01.06.2026

Digitalisierung: Neue Pflichten durch NIS-2

Mit NIS-2 wird Cybersicherheit zur Aufgabe der Geschäftsleitung. Gesundheitseinrichtungen müssen neue Anforderungen umsetzen, Risiken aktiv steuern und IT-Sicherheit strategisch verankern. Warum Schulungen jetzt entscheidend sind.

Mit der fortschreitenden Digitalisierung im Gesundheitswesen steigen auch die Gefahren, denen Gesundheitseinrichtungen im digitalen Raum ausgesetzt sind. Cybersicherheitsrisiken und -vorfälle nehmen zu und eine effiziente Abwehr wird immer komplexer. Ein belastbarer Schutz vor digitalen Gefahren ist möglich, erfordert allerdings kontinuierliche Pflege, klare Verantwortlichkeiten und vor allem die richtigen Entscheidungen. Mit dem Inkrafttreten des Gesetzes zur Umsetzung der europäischen NIS-2-Richtlinie im Dezember 2025 gelten daher auch für Einrichtungen des Gesundheitswesens neue verbindliche Vorgaben zur Cybersicherheit. Betroffene „wichtige“ und „besonders wichtige“ Einrichtungen müssen sich künftig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Maßnahmen zum Risikomanagement umsetzen.

Gerade für viele Einrichtungen der Rehabilitation und Vorsorge bedeutet dies einen erheblichen Informations- und Anpassungsbedarf. Denn wer die gesetzlichen Anforderungen nicht erfüllt, riskiert nicht nur Bußgelder und Reputationsschäden, sondern erhöht zugleich die eigene Anfälligkeit für Cyberangriffe und damit verbundene Schadensfälle. Fehlen angemessene Schutzmaßnahmen gegen bekannte und vermeidbare Risiken, können Sicherheitsvorfälle schnell existenzbedrohend werden. Informationssicherheit wird damit zunehmend zu einer essenziellen Voraussetzung für wirtschaftliche Handlungsfähigkeit und Vertrauen.

IT-Sicherheit ist Führungsaufgabe

Besonders im Fokus der neuen Regelungen steht die Verantwortung der Geschäftsleitung: Sie muss sicherstellen, dass Cybersicherheit integraler Bestandteil der Unternehmenssteuerung und des Risikomanagements ist. Diese Verantwortung lässt sich nicht delegieren. Geschäftsleitungen sind verpflichtet, die Umsetzung geeigneter Risikomanagementmaßnahmen aktiv zu steuern und deren Wirksamkeit zu überwachen. Als „Geschäftsleitung“ gelten nach dem BSI natürliche Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen sind.

IT-Sicherheit ist damit keine rein technische Fragestellung mehr. Risikoidentifizierung und -bewertung sowie Konzepte zur Vorbeugung und Bewältigung von Cybersicherheitsvorfällen sind nur einige der essenziellen Bausteine für eine gelungene und gelebte Cybersicherheitskultur. Geschäftsleitungen müssen Risiken bewerten, Prioritäten setzen und fundierte Entscheidungen treffen können. Dafür ist es notwendig, die Hintergründe von Entscheidungsvorlagen nachvollziehen und die Auswirkungen möglicher Maßnahmen einschätzen zu können.

Schulungen als gesetzliche Anforderung

Schulungen der Geschäftsführung sind daher eine verpflichtende und essenzielle Anforderung des Gesetzes. Vor diesem Hintergrund bietet der BDPK seinen Mitgliedern kostenfreie Schulungen für Geschäftsleitungen von Krankenhäusern sowie Reha- und Vorsorgeeinrichtungen an. Die Schulung erfolgt durch Anja Schütte, SCHÜTTE CONSULTING, und wird als Online-Seminar durchgeführt. Neben den gesetzlichen Grundlagen stehen insbesondere die Rolle und Verantwortung der Geschäftsleitung, der Risikomanagementprozess und die Meldepflichten im Mittelpunkt. So werden ein zusammenfassender Überblick über die Inhalte und Anforderungen der NIS-2-Richtlinie sowie deren nationale Umsetzung, der Risikomanagementprozess gemäß § 38 Abs. 3 BSIG-E sowie die Umsetzung in die Praxis anhand von Beispielen Inhalte der Schulung sein. Ziel der Seminare ist es, Führungskräfte in die Lage zu versetzen, IT-Sicherheitsrisiken fundiert zu bewerten, um entsprechende Maßnahmen treffen zu können.

Unsere Schulungen für die Geschäftsführung stellen somit einen wichtigen Schritt dar, um die NIS-2-Anforderungen praxisnah kennenzulernen. Gerade für die betroffenen Einrichtungen schaffen sie Orientierung, stärken das Bewusstsein für Cybersicherheit und bieten Unterstützung, rechtliche Anforderungen in konkretes Handeln zu übersetzen. Nutzen Sie die Gelegenheit und werden Sie aktiv.

Cybersicherheit ist längst kein isoliertes IT-Thema mehr, sie ist eine zentrale Aufgabe der Unternehmensführung und ein entscheidender Faktor für Resilienz, Vertrauen und Zukunftsfähigkeit.

