetzlichen Vorgaben zu entsprechen. Dazu gehören Maßnahmen wie die Implementierung von Sicherheitstechnologien oder die Schulung des Personals im Umgang mit digitalen Systemen.

Insgesamt stellt das KHZG eine bedeutende Chance für Krankenhäuser dar, die Herausforderungen der digitalen Transformation zu meistern und gleichzeitig die Cybersicherheit zu optimieren. Durch gezielte Investitionen und die Umsetzung innovativer Projekte können sie ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen erhöhen und eine qualitativ hochwertige Patientenversorgung gewährleisten. Insgesamt ist die Sicherstellung und Finanzierung der Cybersicherheit im Gesundheitswesen eine komplexe und fortlaufende Herausforderung, die sowohl nationale als auch europäische Regulierungen erfordert. Dennoch sind die Implementierung und Einhaltung dieser Standards entscheidend für den Schutz sensibler Patientendaten und die Aufrechterhaltung des Vertrauens in digitale Gesundheitsdienste.

Bei Fragen oder dem Bedarf an weiterführender Beratung zu diesem Themenkomplex stehen Ihnen unsere Experten gerne zur Verfügung. Zögern Sie nicht, uns zu kontaktieren, um gemeinsam Lösungen für Ihre spezifischen Anforderungen im Bereich der Cybersicherheit zu entwickeln.

Dieser Beitrag wurde von unseren Experten Jonas Neurath, Marco Müller-ter Jung und David Peter verfasst.