Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    NIS2 & Compliance14 Min. Lesezeit21. Mai 2026

    NIS2 im Gesundheitswesen

    Pflichten für Klinik, MVZ, Praxis und die Rolle der Cyberversicherung

    Das Wichtigste in Kürze

    Seit dem 6.

    Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ohne Übergangsfrist.

    Das Gesundheitswesen steht als Sektor 5 der Anlage I (hohe Kritikalität) ganz oben auf der BSI-Liste.

    Rund 1.000 MVZ sind 2026 erstmals NIS2-pflichtig - dazu Krankenhäuser, Klinikverbünde, größere Arztpraxen, Reha-Einrichtungen, Apothekennetzwerke, Labore und Medizinprodukte-Hersteller.

    Parallel verschärft sich die Bedrohungslage: Der Ameos-Cyberangriff im Juli 2025 traf über 100 Kliniken, Krankenhaus-Attacken sind laut HPI seit 2020 um 74 Prozent gestiegen.

    Diese Seite zeigt, wer betroffen ist, wie sich NIS2 mit KBV-IT-Sicherheitsrichtlinie und B3S Krankenhaus überschneidet und welche Bausteine eine wirksame Cyberversicherung für das Healthcare-Umfeld haben muss.

    1

    Wer im Gesundheitswesen ist von NIS2 betroffen?

    NIS2 erfasst alle Akteure des Gesundheitssektors ab bestimmten Schwellenwerten. Besonders wichtige Einrichtungen sind Unternehmen ab 250 Mitarbeitern oder 50 Mio EUR Umsatz - klassisch Krankenhauskonzerne, große Reha-Träger oder Pharmagruppen. Wichtige Einrichtungen sind alle Akteure ab 50 Mitarbeitern oder 10 Mio EUR Umsatz - hier greift bereits eine mittelgroße Tagesklinik, ein MVZ-Verbund oder ein Apothekenverbund. Größenunabhängig pflichtig sind unter anderem Anbieter von Vertrauensdiensten und kritische Anlagen. Erfasst werden konkret: Krankenhäuser und Klinikverbünde, MVZ ab den genannten Schwellen, größere Arztpraxen (Gemeinschaftspraxen, Praxisverbünde), Labore und Diagnostikzentren, Apothekennetzwerke, Pharmahersteller, Medizinprodukte-Hersteller und IT-Dienstleister im Healthcare-Umfeld. Wichtig: Auch unterhalb der Schwellen kann der Lieferketten-Effekt nach § 30 Abs. 2 Nr. 4 BSIG greifen - wenn Sie als Zulieferer für eine NIS2-pflichtige Einrichtung tätig sind, fordert der Mandant die Nachweise weiter.

    Die drei größten Cyber-Risiken im Healthcare-Sektor 2026

    Erstens Ransomware auf Patientendaten und Klinik-IT. Der Ameos-Vorfall im Juli 2025 betraf laut healthcare-digital.de über 100 Kliniken in Deutschland, Österreich und der Schweiz. Krankenhaus-Cyberangriffe sind laut Hasso-Plattner-Institut seit 2020 um 74 Prozent gestiegen. Typische Eintrittspunkte: kompromittierte Mitarbeiter-Accounts, ungepatchte Remote-Desktop-Zugänge, veraltete Windows-Server in der Verwaltung. Folge: Tage- bis wochenlange Stillstände, Notfall-Umlagerung von Patienten, sechs- bis siebenstellige Wiederherstellungskosten. Zweitens Medizingeräte-Kompromittierung. Vernetzte Infusionspumpen, PACS-Bildarchive, MRT-/CT-Konsolen sind oft auf veralteten Embedded-Systemen ohne Patch-Pfad. Internet-of-Medical-Things (IoMT) ist eine Operational-Technology-Lücke, die klassische IT-Security nicht abdeckt. Drittens Insider-Threat und Berufsgeheimnis-Bruch. § 203 StGB stellt unbefugte Offenbarung von Patientengeheimnissen unter Strafe - ein einziger Vorfall führt zur Doppelhaftung (NIS2-Bußgeld + strafrechtliche Verfolgung der Beschäftigten und Träger).

    3

    NIS2-Pflichten konkret: § 30 BSIG übersetzt für Klinik und Praxis

    § 30 des novellierten BSIG definiert zehn Mindestmaßnahmen, die seit 6. Dezember 2025 gelten. Für Healthcare-Einrichtungen bedeuten sie konkret: 1. Dokumentierte Risikoanalyse mit jährlicher Aktualisierung und Risikobehandlungsplan (Mapping zu B3S Krankenhaus zulässig). 2. Incident-Response-Prozess inkl. dokumentierter Eskalationskette von Stationsleitung bis zur Geschäftsführung. 3. Backup-Konzept nach 3-2-1-Regel mit getesteten Wiederherstellungsplänen - Pflicht: regelmäßige Disaster-Recovery-Übungen mit dokumentiertem Ergebnis. 4. Lieferketten-Sicherheit: vertragliche Sicherheitsanforderungen an alle IT-Dienstleister, Medizingeräte-Hersteller, Cloud-Anbieter. 5. Patch- und Schwachstellenmanagement für IT und vernetzte Medizintechnik. 6. Wirksamkeitsmessung durch interne Audits und Pentests. 7. Awareness-Programme für alle Beschäftigten - inkl. verpflichtender Schulung der Geschäftsführung nach § 38 BSIG. 8. Verschlüsselung von Patientendaten in Übertragung und Speicherung. 9. Zugriffskontrolle nach Need-to-know-Prinzip mit Privileged Access Management. 10. Multi-Faktor-Authentifizierung für alle kritischen Systeme - PACS, KIS, Praxisverwaltung, Apothekensoftware, Remote-Wartung.

    4

    KBV-IT-Sicherheitsrichtlinie und B3S Krankenhaus: Mapping zu NIS2

    Vertragsärzte sind seit langem an die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V gebunden. Die Anforderungen überschneiden sich zu großen Teilen mit § 30 BSIG. Wer KBV-Richtlinie bereits ordentlich umgesetzt hat, bringt rund 60 Prozent der NIS2-Pflichten mit. Lücken bleiben bei: Lieferketten-Sicherheit (KBV behandelt das nur rudimentär), dokumentierter Incident-Response-Prozess mit 24h-Meldekette, MFA-Pflicht für alle administrativen Zugänge. Für Krankenhäuser liefert der B3S Krankenhaus (branchenspezifischer Sicherheitsstandard nach BSI-KritisV) eine noch tiefere Mapping-Basis. Praktisches Vorgehen: Bestehende KBV- oder B3S-Audits als Ausgangspunkt nehmen, NIS2-Gap-Analyse erstellen, fehlende 30-40 Prozent gezielt schließen. Wichtig: Die DSGVO Art. 9 (besondere Datenkategorien) gilt parallel und unverändert - Cyber-Vorfälle mit Gesundheitsdaten lösen sowohl NIS2-Meldung (24h ans BSI) als auch DSGVO-Meldung (72h an Aufsichtsbehörde) aus.

    5

    24h-Meldepflicht und BSI-Registrierung Schritt für Schritt

    Die BSI-Registrierung war bis zum 6. März 2026 verpflichtend - laut security-insider haben sich nur rund 38,5 Prozent der betroffenen Unternehmen rechtzeitig registriert. Für Healthcare-Einrichtungen gilt: 1. Zugang über Mein Unternehmenskonto (MUK) einrichten - braucht ein ELSTER-Organisationszertifikat. 2. Registrierung im BSI-Portal mit 24/7-erreichbarer NIS2-Kontaktstelle benennen. 3. Sektor (Gesundheit), Einrichtungsart (besonders wichtig oder wichtig), betroffene EU-Länder, IP-Adressbereiche melden. 4. Änderungen unverzüglich innerhalb von zwei Wochen nachmelden. Im Schadenfall greift der dreistufige Meldeprozess: Frühwarnung binnen 24 Stunden, Detailmeldung binnen 72 Stunden, Abschlussbericht spätestens nach 30 Tagen. Verstöße gegen die Meldepflichten kosten bis zu 500.000 EUR pro Verstoß - separat zu allen anderen Bußgeldern. Empfehlung: Meldeprozess in den Incident-Response-Plan integrieren, Tabletop-Exercises mit Stoppuhr durchführen, Verantwortlichkeiten in der Rufbereitschaft klären.

    6

    Bußgelder, § 38-Haftung und Folgen für die Klinik-Geschäftsführung

    Das Bußgeldregime nach § 65 BSIG ist staffeling gestaltet. Besonders wichtige Einrichtungen (Krankenhaus-Konzerne, große Pharmakonzerne) müssen mit bis zu 10 Mio EUR oder 2 Prozent des weltweiten Jahresumsatzes rechnen - der jeweils höhere Betrag gilt. Wichtige Einrichtungen (MVZ, Praxisverbund, Apothekenkette) liegen bei bis zu 7 Mio EUR oder 1,4 Prozent. Persönliche Geschäftsführerhaftung nach § 38 BSIG ist die einschneidendste Neuerung: Klinik-Geschäftsführer, Vorstände und MVZ-Träger haften persönlich mit dem Privatvermögen für Pflichtverletzungen - bereits bei leichter Fahrlässigkeit. Die Business Judgment Rule gilt hier nicht. Vertraglicher Haftungsverzicht ist nach § 38 Abs. 2 S. 3 BSIG ausgeschlossen. Im Streitfall trägt der Geschäftsführer die Darlegungslast für die Erfüllung seiner Überwachungspflichten. Konkrete Folge: Eine D&O-Versicherung für Klinikgeschäftsführung ist 2026 keine Option mehr, sondern Pflicht-Baustein. Sie muss eine Cyber-NIS2-Klausel enthalten - viele Bestandspolicen tun das noch nicht.

    7

    Cyberversicherung im Healthcare - was muss eine Police können?

    Eine wirksame Cyberversicherung für Kliniken, MVZ oder größere Arztpraxen muss vier Bereiche abdecken. Erstens Patientendatenverlust und DSGVO-Folgen: Benachrichtigung Betroffener, Forensik, Anwaltskosten, Bußgeld-Rechtsschutz (Bußgelder selbst sind nach § 30 OWiG meist nicht versicherbar, aber die Verteidigung). Zweitens Betriebsunterbrechung im Klinikbetrieb: OP-Ausfall, Stationsschließung, Notfall-Umlagerung von Patienten, Wiederherstellungskosten. Hier sind Versicherungssummen unter 1 Mio EUR meist zu niedrig - der Ameos-Vorfall zeigte siebenstellige Folgekosten. Drittens 24/7-IT-Forensik mit Healthcare-Erfahrung: KIS-, PACS- und Praxisverwaltungs-Kenntnis ist Pflicht, klassische Office-Forensiker scheitern hier. Viertens Lösegeld-Klausel kritisch prüfen: Viele Tarife schließen Ransomware-Zahlungen aus oder verlangen Vorab-Freigabe. Für Kliniken ist die operative Verhandlung im Ernstfall entscheidender als die Auszahlung. Bei mehreren Anbietern - siehe unseren Anbieter-Vergleich - sind Hiscox und Markel für Healthcare-Risiken besonders aufgestellt.

    8

    Compliance-Fahrplan: 12 Wochen bis zur NIS2-Reife

    Woche 1-2: Betroffenheitsprüfung dokumentieren, BSI-Registrierung nachholen falls noch nicht erfolgt, NIS2-Kontaktstelle 24/7 benennen. Woche 3-4: Bestehende KBV- oder B3S-Audits sichten, Gap-Analyse zu § 30 BSIG erstellen, Risikobehandlungsplan in Schriftform. Woche 5-6: Incident-Response-Prozess dokumentieren, 24h/72h/30d-Meldekette mit Stoppuhr durchspielen, Verantwortlichkeiten in der Rufbereitschaft klären. Woche 7-8: Lieferanten-Inventur, vertragliche Cybersicherheits-Klauseln für alle IT-Dienstleister und Medizingeräte-Hersteller nachverhandeln. Woche 9-10: MFA für alle administrativen Zugänge ausrollen (PACS, KIS, Praxisverwaltung, Remote-Wartung), Backup-Strategie nach 3-2-1-Regel testen. Woche 11-12: Awareness-Schulungen rollout, dokumentierte Geschäftsführer-Schulung nach § 38 BSIG, Cyberpolice-Vergleich abschließen, D&O-Police auf NIS2-Klausel prüfen. Danach: jährlicher Audit-Zyklus, Tabletop-Exercises mindestens halbjährlich, Anpassung der Cyberpolice-Versicherungssumme an den dokumentierten Worst-Case-Schaden.

