NIS2-Maßnahmen Krankenhaus: Die 10 Pflichten nach §30 BSIG

Q: Müssen alle Krankenhäuser §30 BSIG erfüllen?

In der Praxis ja. §30 BSIG gilt für besonders wichtige und wichtige Einrichtungen im Sektor Gesundheitswesen. Krankenhäuser fallen darunter, sobald sie 50 oder mehr Mitarbeitende beschäftigen oder einen Jahresumsatz beziehungsweise eine Bilanzsumme von über 10 Millionen Euro aufweisen. Das trifft auf nahezu jedes Akut- und Reha-Krankenhaus zu. Kleinere Häuser unterhalb dieser Schwellen sind formal nicht erfasst, sollten die Anforderungen aber dennoch als Orientierung nutzen, da Patientensicherheit und Versorgungsauftrag dieselben sind.

Q: Wie unterscheiden sich §30 BSIG und der B3S Krankenhaus?

Der §30 BSIG ist der gesetzliche Anforderungsrahmen aus dem NIS2-Umsetzungsgesetz und gilt für alle wichtigen und besonders wichtigen Einrichtungen. Der B3S Krankenhaus der Deutschen Krankenhausgesellschaft ist ein branchenspezifischer Sicherheitsstandard, der die Anforderungen aus §391 SGB V (vormals §75c) konkretisiert und sich primär an KRITIS-Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr richtet. In der Praxis ergänzen sich beide: Der B3S liefert konkrete Umsetzungshinweise, die §30-BSIG-Pflichten greifen breiter und gelten unabhängig von KRITIS-Schwellen.

Q: Reicht eine ISO-27001-Zertifizierung für NIS2-Compliance?

Eine ISO-27001-Zertifizierung deckt einen großen Teil der §30-BSIG-Anforderungen ab, ersetzt sie aber nicht vollständig. NIS2 fordert explizit Maßnahmen zur Lieferkettensicherheit, zur Notfallkommunikation und zu Meldepflichten innerhalb von 24 beziehungsweise 72 Stunden, die in einer reinen ISO-27001-Implementierung oft schwächer ausgeprägt sind. Krankenhäuser sollten daher ein Mapping erstellen: Welche Controls aus Annex A decken welche §30-Anforderung ab, wo bestehen Lücken? Dieses Mapping ist auch der häufigste erste Wunsch der BSI-Aufsicht.

Q: Wer haftet bei Verstößen gegen §30 BSIG?

Das BSIG verlagert die Verantwortung explizit auf die Geschäftsleitung. Geschäftsführer und Vorstände müssen die Umsetzung der Risikomanagementmaßnahmen überwachen und an verpflichtenden Schulungen teilnehmen. Bei Pflichtverletzungen drohen nicht nur Bußgelder gegen die Einrichtung, sondern auch eine persönliche Inanspruchnahme der Leitungsorgane für Schäden, die der Einrichtung durch unterlassene Maßnahmen entstehen. Der ISB oder IT-Leiter trägt die operative Verantwortung, die Letztverantwortung für die Wirksamkeit liegt jedoch nachweisbar bei der Geschäftsführung.

Q: Wie oft muss die Risikoanalyse aktualisiert werden?

§30 BSIG nennt keinen festen Turnus, fordert aber eine regelmäßige Überprüfung sowie eine anlassbezogene Aktualisierung. Etabliert hat sich ein jährlicher Vollzyklus mit unterjährigen Updates bei wesentlichen Änderungen. Wesentliche Änderungen sind etwa die Einführung neuer KIS-Module, der Anschluss neuer Standorte, größere Umstrukturierungen, neue regulatorische Anforderungen oder ein meldepflichtiger Sicherheitsvorfall. Die Aktualisierungsentscheidungen sollten dokumentiert sein, damit die Aufsicht die Aktualität nachvollziehen kann. Ein leeres Datumsfeld ohne Begründung gilt als Mangel.

Q: Was passiert, wenn wir die BSI-Registrierungsfrist (6. März 2026) verpasst haben?

