§391 SGB V vs. NIS2: Wie sich die Pflichten für Krankenhäuser unterscheiden — und überlappen

Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz mit dem neuen §30 BSIG. Gleichzeitig setzen Krankenhäuser seit 2022 §391 SGB V um — die Norm, die zuvor als §75c SGB V geführt wurde. Das Ergebnis ist eine Doppelpflicht: Zwei Regelwerke, zwei Aufsichtsbehörden, zwei Sichten auf dieselbe IT-Sicherheitsorganisation.

Dieser Beitrag stellt §391 SGB V und §30 BSIG Pflicht für Pflicht gegenüber. Er zeigt, wo der branchenspezifische Sicherheitsstandard B3S Krankenhaus als Brücke zwischen beiden Welten dient, und benennt die konkreten Punkte, an denen NIS2 zusätzliche Anforderungen stellt. Im Mittelpunkt steht der §391 SGB V NIS2 Unterschied — strukturiert, ohne Marketing-Überhöhung, mit dem Blick auf die operative Umsetzung.

Adressaten sind IT-Leitung, Informationssicherheitsbeauftragte und CISOs in Krankenhäusern, die §391 bereits umgesetzt haben und nun den NIS2-Aufsatz integrieren müssen. Eine vollständige Einführung in NIS2 finden Sie in unserem Beitrag zu den 10 Maßnahmenbereichen nach §30 Abs. 2 BSIG. Hier geht es um das Delta — und um eine integrierte Umsetzung, die beide Regelwerke aus einer Datenbasis bedient.

Was §391 SGB V (vormals §75c) konkret fordert

§391 SGB V wurde mit dem Krankenhauspflegeentlastungsgesetz aus dem ursprünglichen §75c SGB V herausgelöst und systematisch neu eingeordnet. Inhaltlich ist die Norm unverändert geblieben. Die Bezeichnung §75c SGB V findet sich daher noch in vielen älteren Audit-Berichten und Konzepten — gemeint ist dasselbe.

Kernanforderung: Krankenhäuser müssen seit dem 1. Januar 2022 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der IT-Sicherheit treffen. Maßstab ist der "Stand der Technik". Die Konkretisierung erfolgt über den branchenspezifischen Sicherheitsstandard B3S Krankenhaus der Deutschen Krankenhausgesellschaft (DKG), aktuell in Version 2.0.

Der Geltungsbereich ist breit: Erfasst sind alle Krankenhäuser im Sinne von §107 Abs. 1 SGB V — auch solche unterhalb der klassischen KRITIS-Schwelle von 30.000 vollstationären Fällen pro Jahr. Damit ist §391 SGB V faktisch eine flächendeckende Pflicht für die deutsche Krankenhauslandschaft. Adressiert wird primär die patientenversorgungsrelevante IT: Klinisches Informationssystem (KIS), Radiologieinformationssystem (RIS), Bildarchive (PACS), Laborsysteme, Medikationssysteme und alle Systeme, deren Ausfall die Versorgung gefährden würde.

Was die Norm nicht vorgibt, ist genauso wichtig: Es gibt keine konkreten Bußgeld-Tatbestände in §391 SGB V selbst. Die Sanktionierung läuft indirekt über die Krankenhausaufsicht der Länder, etwa über Auflagen oder im Extremfall über die Krankenhausplanung. Eine eigene gesetzliche Meldepflicht für IT-Sicherheitsvorfälle existiert ebenfalls nicht — Meldungen ergeben sich nur aus der DSGVO, sofern personenbezogene Daten betroffen sind. Eine ausdrückliche persönliche Geschäftsführungs-Haftung kennt §391 SGB V nicht.

In der Praxis gilt: Wer den B3S Krankenhaus sauber umsetzt und durch eine Selbstprüfung oder ein externes Audit nachweisen kann, gilt im Verhältnis zur Krankenhausaufsicht als compliant zu §391 SGB V.

Was §30 BSIG (NIS2) konkret fordert

§30 BSIG ist seit dem 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist nach §33 BSIG endete am 6. März 2026 — Krankenhäuser, die unter NIS2 fallen, sollten zu diesem Zeitpunkt bereits registriert gewesen sein. Wer dies versäumt hat, sollte die Registrierung umgehend nachholen.

Die Norm verlangt zehn Maßnahmenbereiche nach §30 Abs. 2 BSIG. Sie reichen vom Risikomanagement über Vorfallsbehandlung, Business Continuity, Lieferketten-Sicherheit, sichere Beschaffung und Entwicklung, Wirksamkeitsbewertung, Cyberhygiene und Schulungen, Kryptografie, Personal- und Zugriffssicherheit bis zur Multi-Faktor-Authentifizierung und gesicherten Notfallkommunikation. Eine vollständige Auflistung mit Auslegungshinweisen finden Sie im ausführlichen Beitrag zu den NIS2-Maßnahmenbereichen.

Der Geltungsbereich orientiert sich an der EU-NIS-2-Richtlinie. Im Gesundheitswesen sind praktisch alle Krankenhäuser ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Umsatz beziehungsweise Bilanzsumme als wichtige Einrichtung erfasst. Ab 250 Mitarbeitenden oder 50 Millionen Euro Umsatz handelt es sich um eine besonders wichtige Einrichtung. Maßgeblich ist das Prinzip der Verhältnismäßigkeit: Maßnahmen müssen Größe, Risiko, Eintrittswahrscheinlichkeit und Schwere möglicher Schäden angemessen widerspiegeln.

Neu und prozessual relevant ist die Meldepflicht nach §32 BSIG: Frühwarnung an das BSI innerhalb von 24 Stunden, vollständige Meldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Hinzu kommt die Registrierungspflicht beim BSI und — besonders folgenreich — die persönliche Verantwortung der Geschäftsführung nach §38 BSIG. Die Leitungsorgane müssen die Maßnahmen selbst billigen, ihre Umsetzung überwachen und sich schulen lassen. Der Bußgeldrahmen liegt bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bei 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen.

Anders als §391 SGB V adressiert §30 BSIG die gesamte IT-Sicherheit der Einrichtung — nicht nur die patientenversorgungsrelevante.

Vergleichstabelle — die wichtigsten Unterschiede

Die folgende Gegenüberstellung macht den Charakter des Delta sichtbar. NIS2 ist nicht nur strenger, sondern auch breiter: mehr Adressaten, mehr Pflichten, mehr Behörden-Schnittstellen.

Aspekt	§391 SGB V	§30 BSIG (NIS2)
In Kraft seit	2022 (vormals §75c SGB V)	6. Dezember 2025
Adressiert	Patientenversorgungsrelevante IT	Gesamte IT der Einrichtung
Maßstab	"Stand der Technik" + B3S	10 Maßnahmenbereiche §30 Abs. 2
Geltungsbereich	Alle Krankenhäuser nach §107 SGB V	Besonders wichtige + wichtige Einrichtungen
Aufsicht	Krankenhausaufsicht der Länder	BSI
Registrierungspflicht	Nein	Ja, beim BSI
Meldepflicht	Nein (nur DSGVO)	Ja: 24 h / 72 h / 1 Monat
Bußgeld	Indirekt über Krankenhausaufsicht	Bis 10 Mio. EUR / 2 % Umsatz
Geschäftsführer-Haftung	Nicht ausdrücklich	Ja, persönlich, §38 BSIG
Wirksamkeitsnachweis	Über B3S-Audit / Selbstprüfung	Eigene Wirksamkeitsbewertung
Lieferketten-Sicherheit	Nicht explizit	Ja, eigener Maßnahmenbereich
Schulungs-Pflicht	Implizit über B3S	Ja, expliziter Maßnahmenbereich

Wer die Tabelle Spalte für Spalte liest, erkennt das Muster: §391 SGB V definiert ein materielles Sicherheitsniveau, das über den B3S konkretisiert wird. §30 BSIG ergänzt dieses Niveau um eine formale Compliance-Schicht — Registrierung, Meldungen, Geschäftsführungs-Verantwortung und externe Aufsicht durch das BSI.

Wo sich die Pflichten überschneiden — der B3S als Brücke

Die meisten Krankenhäuser haben in den letzten drei Jahren ein ISMS auf Basis B3S aufgebaut. Diese Investition zahlt sich für NIS2 aus. Nach unserer Erfahrung aus Klinikprojekten deckt ein sauber umgesetzter B3S Krankenhaus rund 70 bis 80 Prozent der Anforderungen aus §30 Abs. 2 BSIG ab. Diese Größenordnung verstehen wir als Erfahrungswert, nicht als belastbare Statistik — die tatsächliche Quote hängt stark von Reifegrad, Dokumentationstiefe und Umsetzungsdisziplin im Einzelhaus ab.

Konkret überlappen sich folgende Bereiche:

• Risikomanagement und Risikoanalyse (§30 Abs. 2 Nr. 1) — der B3S verlangt eine systematische Risikoanalyse für patientenversorgungsrelevante Prozesse.
• Vorfallsmanagement und Incident Response (Nr. 2) — ein dokumentierter Incident-Response-Prozess gehört zum B3S-Pflichtteil.
• Business Continuity, Backup und Wiederanlauf (Nr. 3) — Notfallkonzepte und Wiederanlaufverfahren sind im B3S verankert.
• Wirksamkeitsbewertung über interne Audits (Nr. 6) — die jährliche B3S-Selbstprüfung erfüllt im Kern die Anforderung an die Bewertung der Maßnahmenwirksamkeit.
• Cyberhygiene, Awareness und Schulungen (Nr. 7) — sofern B3S-konform betrieben.
• Kryptografie (Nr. 8) — Verschlüsselung patientenbezogener Daten ist B3S-Standard.
• Zugriffskontrolle, Rollen- und Rechte-Konzepte, Asset-Management (Nr. 9) — der B3S verlangt ein dokumentiertes Asset-Inventar und ein Berechtigungsmanagement.

Diese Überlappung ist kein Zufall. Der B3S Krankenhaus ist bewusst entlang ISO 27001 und ISO 27002 strukturiert worden — denselben Standards, an denen sich auch §30 BSIG inhaltlich orientiert. Wie eng diese Verzahnung ist, zeigt unser Beitrag zur Synergie zwischen ISO 27001 und NIS2 in der Klinik.

Die praktische Konsequenz: Eine Klinik mit aktuellem B3S-Selbstprüfungsbericht in Version 2.0 hat das Fundament. Die NIS2-Umsetzung wird zur Delta-Aufgabe — keine Greenfield-Projektlandschaft, sondern eine gezielte Ergänzung an klar benennbaren Stellen.

Wo §30 BSIG zusätzliche Anforderungen stellt

Neben den Schnittmengen gibt es konkrete Punkte, an denen §30 BSIG über §391 SGB V und den B3S hinausgeht. Diese Delta-Punkte sind der Kern jeder integrierten Umsetzungsplanung.

1. Lieferketten-Sicherheit (§30 Abs. 2 Nr. 4). Der B3S adressiert die Anbindung von Dienstleistern und Herstellern eher am Rand. NIS2 verlangt ein systematisches Lieferanten-Risikomanagement — inklusive vertraglicher Sicherheitspflichten, Bewertung kritischer Lieferanten und Berücksichtigung der Sicherheitspraxis des Lieferanten. Für Krankenhäuser betrifft das KIS-Hersteller, Medizintechnik-Wartungsdienstleister, Cloud-Anbieter und IT-Outsourcing-Partner.

2. Sicherheit bei Erwerb, Entwicklung und Wartung (Nr. 5). Eigenentwicklungen und größere Anpassungen — etwa KIS-Schnittstellen, Dashboards, Forschungssysteme — brauchen einen Secure-SDLC. Sicherheitsanforderungen gehören in Lastenhefte, Sicherheitstests in den Abnahmeprozess. Im B3S ist dieser Bereich bestenfalls indirekt verankert.

3. Verbindliche Meldekette an das BSI. Die 24-Stunden-Frühwarnung mit konkreten Inhalten — Schweregrad, mögliche Auswirkungen, betroffene Dienste — ist neu. Diese Schnittstelle muss prozessual vorbereitet sein, mit definierten Rollen, Stellvertretern und Meldetexten. Eine Probemeldung pro Jahr ist sinnvoll.

4. Multi-Faktor-Authentifizierung und gesicherte Notfallkommunikation (Nr. 10). MFA wird im B3S empfohlen, in §30 BSIG ausdrücklich gefordert — insbesondere für administrative Zugänge und Fernzugriffe. Auch eine gesicherte Notfallkommunikation außerhalb der regulären IT-Wege (Out-of-Band) bei IT-Ausfall ist neu in dieser Schärfe.

5. Persönliche Geschäftsführungs-Verantwortung (§38 BSIG). Die Geschäftsführung muss die Risikomanagement-Maßnahmen selbst billigen und ihre Umsetzung überwachen. Eine reine Delegation an die IT-Leitung oder den ISB reicht nicht. Schulungen für die Geschäftsführung sind faktisch Pflicht und müssen dokumentiert werden.

6. Wirksamkeitsbewertung als kontinuierlicher Prozess. Im B3S oft als jährliche Selbstprüfung gelebt, fordert §30 BSIG eine systematische, wiederkehrende Bewertung mit messbaren Indikatoren. Stichworte: KPI-basiertes Sicherheits-Reporting, definierte Reifegradmessung, dokumentierte Korrekturmaßnahmen.

Eine Lücken-Analyse ist kein einmaliger Workshop, sondern ein laufender Prozess. Neue B3S-Versionen, BSI-Hinweispapiere und Auslegungen der Aufsichtsbehörden können das Delta verschieben. Eine detaillierte Gegenüberstellung Maßnahme für Maßnahme finden Sie in unserem B3S-NIS2-Mapping für Krankenhäuser.

Wie Sie beide effizient parallel umsetzen

Der häufigste Fehler in der Praxis: Häuser betreiben §391 und NIS2 in zwei getrennten Projekten mit zwei Dokumentationssträngen. Das verdoppelt den Pflegeaufwand, erzeugt Widersprüche zwischen Dokumentenständen und verbrennt Kapazität, die ohnehin knapp ist. Der pragmatische Weg ist eine integrierte Umsetzung in fünf Schritten.

Schritt 1 — Bestandsaufnahme. Prüfen Sie den aktuellen B3S-Stand. Wann war die letzte Selbstprüfung? Welche Maßnahmen sind dokumentiert, welche faktisch umgesetzt, aber undokumentiert? Welche Risiken sind aktuell, welche stammen aus älteren Versionen? Diese Inventur ist die Grundlage jeder weiteren Planung.

Schritt 2 — Mapping-Übung. Ordnen Sie jede der zehn §30-BSIG-Forderungen den vorhandenen B3S-Maßnahmen zu. Markieren Sie Lücken. Typischerweise sind das Lieferkette, Secure-SDLC, MFA-Abdeckung, Notfallkommunikation, BSI-Meldekette und die formale Geschäftsführungs-Verantwortung. Diese Lücken werden zur priorisierten Maßnahmenliste.

Schritt 3 — Konsolidierung der Dokumentation. Bauen Sie eine einzige Dokumentationsbasis statt zwei paralleler Welten. Risiken, Assets, Maßnahmen und Nachweise werden einmal gepflegt. Sichten und Reports erzeugen Sie separat — eine für die Krankenhausaufsicht der Länder im §391-Format, eine für das BSI im NIS2-Format. Auch ISO 27001 lässt sich auf derselben Basis abbilden.