    Häufige Fragen

    Ist meine 80-Mitarbeiter-Tagesklinik wirklich von NIS2 betroffen?
    Ja. Das Gesundheitswesen ist Sektor 5 der Anlage I (hohe Kritikalität). Die Schwelle für wichtige Einrichtungen liegt bei 50 Mitarbeitern oder 10 Mio EUR Jahresumsatz. Eine 80-MA-Tagesklinik ist damit eindeutig NIS2-pflichtig - mit allen Konsequenzen aus § 30 BSIG (Mindestmaßnahmen), § 32 BSIG (24h-Meldung) und § 38 BSIG (Geschäftsführerhaftung). Die Registrierung beim BSI war bis 6. März 2026 fällig.
    Reicht meine bestehende KBV-IT-Sicherheitsrichtlinie als NIS2-Nachweis?
    Teilweise. Die KBV-IT-Sicherheitsrichtlinie nach § 75b SGB V deckt rund 60 Prozent der NIS2-Pflichten ab. Lücken bestehen typischerweise bei: Lieferketten-Sicherheit, dokumentiertem Incident-Response-Prozess mit 24h-Meldekette ans BSI, MFA-Pflicht für alle administrativen Zugänge, dokumentierter Geschäftsführer-Schulung nach § 38 BSIG. Eine Gap-Analyse ist Pflicht - die KBV-Richtlinie allein reicht nicht.
    Welche Strafe droht meiner MVZ-Trägergesellschaft konkret?
    MVZ fallen in der Regel unter wichtige Einrichtung. Bußgelder bis 7 Mio EUR oder 1,4 Prozent des weltweiten Jahresumsatzes (der höhere Betrag gilt). Zusätzlich: Verstöße gegen Meldepflichten kosten bis zu 500.000 EUR pro Verstoß. Nicht-Registrierung beim BSI ebenfalls bis zu 500.000 EUR. Plus persönliche Haftung der Geschäftsführung mit dem Privatvermögen nach § 38 BSIG - vertraglicher Haftungsausschluss ist gesetzlich verboten.
    Übernimmt eine Cyberversicherung das NIS2-Bußgeld?
    Bußgelder sind nach § 30 OWiG in Deutschland meist nicht versicherbar, soweit sie höchstpersönlich verhängt werden. Was eine gute Cyberpolice aber abdeckt: die Anwalts- und Verfahrenskosten der Bußgeld-Verteidigung, Krisenberatung, Forensik, Benachrichtigungskosten, DSGVO-Rechtsschutz. Die D&O-Versicherung der Geschäftsführung übernimmt teilweise die persönliche Haftung nach § 38 BSIG - hier ist eine ausdrückliche NIS2-Klausel Pflicht-Prüfung.
    Welche Versicherungssumme braucht eine Klinik mit 200 Betten?
    Realistisch mindestens 2-5 Mio EUR. Der Ameos-Vorfall im Juli 2025 zeigte sechs- bis siebenstellige Folgekosten für mittelgroße Häuser - Wiederherstellung von KIS, PACS, Verwaltungs-IT, Forensik, Anwaltskosten, OP-Ausfall, Notfall-Umlagerung. Wer mit 500.000 EUR Versicherungssumme arbeitet, ist im Worst Case schnell unterversichert. Wir empfehlen eine individuelle Schaden-Modellierung mit Branchen-Daten - unser Vergleichsrechner bei CyberDirekt bietet Healthcare-spezifische Tarifvarianten an.
    Thomas Dewein
    Versicherungsexperte

    Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.

    Fachlich geprüft am 03. Juli 2026
    Mehr über den Autor →
    Jetzt absichern

    Kostenlos beraten lassen – in 60 Sekunden

    Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.

    Unabhängiger Vergleich aus 50+ Tarifen
    Persönliche Beratung durch Experten
    100% kostenlos & unverbindlich
    KontaktanfrageSchritt 1/2
    DSGVO

    DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.