Aktuelles, Branche, Studien - geschrieben von dp am Donnerstag, Mai 14, 2026 0:54 - noch keine Kommentare
NIS-2-Umsetzung: Trotz Investitionen in IT-Sicherheit hinken viele Krankenhäuser hinterher
Aktuelle ESET-Studie zeigt Fortschritte bei der Cybersicherheit auf – Universitätskliniken kämpfen aber mit der Umsetzung regulatorischer Vorgaben im NIS-2-Kontext
[datensicherheit.de, 14.05.2026] Viele Krankenhäuser investierten zwar in ihre IT-Sicherheit, blieben aber dennoch bei der Umsetzung der neuen EU-Richtlinie NIS-2 zurück, so eine Schlussfolgerung aus einer aktuellen Umfrage des IT-Sicherheitsherstellers ESET unter Entscheidern im deutschen Gesundheitswesen. Rund 36 Prozent der befragten Kliniken geben demnach an, in den vergangenen zwölf Monaten gezielt Maßnahmen zur Erfüllung von KRITIS- oder NIS-2-Anforderungen umgesetzt zu haben. Besonders aktiv zeigten sich Fachkliniken (46%) und Allgemeinkrankenhäuser (38%) – indes bildeten Universitätskliniken mit 29 Prozent das Schlusslicht. Eine Analyse der Studienergebnisse, inklusive Einordnung der Auswirkungen von NIS-2 auf Universitätskliniken, Notfallmanagement und organisatorische Reifegrade, ist im „ESET Blog“ zu finden. Die kommenden Monate würden zeigen, welche Einrichtungen den Schritt von Einzelmaßnahmen hin zu einem robusten, organisationsweit verankerten Sicherheits‑ und Krisenmanagement schaffen.

Abbildung: ESET
Fachkliniken nach ESET-Erkenntnissen bei der NIS-2-Umsetzung voraus
NIS-2 kein reines „Compliance“‑Thema, sondern Belastungstest für reale Cyberresilienz
„Unsere Ergebnisse zeigen, dass viele Krankenhäuser die Zeichen der Zeit erkannt haben. Investitionen in Technik und ,Awareness’ nehmen zu. Gleichzeitig fehlt häufig noch ein ganzheitlicher Ansatz, der Prozesse, Verantwortlichkeiten und regelmäßige Übungen verbindlich festschreibt“, berichtet Michael Schröder, „Head of Product Marketing“ bei ESET. NIS-2 sei kein reines ,Compliance’‑Thema, sondern ein Belastungstest für die reale Cyberresilienz der Kliniken.
- Die Umfrage habe gezeigt, dass Kliniken vor allem operative Sicherheitsmaßnahmen vorantrieben. 52 Prozent der Kliniken führten Notfall‑ oder Ransomware‑Übungen durch, 48 Prozent setzten auf Schulungen und „Awareness“‑Programme. Auch die Absicherung medizinischer Geräte und vernetzter IoMT‑Systeme gewinne mit 41 Prozent spürbar an Bedeutung.
Diese Maßnahmen blieben jedoch häufig projektbezogen. Eine strategische Verankerung in Organisation und Management fehle in vielen Fällen noch. Trotzdem sei es positiv zu werten, „dass durch NIS-2 die IT‑Sicherheit die IT‑Abteilung verlässt und zu einem Management‑Thema wird!“
Operativ starke Universitätskliniken verweilen noch regulatorisch im Rückstand
Universitätskliniken gälten als digitale Hochleistungsumgebungen, seien Forschungsstandorte, Maximalversorger und international vernetzt. Entsprechend hoch sei ihre Attraktivität für Cyberangriffe.
- Die Umfrage zeige jedoch: Während Unikliniken überdurchschnittlich oft Notfallübungen durchführten oder externe IT-Security‑Audits nutzten, trieben sie die formale Umsetzung von NIS-2‑Vorgaben seltener voran als andere Krankenhaustypen.
Ein möglicher Grund sei die hohe Komplexität historisch gewachsener IT‑Landschaften, internationaler Forschungsnetze und Tausender vernetzter Medizinsysteme. NIS-2 verschärfe für Universitätskliniken damit nicht nur die formalen Pflichten, sondern auch die operative Realität.
