NIS2-Umsetzung in Kliniken bleibt hinter Erwartungen zurück
ESET-Umfrage zeigt Lücken bei Strategie und Notfallmanagement im Krankenhaus
Viele Krankenhäuser in Deutschland investieren zwar zunehmend in IT-Sicherheit, bleiben bei der Umsetzung der EU-Richtlinie NIS2 jedoch hinter den Anforderungen zurück. Das zeigt eine aktuelle Umfrage des IT-Sicherheitsanbieters ESET Deutschland GmbH unter Entscheidern im Gesundheitswesen. Wie die Studie berichtet, haben lediglich 36 Prozent der befragten Kliniken in den vergangenen zwölf Monaten gezielt Maßnahmen zur Erfüllung von KRITIS- oder NIS2-Vorgaben umgesetzt.
Die Ergebnisse der Erhebung zeigen ein differenziertes Bild der IT-Sicherheitslage im deutschen Krankenhaussektor. Während operative Maßnahmen deutlich an Bedeutung gewinnen, bleibt die strategische Verankerung der neuen europäischen Anforderungen vielfach unvollständig. Besonders aktiv zeigen sich Fachkliniken mit 46 Prozent sowie Allgemeinkrankenhäuser mit 38 Prozent umgesetzter Maßnahmen. Universitätskliniken liegen mit 29 Prozent deutlich darunter und bilden das Schlusslicht.
Laut ESET Deutschland GmbH nimmt die Sensibilität für Cyberrisiken zwar spürbar zu, doch mangele es häufig an einem ganzheitlichen Sicherheitsansatz. „Unsere Ergebnisse zeigen, dass viele Krankenhäuser die Zeichen der Zeit erkannt haben. Investitionen in Technik und Awareness nehmen zu. Gleichzeitig fehlt häufig noch ein ganzheitlicher Ansatz, der Prozesse, Verantwortlichkeiten und regelmäßige Übungen verbindlich festschreibt“, erklärt Michael Schröder, Head of Product Marketing beim Unternehmen. NIS2 sei daher kein reines Compliance-Thema, sondern ein Belastungstest für die reale Cyber-Resilienz der Einrichtungen.
Besonders deutlich wird diese Diskrepanz im Bereich der operativen Umsetzung. Zwar führten 52 Prozent der Kliniken Notfall- oder Ransomware-Übungen durch und 48 Prozent setzten auf Awareness-Programme für Mitarbeitende, doch bleiben diese Maßnahmen häufig isoliert und projektbezogen. Eine dauerhafte organisatorische Integration in das Managementsystem vieler Häuser ist bislang nicht durchgängig erkennbar. Positiv wird jedoch bewertet, dass IT-Sicherheit zunehmend aus der reinen IT-Abteilung heraus in Richtung Managementaufgabe wächst.
Ein weiterer Schwerpunkt der Studie betrifft Universitätskliniken. Diese gelten als hochkomplexe digitale Systeme mit Forschungs-, Versorgungs- und Lehrbetrieb sowie internationaler Vernetzung. Gleichzeitig macht diese Struktur sie besonders anfällig für Cyberangriffe. Zwar setzen viele Unikliniken verstärkt auf Notfallübungen und externe Sicherheitsprüfungen, doch die formale Umsetzung der NIS2-Anforderungen erfolgt seltener als in anderen Krankenhausformen. Als mögliche Ursache gilt die historisch gewachsene und stark fragmentierte IT-Infrastruktur.
Auch das Notfallmanagement zeigt Defizite. Zwar verfügen nahezu alle befragten Einrichtungen über entsprechende Pläne für Cybervorfälle, doch nur rund ein Drittel bewertet diese als strukturiert und regelmäßig getestet. Besonders kritisch ist die Situation in Universitätskliniken: Nur etwa 21 Prozent führen regelmäßige Tests ihrer Krisenpläne durch. Angesichts möglicher Auswirkungen auf Patientenversorgung, Forschung und Lehre ergibt sich daraus ein erhebliches Risiko.
Die Studie wurde im Auftrag von ESET Deutschland GmbH durch die techconsult GmbH im Rahmen einer geschichteten Online-Befragung unter Entscheidern im Gesundheitswesen durchgeführt. Ergänzende Informationen stellt der Anbieter im eigenen Blog bereit: ESET Blog Analyse NIS2 Studie.
Insgesamt verdeutlichen die Ergebnisse, dass NIS2 für Krankenhäuser weit mehr ist als eine regulatorische Anpassung. Die Richtlinie wirkt als struktureller Treiber, der bestehende IT- und Organisationsmodelle im Kliniksektor grundlegend auf den Prüfstand stellt. Entscheidend wird sein, ob es den Einrichtungen gelingt, von Einzelmaßnahmen hin zu einem dauerhaft belastbaren, organisationsweiten Sicherheits- und Krisenmanagement überzugehen.