Die Registrierungspflicht besteht weiter, auch wenn die Frist seit März 2026 abgelaufen ist. Holen Sie die Registrierung über das BSI-Meldeportal umgehend nach und dokumentieren Sie intern die Gründe der Verzögerung. Eine verspätete Registrierung ist eine Ordnungswidrigkeit und kann mit einem Bußgeld belegt werden, in der Praxis ist das BSI in der Anlaufphase aber primär an einer vollständigen Erfassung interessiert. Wichtig: Wer registriert ist, sollte parallel die §30-Maßnahmen sichtbar vorantreiben, um bei einer möglichen Prüfung Handlungsfähigkeit zu zeigen.

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft, die BSI-Registrierungsfrist für betroffene Einrichtungen lief am 6. März 2026 ab. Damit ist die Phase der politischen Diskussion vorbei. Vor Ihnen liegt jetzt die operative Frage: Wie setzen Sie die zehn Maßnahmenbereiche aus §30 BSIG konkret in einem Krankenhausbetrieb um, der parallel KIS, RIS/PACS, Laborinformationssysteme und mehrere hundert Medizingeräte sicher betreiben muss?

Dieser Leitfaden geht jeden der zehn Bereiche durch. Pro Bereich erhalten Sie eine pragmatische Übersetzung in den Klinikkontext, eine in 30 Tagen umsetzbare Quick-Win-Aktion, die typische Stolperfalle aus realen Projekten und die Nachweise, die ein BSI-Prüfer sehen will. Der Beitrag richtet sich an IT-Leitungen, Informationssicherheitsbeauftragte und CISOs in Akut- und Reha-Kliniken sowie Klinikverbünden, die die Umsetzung jetzt strukturieren müssen — ohne ein Jahr Vorlauf, ohne unbegrenztes Budget und ohne dass der Versorgungsauftrag leidet.

Wer muss §30 BSIG erfüllen?

§30 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zur Umsetzung angemessener technischer und organisatorischer Risikomanagementmaßnahmen. Im Sektor Gesundheitswesen fallen praktisch alle Krankenhäuser darunter, sobald sie mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz beziehungsweise eine Bilanzsumme von über 10 Millionen Euro aufweisen.

Einrichtungstyp	Einstufung nach BSIG	Pflichten-Tiefe
Krankenhaus ≥ 30.000 vollstat. Fälle/Jahr (KRITIS)	Besonders wichtige Einrichtung	§30 BSIG + §391 SGB V + B3S, BSI-Nachweise alle 2 Jahre
Krankenhaus 50–249 MA oder ≥ 10 Mio. € Umsatz	Wichtige Einrichtung	§30 BSIG, anlassbezogene Aufsicht
Reha-Klinik mit ≥ 50 MA	Wichtige Einrichtung	§30 BSIG, anlassbezogene Aufsicht
Klinik < 50 MA und < 10 Mio. € Umsatz	Nicht erfasst	Empfehlung zur freiwilligen Orientierung

Bei KRITIS-Krankenhäusern kommt §391 SGB V (vormals §75c SGB V) als zusätzliche Anforderungsschicht hinzu, in der Praxis konkretisiert durch den B3S Krankenhaus der Deutschen Krankenhausgesellschaft. Wie sich §30 BSIG und §391 SGB V im Detail überschneiden und unterscheiden, finden Sie in unserem Vergleichsartikel zu §391 SGB V und NIS2.

Die 10 Maßnahmenbereiche im Überblick

§30 Absatz 2 BSIG nennt zehn Bereiche, die jede betroffene Einrichtung adressieren muss. Die nachfolgenden Sprungmarken führen direkt zum jeweiligen Detailabschnitt:

Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs
Sicherheit der Lieferkette
Sicherheit bei Erwerb, Entwicklung und Wartung
Bewertung der Wirksamkeit der Maßnahmen
Cyberhygiene und Schulungen
Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle, Asset-Management
MFA, Kommunikationssicherheit, Notfallkommunikation

Die 10 Maßnahmenbereiche im Detail

1. Risikoanalyse und Sicherheit für Informationssysteme

Was das Gesetz fordert Sie müssen Risiken für Ihre Informationssysteme systematisch identifizieren, bewerten und behandeln. Konzepte zur Sicherheit der Systeme müssen daraus abgeleitet und nachvollziehbar dokumentiert sein.

Im Klinik-Alltag bedeutet das Die Risikoanalyse muss alle Systeme umfassen, die für die Patientenversorgung relevant sind: KIS, RIS/PACS, Laborinformationssystem, Apothekensoftware, Endoskopie-Server, Anästhesiesysteme. Auch das Subnetz der Medizingeräte gehört dazu, ebenso die zentrale Verwaltungs-IT für Abrechnung und Personalwesen. Eine reine Server-Inventarliste ist keine Risikoanalyse.

Quick Win für die nächsten 30 Tage Erstellen Sie ein Top-20-Asset-Register der versorgungskritischsten Systeme. Bewerten Sie pro Asset Schadenshöhe und Eintrittswahrscheinlichkeit auf einer Drei- oder Fünf-Stufen-Skala. Das ist nicht das Endprodukt, aber die Basis, auf der Sie weiterarbeiten können.

Typische Stolperfalle Die Risikoanalyse wird einmal als Beratungsprodukt eingekauft, in einer Excel-Datei abgelegt und nie wieder angefasst. Ein Jahr später findet niemand mehr den Stand wieder, geschweige denn die Begründung der Bewertungen.

Wie Sie es nachweisen Risikoregister mit Bewertungslogik, dokumentierter Risk-Treatment-Plan, Sitzungsprotokolle des ISMS-Lenkungsgremiums, Reviews der letzten 12 Monate mit Datum und Beschluss.

2. Bewältigung von Sicherheitsvorfällen

Was das Gesetz fordert Sie benötigen ein Verfahren zur Erkennung, Analyse, Eindämmung und Nachbereitung von Sicherheitsvorfällen, einschließlich der gesetzlichen Meldepflichten an das BSI.

Im Klinik-Alltag bedeutet das Ein Vorfall ist nicht erst dann ein Vorfall, wenn das KIS steht. Auch ein Phishing-Treffer im Empfang, eine kompromittierte Wartungsverbindung eines Medizingeräteherstellers oder ein verdächtiger Login auf das Apothekensystem fallen darunter. Die 24-Stunden-Frühwarnung und die 72-Stunden-Meldung an das BSI laufen automatisch, sobald ein erheblicher Vorfall vorliegt.

Quick Win für die nächsten 30 Tage Definieren Sie eine einseitige Vorfall-Eskalationsmatrix: Wer entscheidet, ob ein Ereignis ein meldepflichtiger Vorfall ist? Welche Telefonnummern und Mailadressen werden im Ernstfall gewählt? Hängen Sie das Dokument in der IT-Leitstelle und der Pforte aus.

Typische Stolperfalle Die Meldung an das BSI scheitert nicht an der Technik, sondern an der Entscheidung, ob gemeldet werden muss. Diese Entscheidung wird im Stress zerredet, bis die 24 Stunden verstrichen sind.

Wie Sie es nachweisen Vorfallsmanagement-Richtlinie, Eskalationsmatrix, Logbuch der bearbeiteten Vorfälle, Meldenachweise aus dem BSI-Portal, Lessons-Learned-Protokolle.

3. Aufrechterhaltung des Betriebs (BCM, Backup, Krisenmanagement)

Was das Gesetz fordert Sie müssen Maßnahmen zur Aufrechterhaltung des Betriebs und zum Krisenmanagement vorhalten, einschließlich Backup-Konzept und Wiederherstellungsverfahren.

Im Klinik-Alltag bedeutet das Ein Krankenhaus kann im Notfall nicht einfach abschalten. Sie brauchen Wiederanlaufpläne pro versorgungskritischem Prozess: Notaufnahme ohne KIS, OP-Programm ohne RIS, Medikamentenausgabe ohne Apothekensystem. Das Backup-Konzept muss nicht nur Datensicherung, sondern auch geprüfte Wiederherstellung umfassen, idealerweise einmal jährlich auf isolierter Umgebung getestet.

Quick Win für die nächsten 30 Tage Ziehen Sie die drei kritischsten Geschäftsprozesse heraus und beschreiben Sie für jeden den Notbetrieb auf Papier. Wer macht was, mit welchen Formularen, wie lange tragbar? Mehr als drei Seiten pro Prozess sollten es nicht sein.

Typische Stolperfalle Die IT hat ein Backup. Die Fachabteilungen haben keinen Plan, wie sie ohne IT arbeiten sollen. Im Ernstfall fehlen Papierformulare, Telefonlisten und die Befugnis, Notfallmedikation manuell zu dokumentieren.

Wie Sie es nachweisen BCM-Richtlinie, Business-Impact-Analyse, Wiederanlauf- und Notbetriebspläne pro Prozess, Restore-Tests mit Datum und Ergebnis, Krisenstabsübungen.

Hinweis: Das BCM-Modul in der ISMShield AI Suite ist seit Version 1.8 verfügbar und bildet Notfallpläne, Wiederanlaufverfahren und Übungsdokumentation in einem konsistenten Datenmodell ab.

4. Sicherheit der Lieferkette

Was das Gesetz fordert Sie tragen Verantwortung für die Sicherheit Ihrer Lieferkette, einschließlich der Beziehungen zu Dienstleistern, Wartungsfirmen und Software-Anbietern. Sicherheitsanforderungen müssen vertraglich verankert und überprüft werden.

Im Klinik-Alltag bedeutet das Im Krankenhaus ist die Lieferkette ein Geflecht aus KIS-Hersteller, RIS/PACS-Anbieter, Medizingerätelieferanten mit Fernwartung, Reinigungsdienstleister mit Zutrittsausweisen, IT-Outsourcing-Partnern und externen Radiologen. Jede dieser Beziehungen ist ein potenzieller Angriffsvektor. Lieferkettenangriffe gehören zu den am schnellsten wachsenden Bedrohungen im Gesundheitssektor.

Quick Win für die nächsten 30 Tage Erstellen Sie eine Liste Ihrer Top-15-Lieferanten mit IT-Bezug. Klassifizieren Sie sie nach Kritikalität und prüfen Sie, ob in jedem Vertrag eine Auftragsverarbeitungsvereinbarung, Sicherheitsanforderungen und ein Auditrecht enthalten sind. Allein dieser Überblick deckt regelmäßig Lücken auf, die Jahre alt sind.

Typische Stolperfalle Verträge wurden vor zehn Jahren geschlossen, der Lieferant betreibt seitdem die Fernwartung, niemand weiß genau, welche Zugriffsrechte aktiv sind und welche Mitarbeitenden des Lieferanten Zugang haben. Bei Wartungstickets wird stillschweigend per VPN durchgeschleift.

Wie Sie es nachweisen Lieferantenverzeichnis mit Klassifizierung, Vertragsmuster mit Sicherheitsklauseln, Nachweise von Lieferantenaudits oder eingeforderten Zertifikaten (ISO 27001, SOC 2), Logs der Fernwartungszugänge mit Reviews.

Kostenfreie NIS2-Selbstbewertung starten

5. Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen

Was das Gesetz fordert Sicherheit muss bereits bei der Beschaffung, in der Entwicklung und während der Wartung von IT-Systemen berücksichtigt werden, inklusive Schwachstellenmanagement und Patch-Prozess.

Im Klinik-Alltag bedeutet das Jede neue Software, jeder neue Server, jedes neue Medizingerät muss vor Inbetriebnahme einer Sicherheitsbewertung unterzogen werden. Bei Bestandssystemen geht es um geregeltes Patchmanagement, das auch Medizingeräte einschließt — auch wenn der Hersteller das ungern hört. Schwachstellenscans gehören zum Standard, nicht zur Kür.

Quick Win für die nächsten 30 Tage Ergänzen Sie Ihre Beschaffungs-Checkliste um drei Pflichtfelder: Welche Schnittstellen, welche Authentifizierung, welche Patch-Strategie? Ohne ausgefüllte Felder keine Freigabe durch die IT-Leitung.

Typische Stolperfalle Medizingeräte werden über die Medizintechnik beschafft, ohne dass die IT-Sicherheit vor der Bestellung eingebunden wird. Drei Jahre später steht ein Windows-7-Gerät im Netz, das laut Hersteller nicht gepatcht werden darf.

Wie Sie es nachweisen Beschaffungsrichtlinie mit Sicherheitscheckliste, Patch-Management-Prozess, Schwachstellenscan-Berichte, Freigabedokumente für neue Systeme, Liste der nicht patchbaren Systeme mit Kompensationsmaßnahmen.

6. Bewertung der Wirksamkeit der Maßnahmen

Was das Gesetz fordert Sie müssen die Wirksamkeit Ihrer Sicherheitsmaßnahmen regelmäßig überprüfen und bewerten. Dazu gehören interne Audits, Kennzahlen und ein Berichtsweg an die Leitung.

Im Klinik-Alltag bedeutet das Es reicht nicht, Maßnahmen einzuführen — Sie müssen messen, ob sie wirken. Beispiele: Wie viele Phishing-Klickraten in der Belegschaft? Wie schnell werden kritische Patches eingespielt? Wie viele Wartungszugänge sind länger als 90 Tage ungenutzt offen? Diese Kennzahlen gehen in einen halbjährlichen Bericht an die Geschäftsführung.

Quick Win für die nächsten 30 Tage Definieren Sie fünf KPIs, die Sie ohnehin schon erfassen können, und bauen Sie einen einseitigen Management-Report. Mehr Wirkung als zwanzig nicht erhobene Kennzahlen.

Typische Stolperfalle Die Wirksamkeitsbewertung wird auf den nächsten Audit verschoben — und der findet erst in zwei Jahren statt. In der Zwischenzeit weiß niemand, ob die Maßnahmen tatsächlich greifen oder nur auf dem Papier existieren.

Wie Sie es nachweisen KPI-Definition mit Zielwerten, regelmäßige Messberichte, interne Auditberichte, Management-Reviews mit Beschlüssen und Folgeaktionen.

7. Cyberhygiene und Schulungen

Was das Gesetz fordert Sie müssen grundlegende Cyberhygiene-Praktiken etablieren und Ihre Mitarbeitenden regelmäßig schulen. Auch die Geschäftsleitung ist verpflichtet, an Schulungen teilzunehmen.

Im Klinik-Alltag bedeutet das Cyberhygiene heißt: aktuelle Software, getrennte Konten für administrative und normale Tätigkeiten, sichere Passwörter, gesperrte Bildschirme. Schulungen müssen alle Mitarbeitenden erreichen, vom OP-Personal über die Verwaltung bis zur Geschäftsführung. Einmal-jährlich-PowerPoint reicht nicht, gefragt sind kurze, rollenbezogene Lerneinheiten.

Quick Win für die nächsten 30 Tage Starten Sie eine simulierte Phishing-Kampagne in einer Pilotabteilung. Die Klickrate ist Ihr Ist-Zustand. Daraus leiten Sie ein 6-Monats-Schulungsprogramm ab, das mit der niedrig-hängenden Frucht beginnt.

Typische Stolperfalle Schulungen werden auf E-Learning-Plattformen abgelegt und einmal jährlich pflichtgemäß durchgeklickt. Die Geschäftsführung delegiert ihre eigene Teilnahme nach unten — und fällt bei der Prüfung durch.

Wie Sie es nachweisen Schulungskonzept, Teilnahmenachweise mit Datum und Person, Phishing-Kampagnenberichte, Schulungsnachweise der Geschäftsführung.

8. Kryptografie und Verschlüsselung

Was das Gesetz fordert Sie müssen geeignete kryptografische Verfahren zum Schutz von Vertraulichkeit, Integrität und Authentizität einsetzen, einschließlich eines Konzepts zum Schlüsselmanagement.

Im Klinik-Alltag bedeutet das Verschlüsselung betrifft die Datenübertragung (TLS für KIS-Webzugänge, VPN für Heimarbeitsplätze), die Datenspeicherung (Festplattenverschlüsselung auf mobilen Geräten, Datenbankverschlüsselung für Patientendaten) und den Mailverkehr mit niedergelassenen Ärzten. Schlüssel müssen sicher verwaltet, rotiert und im Verlustfall ersetzbar sein.

Quick Win für die nächsten 30 Tage Prüfen Sie alle ausgegebenen Notebooks und Tablets der Klinik auf aktive Festplattenverschlüsselung. Geräte ohne aktive Verschlüsselung gehen entweder zurück in die IT oder erhalten eine sofortige Nachrüstung.

Typische Stolperfalle Veraltete TLS-Versionen sind in Medizingeräte-Webschnittstellen verbaut, der Hersteller kann oder will nicht aktualisieren. Diese Systeme bleiben jahrelang als Risiko sichtbar, ohne dass eine Kompensationsmaßnahme dokumentiert wird.

Wie Sie es nachweisen Kryptografie-Richtlinie, Inventar verschlüsselter Systeme, Schlüsselmanagement-Verfahren, Reports zu eingesetzten TLS-Versionen, dokumentierte Ausnahmen mit Kompensationsmaßnahmen.

9. Personalsicherheit, Zugriffskontrolle und Asset-Management

Was das Gesetz fordert Sie müssen sicherstellen, dass Berechtigungen am Bedarf orientiert vergeben, regelmäßig überprüft und beim Ausscheiden entzogen werden. Assets müssen erfasst und einem Verantwortlichen zugeordnet sein.

Im Klinik-Alltag bedeutet das Im Krankenhaus mit hoher Personalfluktuation, Aushilfen, Famulanten und Praktikanten ist Berechtigungsmanagement der schwierigste Punkt. Wer im Mai im OP rotierte, hat im November oft noch Zugriff auf das KIS. Asset-Management umfasst nicht nur Server, sondern auch Schlüsselkarten, Diensthandys und Zugriffe auf Cloud-Dienste.

Quick Win für die nächsten 30 Tage Lassen Sie eine Liste aller aktiven KIS-Konten generieren und gleichen Sie sie mit dem aktuellen Personalstamm ab. Konten ohne aktiven Mitarbeitenden werden in der gleichen Woche deaktiviert. Ein Klassiker, der regelmäßig zweistellige Trefferzahlen produziert.

Typische Stolperfalle Der Offboarding-Prozess endet bei der Abgabe des Schlüssels und der Personalakte. Die fünfzehn IT-Konten, die der Mitarbeitende über Jahre angesammelt hat, bleiben aktiv, weil niemand eine vollständige Liste hat.

Wie Sie es nachweisen Berechtigungskonzept, Joiner-Mover-Leaver-Prozess mit Verantwortlichen, regelmäßige Berechtigungsreviews mit Datum, Asset-Register mit Eigentümer-Zuordnung.

10. Multi-Faktor-Authentifizierung, Kommunikationssicherheit, Notfallkommunikation

Was das Gesetz fordert Sie müssen Multi-Faktor-Authentifizierung für kritische Zugänge einsetzen, gesicherte Kommunikationswege etablieren und Verfahren für die Notfallkommunikation vorhalten.

Im Klinik-Alltag bedeutet das MFA gilt mindestens für administrative Zugänge, Fernzugriffe und privilegierte Konten in KIS und ERP. Notfallkommunikation heißt: Wenn die zentrale Telefonanlage und die Mailserver gleichzeitig ausfallen — wie erreicht der Krisenstab die Stationsleitungen, die Pforte, die niedergelassenen Einweiser? Eine Telefonliste auf Papier in der Pforte ist Pflicht, kein Anachronismus.

Quick Win für die nächsten 30 Tage Aktivieren Sie MFA für alle administrativen Konten und alle externen Wartungszugänge. Diese Gruppe ist überschaubar, der Sicherheitsgewinn enorm. Die breite Mitarbeiter-MFA folgt in einem zweiten Schritt.

Typische Stolperfalle Die Notfallkommunikation existiert als Konzept, wurde aber nie geübt. Im Ernstfall stellt sich heraus, dass die hinterlegten Mobilnummern drei Jahre alt sind und die Hälfte der Schlüsselpersonen nicht mehr im Haus arbeitet.

Wie Sie es nachweisen MFA-Konzept mit Geltungsbereich, Protokolle der MFA-Rollouts, Notfallkommunikationsplan mit aktuellen Kontaktdaten, Übungsprotokolle.

Die häufigsten Umsetzungsfehler

In Klinikprojekten begegnen uns immer wieder dieselben fünf Anti-Patterns:

1. Dokumentation vor Maßnahmen. Ein 200-seitiges Sicherheitskonzept beschreibt einen Soll-Zustand, der nichts mit der Realität zu tun hat. Reihenfolge umdrehen: erst messbare Maßnahmen umsetzen, dann das Geschehene dokumentieren. Ein BSI-Prüfer erkennt Papierschlösser in der ersten Stunde.

2. Maßnahmen werden in Word und Excel verwaltet. Was am Anfang pragmatisch wirkt, kollabiert nach sechs Monaten. Versionen weichen ab, Verantwortlichkeiten verschwimmen, der Audit-Trail fehlt. Spätestens beim ersten Vorfall oder bei der ersten Aufsichtsanfrage zeigt sich, dass eine strukturierte ISMS-Plattform keine Bequemlichkeit, sondern Voraussetzung ist.

3. Medizintechnik bleibt außen vor. Die IT macht NIS2, die Medizintechnik macht Medizinproduktegesetz, niemand macht das Gesamtbild. Ein Cyberangriff fragt nicht, welche Abteilung das Gerät beschafft hat. Der Scope des ISMS muss medizintechnische Systeme zwingend einschließen.

4. Risikoanalyse ohne Wiederholungs-Zyklus. Ein einmaliges Risikoassessment ist eine Momentaufnahme. §30 BSIG fordert ein laufendes Risikomanagement mit dokumentierten Reviews. Ohne festgelegten Jahres-Zyklus und ohne Auslöser für anlassbezogene Updates verfällt der Stand schnell.

5. Geschäftsführung wird nicht eingebunden. Wenn die Leitung weder geschult noch entscheidungsbeteiligt ist, bleibt das persönliche Haftungsrisiko bestehen. Holen Sie die Geschäftsführung früh ins Boot, mit einem klaren halbjährlichen Berichtsformat und nachweisbaren Schulungsterminen.

Eine sinnvolle 12-Wochen-Roadmap

Zwölf Wochen reichen für ein belastbares Grundgerüst, nicht für Perfektion. Wer den Anspruch auf Vollständigkeit aufgibt und stattdessen sichtbare Wirkung priorisiert, schafft in einem Quartal Strukturen, die für eine Aufsichtsprüfung tragfähig sind.

Phase	Zeitraum	Ergebnis
Scope und Asset-Inventar	Woche 1–2	Top-50-Asset-Register, Geltungsbereichs-Dokument, Stakeholder-Map
Risikoanalyse Top-Assets	Woche 3–4	Bewertete Risiken, Risk-Treatment-Plan, Priorisierung
Quick Wins der Bereiche 7, 8, 10	Woche 5–8	Phishing-Kampagne, MFA für Admins, Festplattenverschlüsselung, Schulungsplan
BCM-Aufbau und Notfallplan	Woche 9–10	Business-Impact-Analyse, drei Notbetriebspläne, Restore-Test
Wirksamkeitsmessung und Reporting	Woche 11–12	KPI-Set, erster Management-Report, Folgeplan für Q3

Der Plan ersetzt kein dauerhaftes ISMS-Betriebsmodell. Er liefert aber ein sichtbares Fundament, auf dem die nächsten zwölf Monate aufbauen.

Wie ISMShield die Umsetzung beschleunigt

Die ISMShield AI Suite ist eine ISMS-Plattform speziell für Krankenhäuser im DACH-Raum. Drei Funktionen adressieren die zehn Bereiche aus §30 BSIG direkt:

Vorgefertigtes §30-BSIG-Framework mit Mapping zu B3S Krankenhaus, ISO 27001 und §391 SGB V. Sie pflegen einen Maßnahmenkatalog, der parallel mehrere Regelwerke bedient.
Risikoregister mit MIN-basierter Restrisikoberechnung, das Asset-Bewertungen, Bedrohungsszenarien und Maßnahmenwirkung verknüpft. Reviews und Beschlüsse sind audit-fest dokumentiert.
BCM-Modul mit Notfallplänen, Wiederanlaufverfahren und Übungsprotokollen, das speziell für klinische Prozesse modelliert ist.

Live-Demo anfordern

FAQ

Müssen alle Krankenhäuser §30 BSIG erfüllen? In der Praxis ja. §30 BSIG gilt für besonders wichtige und wichtige Einrichtungen im Sektor Gesundheitswesen. Krankenhäuser fallen darunter, sobald sie 50 oder mehr Mitarbeitende beschäftigen oder einen Jahresumsatz beziehungsweise eine Bilanzsumme von über 10 Millionen Euro aufweisen. Das trifft auf nahezu jedes Akut- und Reha-Krankenhaus zu. Kleinere Häuser unterhalb dieser Schwellen sind formal nicht erfasst, sollten die Anforderungen aber dennoch als Orientierung nutzen, da Patientensicherheit und Versorgungsauftrag dieselben sind.

