[ NIS2-Cluster, Gesundheit ]

NIS2 für das Gesundheitswesen.

Krankenhäuser, MVZs, größere Praxen, Labore und Pharma-Unternehmen sind im Sektor Gesundheit als wesentliche oder wichtige Einrichtungen direkt von NIS2 erfasst. Mit höchster Aufsicht und härtesten Sanktionen. Hier die konkrete Roadmap.

Klinik-NIS2-Audit Allgemeine NIS2-Beratung
[ 01 / Einordnung ]

Wer im Gesundheitswesen ist wie betroffen?

Universitäts- und Großkliniken

KRITIS und NIS2 wesentliche Einrichtung. Höchste Aufsicht durch BSI, Bußgelder bis 10 Mio. EUR. Volle Maßnahmen-Pflicht.

Krankenhäuser 200 bis 800 Betten

Typisch NIS2 wichtige Einrichtung. Reaktive Aufsicht, Bußgelder bis 7 Mio. EUR. Gleiche Maßnahmen-Pflicht wie wesentliche.

Reha-Kliniken

Je nach Größe und Vernetzung wichtige oder nicht erfasst. Bei Bettenzahl > 50 und Personal > 50 typisch erfasst.

MVZs (50+ Mitarbeiter)

Im Anwendungsbereich. Bei medizinischer Versorgung kritischer Patientengruppen verschärfte Anforderungen.

Labore (Großlabore)

Sektor Gesundheit erfasst Labore mit umfangreichen Daten und Vernetzung. Synlab, Sonic, Limbach sind klar betroffen.

Pharma-Hersteller

Produktionsstandorte und Forschung als wichtige Einrichtungen erfasst. Plus FDA / EMA-Anforderungen für globale Player.

[ 02 / Sektor-spezifische Risiken ]

Was im Gesundheitswesen anders ist

Anders als andere Sektoren hat Gesundheit Besonderheiten: Medizingeräte (OT-Charakter), Patientendaten (DSGVO-Hochrisiko) und lebens-kritische Verfügbarkeit.

  • >_Medizingeräte mit Windows XP / 7: nicht patchbar ohne Hersteller-Freigabe, hohe CVE-Anzahl, flache Netzwerk-Topologie
  • >_PACS-Systeme (Bildgebung): zentral, oft mit Default-Credentials, hohes Datenvolumen, Ransomware-Lieblingsziel
  • >_KIS (Krankenhaus-Informations-System): zentrale Verwundbarkeit, Stillstand bedeutet OP-Verschiebungen
  • >_IoT-Medizingeräte (Pumpen, Monitore): IP-fähig, aber selten gehärtet, Lieblings-Ziel für Lateral Movement
  • >_Drittanbieter-Wartung mit VPN-Zugriff: typisch Standing Access ohne Logging
  • >_Ärzte und Pflegende: hohe Phishing-Anfälligkeit durch Zeitdruck, geteilte Workstations, gemerkte Passwörter
  • >_Patientendaten-Volumen: nicht-pseudonymisierbar, hochsensitiv, Datenleck-Schaden in Millionen
  • >_Versorgungs-Kritikalität: Ransomware kann Notaufnahme stilllegen, Patienten umverlegen, im schlimmsten Fall Tote
  • >_Forschungsdaten: Pharma-Patente, klinische Studien-Ergebnisse, hochinteressant für staatliche Akteure
[ 03 / Roadmap fürs Krankenhaus ]

Wie wir vorgehen.

OT-IT-Segmentierung

Erste Priorität: Medizingeräte vom Office-Netzwerk trennen. Zone-Konzept nach IEC 62443, Firewalls zwischen Bereichen, Mikro-Segmentierung kritischer Subnetze.

Hardening der Medizingeräte

Wo Hersteller-Patches möglich: einspielen. Wo nicht: Network-Isolation, Egress-Filtering, Logging mit SIEM-Integration. CISA-Empfehlungen für Medical Device Security.

Backup-Konzept für KIS und PACS

Air-gapped Backups, mehrere Generationen, jährliche Wiederherstellungs-Tests. PACS oft Multi-Petabyte: hier Tiering und Hot- / Cold-Strategie.

Awareness für Ärzte und Pflege

Format anders als üblich: kurze Video-Module (3 bis 5 Minuten), während der Dienstbesprechung, keine 8-Stunden-Workshops. Phishing-Simulationen mit medizinischen Templates.

CISO-as-a-Service

Viele Häuser haben keinen festen CISO. Wir bieten externen Teilzeit-CISO an, der 8 bis 16 Stunden pro Monat dauerhaft begleitet.

BSI-Krisenstab-Anbindung

Wir koordinieren Vorfall-Meldungen mit BSI, ggf. CERT-Bund. Bei Krisen-Eskalation Erfahrung mit Landesgesundheitsministerien.

[ Häufige Fragen ]

Was Mandanten typischerweise vorher wissen wollen.

Sind alle Krankenhäuser von NIS2 betroffen?

Universitäts- und Großkrankenhäuser sind als KRITIS bereits seit der KRITIS-Verordnung erfasst und sind auch NIS2-wesentliche Einrichtung. Mittelgroße Häuser (200 bis 800 Betten) fallen typisch als wichtige Einrichtungen unter NIS2. Kleine Häuser unter Schwellenwerten meist nicht direkt, aber häufig über Träger-Strukturen.

Was ist mit MVZs und Arztpraxen?

Kleine Arztpraxen mit unter 50 Mitarbeitern sind grundsätzlich nicht direkt erfasst. MVZs mit 50+ Mitarbeitern oder hoher Vernetzung können in den Anwendungsbereich fallen. Über Lieferkette (Krankenhaus-Kooperationen) wirkt NIS2 indirekt.

Wie ist das Verhältnis zu KRITIS und B3S?

KRITIS-Verordnung und NIS2 überlappen sich stark. Wer KRITIS-konform ist, hat 80 Prozent NIS2 erfüllt. B3S (Branchenspezifische Sicherheits-Standards) für Gesundheit wurde 2019 erstellt und wird gerade auf NIS2 angepasst. Wir kombinieren beide Anforderungen.

Was sind die größten Lücken in Kliniken?

Veraltete Medizingeräte mit eingebauter Software (oft Windows XP / 7 ohne Patches), flache OT/IT-Netzwerke ohne Segmentierung, Default-Passwörter auf Bildgebung-Systemen, fehlende Backup-Konzepte für PACS, mangelnde Awareness-Trainings für Pflege und Ärzte.

Was kostet die NIS2-Umsetzung für ein 400-Betten-Krankenhaus?

Drei Festpreis-Stufen: Readiness-Audit 15.900 bis 27.900 EUR (einmalig, 10 bis 20 Werktage), Vollimplementierung mit OT-Segmentierung 99.900 bis 299.900 EUR als Mehrjahres-Programm, CISO-as-a-Service ab 5.990 EUR pro Monat. Cybersecurity-Versicherung für Kliniken separat, branchen-üblich 35.000 bis 120.000 EUR pro Jahr.

Welche Meldepflicht haben wir bei Ransomware in der Klinik?

NIS2: 24h Frühwarnung an das BSI. Plus § 75c SGB V Meldung an die Aufsichtsbehörde der Länder. Plus DSGVO Art. 33 bei Patientendaten-Betroffenheit innerhalb 72h. Plus Information der Patienten gemäß Art. 34 DSGVO. Plus ggf. Krisenkommunikation an Presse, BSI, Landesregierung.

[ Erstgespräch ]

30 Minuten Erstberatung, kostenfrei.

Wir besprechen Ihr konkretes Anliegen, schätzen Aufwand und Preisrahmen ein und klären, ob wir der richtige Partner sind. Unverbindlich.

admin@dc-infosec.de