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website
captcha	Wird zur Spamvermeidung beim Kontaktformular benötigt.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
1P_JAR	Speichert Website-Präferenzen und sammelt Informationen zur Website-Analyse.	1 Monat	HTML	Google
CONSENT	Speichert den Zustimmungsstatus des Nutzers für Google-Services.	2 Jahre	HTML	Google
NID	Enthält eine eindeutige ID zur Speicherung von Präferenzen und anderen Informationen für Google-Services.	6 Monate	HTML	Google
SEARCH_SAMESITE	Verhindert, dass der Browser dieses Cookie zusammen mit Cross-Site-Anfragen sendet.	5 Monate	HTML	Google
AEC	Sicherheitscookie zum Schutz vor Spam, Betrug und Missbrauch.	1 Monat	HTML	Google
SOCS	Speichert den Cookie-Consent-Status für Google-Services.	5 Monate	HTML	Google
OGP	Wird für die Funktionalität von Google Maps benötigt.	2 Monate	HTML	Google
OGPC	Wird für die Funktionalität von Google Maps benötigt.	2 Monate	HTML	Google
APISID	Authentifizierungs-Cookie für Google-Konten (wird nur bei eingeloggten Nutzern gesetzt).	1 Jahr	HTML	Google
SAPISID	Sicheres Authentifizierungs-Cookie für Google-Konten.	1 Jahr	HTML	Google
HSID	Sitzungs-Cookie für Google-Konten.	1 Jahr	HTML	Google
SID	Sitzungs-Cookie für Google-Konten zur Authentifizierung.	1 Jahr	HTML	Google
SSID	Sicheres Sitzungs-Cookie für Google-Konten.	1 Jahr	HTML	Google
__Secure-1PAPISID	Sichere Variante des APISID-Cookies für Google-Konten.	1 Jahr	HTML	Google
__Secure-1PSID	Sichere Variante des SID-Cookies für Google-Konten.	1 Jahr	HTML	Google
__Secure-3PAPISID	Sichere Variante des APISID-Cookies mit SameSite=None.	1 Jahr	HTML	Google
__Secure-3PSID	Sichere Variante des SID-Cookies mit SameSite=None.	1 Jahr	HTML	Google
__Secure-1PSIDCC	Sicheres Cookie zur Authentifizierung und Betrugsprävention.	1 Jahr	HTML	Google
__Secure-3PSIDCC	Sicheres Cookie zur Authentifizierung und Betrugsprävention mit SameSite=None.	1 Jahr	HTML	Google
__Secure-1PSIDTS	Zeitstempel-Cookie für Google-Konto-Sessions.	1 Jahr	HTML	Google
__Secure-3PSIDTS	Zeitstempel-Cookie für Google-Konto-Sessions mit SameSite=None.	1 Jahr	HTML	Google
__Secure-BUCKET	Technisches Cookie für Google-Account-Funktionalität.	4 Monate	HTML	Google
yt-remote-cast-installed	Speichert die Benutzereinstellungen beim Abruf eines YouTube-Videos.	Session	Local Storage	YouTube
yt-remote-connected-devices	Speichert die Benutzereinstellungen beim Abruf eines YouTube-Videos.	1 Tag	Local Storage	YouTube
yt-remote-device-id	Speichert die Geräte-ID für YouTube-Verbindungen.	1 Jahr	Local Storage	YouTube
yt-remote-fast-check-period	Speichert die Benutzereinstellungen beim Abruf eines YouTube-Videos.	Session	Local Storage	YouTube
yt-remote-session-app	Speichert die Sitzungsinformationen für YouTube-Videos.	Session	Local Storage	YouTube
yt-remote-session-name	Speichert den Sitzungsnamen für YouTube-Videos.	Session	Local Storage	YouTube
yt-icons-last-purged	Speichert den Zeitstempel der letzten Bereinigung des YouTube-Icon-Caches.	Persistent	Local Storage	YouTube
ytIdb::LAST_RESULT_ENTRY_KEY		Persistent	Local Storage	YouTube
yt.innertube::requests		Persistent	Local Storage	YouTube
yt.innertube::nextId		Persistent	Local Storage	YouTube
_fbp	Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.	3 Monate	HTML	Facebook
_uetsid	Von Microsoft Bing Ads verwendetes Tracking Cookie. Es ermöglicht, auf einen Nutzer einzugehen, der bereits im Vorfeld die Bing-Webseite besucht hat.	1 Tag	HTML	Microsoft
_uetvid	Wahrscheinlich ebenfalls von Microsoft Bing Ads gesetztes Cookie, dessen Funktion unbekannt ist.	26 Tage	HTML	Microsoft
_gcl_au	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet, die ihre Dienste nutzen.	3 Monate	HTML	Google

Name	Zweck	Ablauf	Typ	Anbieter
_ga	Registriert eine eindeutige ID, um statistische Daten zur Nutzung der Website zu generieren.	1 Jahr	HTML	Google
_gid	Registriert eine eindeutige ID, um statistische Daten zur Nutzung der Website zu generieren.	1 Tag	HTML	Google
_ga_--property-id--	Wird von Google Analytics verwendet, um den Sitzungsstatus zu speichern.	1 Tag	HTML	Google