Wie unterscheiden sich §30 BSIG und der B3S Krankenhaus? Der §30 BSIG ist der gesetzliche Anforderungsrahmen aus dem NIS2-Umsetzungsgesetz und gilt für alle wichtigen und besonders wichtigen Einrichtungen. Der B3S Krankenhaus der Deutschen Krankenhausgesellschaft ist ein branchenspezifischer Sicherheitsstandard, der die Anforderungen aus §391 SGB V (vormals §75c) konkretisiert und sich primär an KRITIS-Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr richtet. In der Praxis ergänzen sich beide: Der B3S liefert konkrete Umsetzungshinweise, die §30-BSIG-Pflichten greifen breiter und gelten unabhängig von KRITIS-Schwellen.

Reicht eine ISO-27001-Zertifizierung für NIS2-Compliance? Eine ISO-27001-Zertifizierung deckt einen großen Teil der §30-BSIG-Anforderungen ab, ersetzt sie aber nicht vollständig. NIS2 fordert explizit Maßnahmen zur Lieferkettensicherheit, zur Notfallkommunikation und zu Meldepflichten innerhalb von 24 beziehungsweise 72 Stunden, die in einer reinen ISO-27001-Implementierung oft schwächer ausgeprägt sind. Krankenhäuser sollten daher ein Mapping erstellen: Welche Controls aus Annex A decken welche §30-Anforderung ab, wo bestehen Lücken? Dieses Mapping ist auch der häufigste erste Wunsch der BSI-Aufsicht.

Wer haftet bei Verstößen gegen §30 BSIG? Das BSIG verlagert die Verantwortung explizit auf die Geschäftsleitung. Geschäftsführer und Vorstände müssen die Umsetzung der Risikomanagementmaßnahmen überwachen und an verpflichtenden Schulungen teilnehmen. Bei Pflichtverletzungen drohen nicht nur Bußgelder gegen die Einrichtung, sondern auch eine persönliche Inanspruchnahme der Leitungsorgane für Schäden, die der Einrichtung durch unterlassene Maßnahmen entstehen. Der ISB oder IT-Leiter trägt die operative Verantwortung, die Letztverantwortung für die Wirksamkeit liegt jedoch nachweisbar bei der Geschäftsführung.

Wie oft muss die Risikoanalyse aktualisiert werden? §30 BSIG nennt keinen festen Turnus, fordert aber eine regelmäßige Überprüfung sowie eine anlassbezogene Aktualisierung. Etabliert hat sich ein jährlicher Vollzyklus mit unterjährigen Updates bei wesentlichen Änderungen. Wesentliche Änderungen sind etwa die Einführung neuer KIS-Module, der Anschluss neuer Standorte, größere Umstrukturierungen, neue regulatorische Anforderungen oder ein meldepflichtiger Sicherheitsvorfall. Die Aktualisierungsentscheidungen sollten dokumentiert sein, damit die Aufsicht die Aktualität nachvollziehen kann. Ein leeres Datumsfeld ohne Begründung gilt als Mangel.

Was passiert, wenn wir die BSI-Registrierungsfrist (6. März 2026) verpasst haben? Die Registrierungspflicht besteht weiter, auch wenn die Frist seit März 2026 abgelaufen ist. Holen Sie die Registrierung über das BSI-Meldeportal umgehend nach und dokumentieren Sie intern die Gründe der Verzögerung. Eine verspätete Registrierung ist eine Ordnungswidrigkeit und kann mit einem Bußgeld belegt werden, in der Praxis ist das BSI in der Anlaufphase aber primär an einer vollständigen Erfassung interessiert. Wichtig: Wer registriert ist, sollte parallel die §30-Maßnahmen sichtbar vorantreiben, um bei einer möglichen Prüfung Handlungsfähigkeit zu zeigen.

Über die Autoren: Die Becker Project Consulting GmbH ist Hersteller der ISMShield AI Suite, einer ISMS-Plattform speziell für Krankenhäuser im DACH-Raum. Mehr über uns finden Sie auf der Über-uns-Seite.