Vorhandenes Notfallmanagement wird noch zu selten erprobt
Fast alle befragten Krankenhäuser geben laut ESET an, über Notfallpläne für schwere IT‑Sicherheitsvorfälle wie Ransomware zu verfügen. Doch nur rund jeder Dritte beschreibe diese Pläne als „strukturiert“ und „regelmäßig getestet“. Knapp die Hälfte überprüfe ihre Notfallkonzepte lediglich „gelegentlich“.
- Besonders kritisch sei die Lage bei Universitätskliniken: Zwar verfügten alle über Notfallpläne, doch nur etwa 21 Prozent testeten diese regelmäßig. Gerade hierbei hätten Cybervorfälle weitreichende Folgen – von der Patientenversorgung über Forschung bis hin zur Lehre. NIS-2 stelle deshalb klare Anforderungen an Reaktionszeiten, Meldepflichten und Krisenorganisation auf Leitungsebene.
Cybersicherheit sei im Krankenhaus untrennbar mit Versorgungssicherheit verbunden. IT‑Ausfälle würden sich schnell zur medizinischen und organisatorischen Krise entwickeln. NIS-2 wirke als struktureller Wendepunkt: Punktuelle Maßnahmen reichten nicht mehr aus. Gefordert seien gelebte Prozesse, klar definierte Rollen, belastbare Notfallpläne und regelmäßige Tests unter realistischen Bedingungen.
Weitere Informationen zum Thema:
eseT, 08.08.2016
ESET stärkt Marktposition mit Michael Schröder – Fokus auf Technologie-Allianzen und ganzheitliche Produktentwicklung
eseT Blog, Editorial Team, 12.05.2026
NIS2 im Krankenhaus: Besserung in Sicht, strukturelle Defizite bleiben / Eine aktuelle ESET Umfrage zur IT Sicherheit im Gesundheitswesen offenbart klaffende Lücke zwischen Anspruch und Realität
datensicherheit.de, 04.04.2025
IT in Krankenhäusern: SIT-Sicherheitsstudie deckt signifikante Schwachstellen auf / SIT-Forscher fanden Schwachstellen in Informationssystemen für Krankenhäuser
datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering
datensicherheit.de, 07.01.2021
Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent / Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent
Aktuelles, Branche, Gastbeiträge - Juli 1, 2026 12:57 - noch keine Kommentare
Wenn KI theoretische Risiken in reale Angriffe verwandelt
weitere Beiträge in Experten
- Kooperation BAMF-ITZBund: Umzug in hochmodernes Rechenzentrum erfolgreich abgeschlossen
- Universität Paderborn: 12 Millionen Euro für Erweiterung des Supercomputers „Otus“
- Schatten-KI: Das Problem an der Wurzel packen
- Digitalkompetenzen: Laut TÜV Weiterbildungsstudie 2026 hoher Qualifizierungsbedarf
- Modernisierung von Bund und Ländern: „Monitor Staatsmodernisierung“ des Bitkom zur Umsetzung von 222 zentralen Vorhaben
Aktuelles, Branche, Gastbeiträge - Juli 1, 2026 12:57 - noch keine Kommentare
Wenn KI theoretische Risiken in reale Angriffe verwandelt
weitere Beiträge in Branche
- Versteckte Datenverlustrisiken: Hitzewelle als Bedrohung für Festplatten, SSDs und Smartphones
- Sicherheit auf Sommerreisen und Betrugsprävention – KnowBe4 gibt elementare Tipps
- Schatten-KI: Das Problem an der Wurzel packen
- Neuer CNAPP-Standard als Basis der Hyper-Priorisierung und autonomen Behebung im Cloud-Maßstab
- Fehlender Kontext als größtes Sicherheitsrisiko für Unternehmen
Aktuelles, A, Experten, Service, Wichtige Adressen - Jan. 13, 2026 1:08 - noch keine Kommentare
Registrierung bei ELEFAND: Krisen- und Katastrophenvorsorge bei Auslandsaufenthalten
weitere Beiträge in Service
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen


