NIS-2-Umsetzung: Trotz Investitionen in IT-Sicherheit hinken viele Krankenhäuser hinterher

Aktuelle ESET-Studie zeigt Fortschritte bei der Cybersicherheit auf – Universitätskliniken kämpfen aber mit der Umsetzung regulatorischer Vorgaben im NIS-2-Kontext

[datensicherheit.de, 14.05.2026] Viele Krankenhäuser investierten zwar in ihre IT-Sicherheit, blieben aber dennoch bei der Umsetzung der neuen EU-Richtlinie NIS-2 zurück, so eine Schlussfolgerung aus einer aktuellen Umfrage des IT-Sicherheitsherstellers ESET unter Entscheidern im deutschen Gesundheitswesen. Rund 36 Prozent der befragten Kliniken geben demnach an, in den vergangenen zwölf Monaten gezielt Maßnahmen zur Erfüllung von KRITIS- oder NIS-2-Anforderungen umgesetzt zu haben. Besonders aktiv zeigten sich Fachkliniken (46%) und Allgemeinkrankenhäuser (38%) – indes bildeten Universitätskliniken mit 29 Prozent das Schlusslicht. Eine Analyse der Studienergebnisse, inklusive Einordnung der Auswirkungen von NIS-2 auf Universitätskliniken, Notfallmanagement und organisatorische Reifegrade, ist im „ESET Blog“ zu finden. Die kommenden Monate würden zeigen, welche Einrichtungen den Schritt von Einzelmaßnahmen hin zu einem robusten, organisationsweit verankerten Sicherheits‑ und Krisenmanagement schaffen.

Abbildung: ESET

Fachkliniken nach ESET-Erkenntnissen bei der NIS-2-Umsetzung voraus

NIS-2 kein reines „Compliance“‑Thema, sondern Belastungstest für reale Cyberresilienz

„Unsere Ergebnisse zeigen, dass viele Krankenhäuser die Zeichen der Zeit erkannt haben. Investitionen in Technik und ,Awareness’ nehmen zu. Gleichzeitig fehlt häufig noch ein ganzheitlicher Ansatz, der Prozesse, Verantwortlichkeiten und regelmäßige Übungen verbindlich festschreibt“, berichtet Michael Schröder, „Head of Product Marketing“ bei ESET. NIS-2 sei kein reines ,Compliance’‑Thema, sondern ein Belastungstest für die reale Cyberresilienz der Kliniken.

• Die Umfrage habe gezeigt, dass Kliniken vor allem operative Sicherheitsmaßnahmen vorantrieben. 52 Prozent der Kliniken führten Notfall‑ oder Ransomware‑Übungen durch, 48 Prozent setzten auf Schulungen und „Awareness“‑Programme. Auch die Absicherung medizinischer Geräte und vernetzter IoMT‑Systeme gewinne mit 41 Prozent spürbar an Bedeutung.

Diese Maßnahmen blieben jedoch häufig projektbezogen. Eine strategische Verankerung in Organisation und Management fehle in vielen Fällen noch. Trotzdem sei es positiv zu werten, „dass durch NIS-2 die IT‑Sicherheit die IT‑Abteilung verlässt und zu einem Management‑Thema wird!“

Operativ starke Universitätskliniken verweilen noch regulatorisch im Rückstand

Universitätskliniken gälten als digitale Hochleistungsumgebungen, seien Forschungsstandorte, Maximalversorger und international vernetzt. Entsprechend hoch sei ihre Attraktivität für Cyberangriffe.

• Die Umfrage zeige jedoch: Während Unikliniken überdurchschnittlich oft Notfallübungen durchführten oder externe IT-Security‑Audits nutzten, trieben sie die formale Umsetzung von NIS-2‑Vorgaben seltener voran als andere Krankenhaustypen.

Ein möglicher Grund sei die hohe Komplexität historisch gewachsener IT‑Landschaften, internationaler Forschungsnetze und Tausender vernetzter Medizinsysteme. NIS-2 verschärfe für Universitätskliniken damit nicht nur die formalen Pflichten, sondern auch die operative Realität.

Vorhandenes Notfallmanagement wird noch zu selten erprobt

Fast alle befragten Krankenhäuser geben laut ESET an, über Notfallpläne für schwere IT‑Sicherheitsvorfälle wie Ransomware zu verfügen. Doch nur rund jeder Dritte beschreibe diese Pläne als „strukturiert“ und „regelmäßig getestet“. Knapp die Hälfte überprüfe ihre Notfallkonzepte lediglich „gelegentlich“.

• Besonders kritisch sei die Lage bei Universitätskliniken: Zwar verfügten alle über Notfallpläne, doch nur etwa 21 Prozent testeten diese regelmäßig. Gerade hierbei hätten Cybervorfälle weitreichende Folgen – von der Patientenversorgung über Forschung bis hin zur Lehre. NIS-2 stelle deshalb klare Anforderungen an Reaktionszeiten, Meldepflichten und Krisenorganisation auf Leitungsebene.

Cybersicherheit sei im Krankenhaus untrennbar mit Versorgungssicherheit verbunden. IT‑Ausfälle würden sich schnell zur medizinischen und organisatorischen Krise entwickeln. NIS-2 wirke als struktureller Wendepunkt: Punktuelle Maßnahmen reichten nicht mehr aus. Gefordert seien gelebte Prozesse, klar definierte Rollen, belastbare Notfallpläne und regelmäßige Tests unter realistischen Bedingungen.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

eseT, 08.08.2016
ESET stärkt Marktposition mit Michael Schröder – Fokus auf Technologie-Allianzen und ganzheitliche Produktentwicklung

eseT Blog, Editorial Team, 12.05.2026
NIS2 im Krankenhaus: Besserung in Sicht, strukturelle Defizite bleiben / Eine aktuelle ESET Umfrage zur IT Sicherheit im Gesundheitswesen offenbart klaffende Lücke zwischen Anspruch und Realität

datensicherheit.de, 04.04.2025
IT in Krankenhäusern: SIT-Sicherheitsstudie deckt signifikante Schwachstellen auf / SIT-Forscher fanden Schwachstellen in Informationssystemen für Krankenhäuser

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

datensicherheit.de, 07.01.2021
Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent / Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent