KRITIS im Gesundheitswesen 2026: Warum Informationssicherheit jetzt Chefsache ist
Das Gesundheitswesen zählt zu den kritischen Infrastrukturen (KRITIS) in Deutschland – ein Ausfall der IT-Systeme kann innerhalb kürzester Zeit Leben gefährden. Mit der vollständigen Wirksamkeit der NIS-2-Umsetzung seit Ende 2025 und dem KRITIS-Dachgesetz (beschlossen Januar 2026) hat der Gesetzgeber die Anforderungen an die Informationssicherheit massiv verschärft. Besonders betroffen: Krankenhäuser, Reha-Einrichtungen, Blut- und Rettungsdienste sowie Labore.
Was genau bedeutet KRITIS im Gesundheitssektor?
Als kritische Anlagen gelten nach der BSI-KritisV Krankenhäuser mit mindestens 30.000 vollstationären Fällen pro Jahr. Doch seit NIS-2 gilt die Regulierung abgestuft deutlich breiter:
- Kritische Anlagen (KRITIS) – höchste Anforderungen, dreijähriger Nachweis gegenüber dem BSI
- Besonders wichtige Einrichtungen – viele große und mittlere Kliniken
- Wichtige Einrichtungen – zahlreiche kleinere Häuser, MVZ, Apotheken mit Versorgungsrelevanz
Schätzung: Die Zahl regulierter Einrichtungen im Gesundheitswesen stieg von etwa 2.000 auf über 10.000–15.000 Einrichtungen.
Die wichtigsten neuen und verschärften Pflichten 2026
1. Risikomanagement und ISMS werden verpflichtend
Geschäftsführung und Ärztliche Leitung haften persönlich. Ein angemessenes Informationssicherheits-Managementsystem (ISMS) muss implementiert sein – der Branchenspezifische Sicherheitsstandard (B3S) in Version 1.3.1 (Stand Januar 2026) dient als anerkannter Umsetzungsrahmen.
2. Meldepflicht bei Sicherheitsvorfällen
Erhebliche Vorfälle müssen innerhalb von 24 Stunden initial gemeldet werden (NIS-2). Das alte einstufige Meldesystem wurde durch ein dreistufiges Regime ersetzt. Das BSI-Portal und das Melde- und Informationsportal (MIP) laufen parallel – mindestens bis Ende 2026.
3. Angriffserkennung und Lieferkettensicherheit
KRITIS-Betreiber brauchen seit 2023 Systeme zur Angriffserkennung (IDS/DR). NIS-2 erweitert dies: Auch Lieferanten (Software-Häuser, Cloud-Dienste, Medizingeräte-Hersteller) müssen abgesichert werden. Verträge müssen entsprechende Klauseln enthalten.
4. Resilienzplanung – physisch und digital
Das KRITIS-Dachgesetz (2026) bringt erstmals bundeseinheitliche Mindestanforderungen für physischen Schutz (Zutrittskontrolle, Werkschutz, bauliche Maßnahmen). Beides – Cyber- und physische Resilienz – muss in einem integrierten Konzept gedacht werden.
Herausforderungen im Klinikalltag
Viele Häuser kämpfen mit Alt-IT, fehlendem Fachpersonal und knappen Budgets. Gleichzeitig steigt die Bedrohungslage: Ransomware-Angriffe auf Krankenhäuser haben 2024/2025 weiter zugenommen. Ein einziger erfolgreicher Angriff kann OP-Planung, Patientenakten, Bildgebung und Intensivüberwachung lahmlegen – mit dramatischen Folgen.
Praktische Handlungsempfehlungen für 2026
- Status-Check: Sind wir KRITIS, besonders wichtig oder „nur“ wichtig? (Registrierung bis März/April 2026 prüfen)
- B3S 1.3.1 als Leitfaden nutzen und Gap-Analyse durchführen
- ISB / CISO benennen und schulen – Geschäftsführung muss aktiv einbezogen werden
- Angriffserkennung, Backup-Konzept (3-2-1-Regel), Segmentierung und Patch-Management priorisieren
- Lieferkette prüfen: Wer hat Zugriff auf kritische Systeme?
- Notfall- und Wiederanlaufpläne jährlich testen (inkl. Blackout-Szenario)
Fazit
Informationssicherheit im Gesundheitswesen ist 2026 keine IT-Abteilungsaufgabe mehr – sie ist strategische Chefsache mit haftungsrechtlichen Konsequenzen. Wer jetzt handelt, schützt nicht nur Patientendaten und Versorgungssicherheit, sondern vermeidet auch empfindliche Bußgelder (bis zu 20 Mio. € oder 4 % des Umsatzes). Die nächsten Monate entscheiden, ob Kliniken resilient oder angreifbar bleiben.
Stand: Februar 2026