Die Studie lässt aufhorchen: Krankenhäuser, so Michael Schröder von ESET, spüren den Druck und investieren konsequenter in Technik und Schulungen. Nur – allzu oft bleibt es Stückwerk; Abläufe, Verantwortlichkeiten oder verbindliche Protokolle gibt es vielerorts nur in Bruchstücken. Das große Bild, in dem Cyberresilienz nicht nur ein Häkchen im Compliance-Katalog, sondern spürbarer Alltag ist, fehlt. NIS2, das spüre ich, ist damit weniger Papierkram als Prüfstein für die Schlagkraft der Kliniken gegen Cyberangriffe.
Statt systematischer Strategie sieht man vielerorts Einzelaktionen: Mehr als die Hälfte der befragten Kliniken üben zumindest für den Fall eines IT-Notfalls oder Cyberangriffs, Schulungen zur Sensibilisierung stehen bei fast jedem Zweiten auf der Agenda. Wachsende Sorge gilt den zahllosen vernetzten, medizinischen Geräten. Doch oft beobachtet man kurzfristige Projekte – das große Sicherheitskonzept für das ganze Haus findet man selten. Im Prinzip gut, dass IT-Sicherheit endlich zur Chefsache wird – aber mit Konzept und Konsequenz hapert es eben noch.
Gerade Universitätskliniken, die lange als innovative Vorreiter galten, bringen interessante Gegensätze zutage: Sie simulieren Notfälle oder lassen sich extern prüfen, doch die formalen Anforderungen der NIS2 werden zurückhaltend bearbeitet. Möglicherweise liegt das an den gigantischen, über Jahrzehnte entstandenen IT-Strukturen und der Komplexität internationaler Forschungsnetzwerke. NIS2 ist für sie also nicht nur eine neue Vorgabe, sondern ein echter Stresstest für den täglichen Betrieb – und das Risiko ist hoch, denn Forschung, Versorgung, Lehre hängen an denselben Leitungen.
Wie sieht’s mit Notfallplänen konkret aus? Nahezu alle haben irgendetwas vorbereitet, aber nur rund ein Drittel üben die Abläufe regelmäßig. Viele Kliniken prüfen ihre Konzepte selten oder nach Gefühl, Universitätskliniken schnitten hier besonders schlecht ab. Paradox: Gerade dort könnten Cybervorfälle nicht nur Patientenversorgung, sondern auch Forschung auf Monate lahmlegen. NIS2 verschärft deshalb zurecht die Auflagen für Krisenreaktion, Pflichten und Meldewege.
Unterm Strich: Punktuelles Reagieren reicht nicht mehr. Stichwort Versorgungssicherheit: Ein einziger IT-Ausfall kann den Betrieb einer großen Klinik ins Chaos stürzen. NIS2 fungiert hier wie ein Weckruf: Ohne gelebte Prozesse, klar strukturierte Zuständigkeiten und regelmäßig getestete Abläufe wird sich niemand bequem zurücklehnen können – das nächste Jahr dürfte zeigen, welche Krankenhäuser wirklich aufrüsten und welche sich weiter im Klein-Klein verlieren.
Noch ausführlichere Einblicke und Zahlen finden sich im ESET-Blog: www.eset.com/blog/de/businessthemen/compliance-und-vorschriften/nis2-im-krankenhaus-besserung-in-sicht-strukturelle-defizite-bleiben
Die ESET-Umfrage offenbart, dass ein großer Teil der deutschen Kliniken zwar in IT-Sicherheit investiert, jedoch fehlt es deutlich an durchgängigen, strategischen Konzepten zur Erfüllung der NIS2-Vorgaben. Operative Maßnahmen wie Notfallübungen oder Sensibilisierungsschulungen sind gängig, doch selten systematisch verankert; besonders Universitätskliniken laufen Gefahr, regulatorisch hinterherzuhinken, obwohl sie operativ stark aufgestellt sind. Ein nicht zu unterschätzendes Risiko, da ohne regelmäßige, gelebte Prozesse IT-Ausfälle rasch zur Versorgungs- und Sicherheitskrise werden können – ein Thema, das sich angesichts der wachsenden Komplexität der IT im Gesundheitswesen weiter zuspitzen dürfte. Erweiterte Recherche hat ergeben, dass laut aktuellen Berichten (u.a. taz, Zeit, Spiegel) die gravierenden Cyberangriffe, wie zuletzt auf den Klinikkonzern Asklepios, zeigen, dass deutsche Krankenhäuser in Sachen IT-Sicherheit im internationalen Vergleich weiter Nachholbedarf haben. In diesen Artikeln wird betont, dass trotz zahlreicher Investitionsprogramme und politischer Initiativen noch immer grundlegende Schwächen insbesondere bei der Absicherung kritischer Infrastrukturen bestehen und insbesondere kleinere sowie private Kliniken massive Schwierigkeiten haben, mit den NIS2-Vorgaben Schritt zu halten (Quelle: [taz.de](https://taz.de)). Ein weiteres Thema, das im journalistischen Diskurs auf Resonanz stößt, ist die Frage nach personellen und finanziellen Ressourcen – und die Kritik daran, dass viele Vorgaben der NIS2 in bereits überlasteten Klinikstrukturen als zusätzliche Bürde empfunden werden (Quelle: [spiegel.de](https://www.spiegel.de)). Aus Sicht von Experten und Insidern fordern viele Stimmen daher eine klügere Verzahnung von Strategie, praktischer Umsetzung und politischer Unterstützung, um IT-Sicherheit endlich als Teil der Daseinsvorsorge und des Patientenwohls zu denken (Quelle: [zeit.de](https://www.zeit.de)).