Schritt 4 — Geschäftsführungs-Einbindung formalisieren. Der Maßnahmenkatalog wird mindestens jährlich von der Geschäftsführung formal gebilligt. Schulungen der Leitungsorgane werden dokumentiert. Beides ist für den §38-BSIG-Nachweis relevant und sollte in einen festen Jahresturnus überführt werden — etwa in die Aufsichtsrats- oder Trägervorlage.

Schritt 5 — Meldeprozess aufbauen. Etablieren Sie einen Eskalationsprozess, der DSGVO-Meldung an die Datenschutzaufsicht, §391-relevante Information an die Krankenhausaufsicht und BSI-Meldung nach NIS2 parallel bedient. Verantwortliche und Stellvertreter werden namentlich benannt. Mindestens einmal pro Jahr wird der Prozess geprobt — idealerweise als Tabletop-Übung mit der Geschäftsführung.

Wer diese fünf Schritte konsequent geht, betreibt am Ende kein Doppelprojekt, sondern ein integriertes ISMS, das beide Aufsichtsbehörden bedient.

Wie ISMShield das Mapping abbildet

ISMShield wurde von Anfang an für die integrierte Sicht auf §391 SGB V (B3S), §30 BSIG (NIS2), ISO 27001 und KRITIS-Sektoranforderungen entwickelt. Die Plattform deckt genau die Punkte ab, die in der parallelen Umsetzung üblicherweise Reibung erzeugen.

• Vorgefertigtes Multi-Framework-Mapping. Jede Maßnahme wird einmal gepflegt und automatisch gegen B3S, §30 BSIG, ISO 27001 und KRITIS referenziert. Das eliminiert die Doppelpflege.
• Compliance-Dashboard pro Regelwerk. Eine Sicht für die §391-Krankenhausaufsicht, eine für das BSI nach NIS2 — beide auf derselben Datenbasis, ohne separate Excel-Welten.
• MIN-basierte Restrisikoberechnung. Konsistente Risikobewertung für beide Regelwerke gleichzeitig, mit nachvollziehbarer Methodik.
• BCM-Modul mit Notfallplänen, Wiederanlaufverfahren und gesicherter Notfallkommunikation — deckt §391 und §30 Abs. 2 Nr. 3 ab. Details im BCM-Modul.
• BSI-Meldecockpit. Vorbereitete Meldekette mit den 24-h-, 72-h- und Monatsfristen, Rollen, Eskalationswegen und Templates.

Häufige Fragen zum §391 SGB V NIS2 Unterschied

Ersetzt NIS2 die Pflichten aus §391 SGB V? Nein. §30 BSIG (NIS2) und §391 SGB V bestehen parallel und haben unterschiedliche Adressaten und Aufsichtsbehörden. §391 SGB V richtet sich an alle Krankenhäuser nach §107 SGB V und wird von der Krankenhausaufsicht der Länder überwacht. §30 BSIG gilt für besonders wichtige und wichtige Einrichtungen und wird vom BSI beaufsichtigt. Krankenhäuser, die unter beide Regelwerke fallen, müssen beide erfüllen. Die gute Nachricht: Eine integrierte Umsetzung ist möglich, weil sich die inhaltlichen Anforderungen über den B3S Krankenhaus zu einem großen Teil überschneiden.

Reicht ein B3S-konformes ISMS für die NIS2-Compliance aus? Ein sauber umgesetzter B3S Krankenhaus deckt nach unserer Erfahrung aus Klinikprojekten etwa 70 bis 80 Prozent der NIS2-Anforderungen ab. Das Fundament passt: Risikomanagement, Vorfallsmanagement, BCM, Kryptografie und Zugriffskontrolle sind in beiden Welten ähnlich strukturiert. Lücken bestehen typischerweise bei Lieferketten-Sicherheit, Secure-SDLC, Multi-Faktor-Authentifizierung, gesicherter Notfallkommunikation, der BSI-Meldekette und der formalen Geschäftsführungs-Verantwortung nach §38 BSIG. Diese Delta-Punkte müssen Sie ergänzen, sind aber kein Greenfield-Projekt.

