|
23.02.2026 18:19 Uhr |
Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft und nimmt Geschäftsführer von Krankenhäusern, Medizinischen Versorgungszentren (MVZs) und anderen Gesundheitseinrichtungen persönlich in die Haftung für die Cybersicherheit. Doch wie soll das in einem Sektor gelingen, der von veralteter Medizintechnik und knappen Budgets geprägt ist?
heise online sprach mit den Rechtsexperten Dennis-Kenji Kipker und Tilmann Dittrich, die kürzlich einen NIS2-Leitfaden für Führungskräfte im Gesundheitswesen veröffentlicht haben, über die Änderungen und darüber, ob das Gesetz mehr als nur ein Papiertiger ist.
Dennis-Kenji Kipker: Das ist eine klassische Verantwortungsdiffusion, die wir in allen komplexen Lieferketten sehen. Das ist kein Gematik-spezifisches Problem. Wir müssen uns aber von der Vorstellung lösen, dass es eine hundertprozentige Sicherheit gibt. Es ist gut, dass wir in Deutschland über Sicherheit diskutieren und nicht wie Großbritannien eine Schnelldigitalisierung durchgezogen haben. Dort hat der National Health Service (NHS) 2024 den ersten bestätigten Todesfall in Europa infolge eines Cyberangriffs gemeldet: Ein Angriff auf einen Pathologiedienstleister führte zu Verzögerungen bei den Blutergebnissen, was für einen Patienten tödlich endete. Das zeigt, wohin ein überhasteter Ansatz ohne robustes Sicherheitsfundament führen kann.
Dittrich: Wenn eine Klinik einen Anbieter wählt, der keine Patches oder nur kurzfristigen Support anbietet, ist das eine unternehmerische Risikoentscheidung. Dann hat man vielleicht aber auch bei der Beschaffung einen Fehler gemacht.
Dittrich: Das sehe ich auch so. Durch technisch-organisatorische Prozesse muss man das Risiko des einzelnen Mitarbeiters ohnehin minimieren.
(mack)