Müssen kleine Krankenhäuser unter 30.000 Fällen NIS2 umsetzen? Ja, in der Regel schon. Die alte KRITIS-Schwelle von 30.000 vollstationären Fällen pro Jahr ist für NIS2 nicht mehr maßgeblich. §30 BSIG knüpft an die Größenklassen der EU-Richtlinie an: Einrichtungen ab 50 Mitarbeitenden oder mehr als 10 Millionen Euro Umsatz beziehungsweise Bilanzsumme fallen als wichtige Einrichtungen unter NIS2, ab 250 Mitarbeitenden oder 50 Millionen Euro Umsatz als besonders wichtige Einrichtungen. Damit erfasst NIS2 deutlich mehr Krankenhäuser als die alte KRITIS-Regelung. §391 SGB V galt ohnehin für alle Krankenhäuser nach §107 SGB V.

Wer haftet bei einem Verstoß — die Geschäftsführung oder die IT-Leitung? Unter NIS2 haftet die Geschäftsführung persönlich. §38 BSIG verpflichtet die Leitungsorgane, die Risikomanagementmaßnahmen selbst zu billigen, ihre Umsetzung zu überwachen und sich entsprechend schulen zu lassen. Diese Pflicht ist nicht delegierbar. Eine reine Beauftragung der IT-Leitung oder des ISB reicht nicht aus. Bei groben Verstößen drohen Bußgelder und unter bestimmten Voraussetzungen auch zivilrechtliche Inanspruchnahme. §391 SGB V kennt keine vergleichbare ausdrückliche Geschäftsführungs-Haftung, sanktioniert wird hier indirekt über die Krankenhausaufsicht der Länder.

Wann muss bei einem Cybervorfall an das BSI gemeldet werden — und gilt das zusätzlich zur DSGVO-Meldung? Die NIS2-Meldekette nach §32 BSIG sieht drei Stufen vor: eine Frühwarnung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls, eine vollständige Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Diese Pflicht besteht zusätzlich zur DSGVO-Meldung an die Datenschutzaufsicht, falls personenbezogene Daten betroffen sind. Beide Meldestränge laufen parallel und haben unterschiedliche Adressaten, Fristen und Inhalte. In der Praxis empfiehlt sich ein konsolidierter Eskalationsprozess, der beide Meldungen aus einer einzigen Vorfallsdokumentation speist.

Lohnt es sich, zwei separate ISMS-Tools für §391 und NIS2 zu betreiben? Nein. Zwei parallele Werkzeuge oder Dokumentationswelten verdoppeln den Pflegeaufwand, erzeugen Widersprüche zwischen den Datenständen und binden Kapazität, die in IT-Abteilungen ohnehin knapp ist. Sinnvoll ist eine integrierte Plattform, in der Risiken, Assets und Maßnahmen einmal gepflegt werden und über Mappings unterschiedliche Sichten erzeugen — eine für die §391-Krankenhausaufsicht, eine für das BSI nach NIS2. Auch ISO 27001 und KRITIS-Sektoranforderungen lassen sich auf derselben Datenbasis abbilden. Das spart Aufwand und sichert konsistente Aussagen gegenüber allen Aufsichtsbehörden.

---

Über die Autoren: Die Becker Project Consulting GmbH (BPC) ist Hersteller der ISMShield AI Suite, einer ISMS-Plattform speziell für Krankenhäuser im DACH-Raum. Wir begleiten seit Jahren Kliniken bei der parallelen Umsetzung von §391 SGB V, NIS2 und ISO 27001. Mehr über uns →