Sicherheit im Gesundheitswesen: Der Aktionsplan der EU.

Was der Aktionsplan vorsieht
Der Plan sieht einen proaktiven, mehrschichtigen Ansatz für die Cybersicherheit vor. Krankenhäuser und Kliniken werden aufgefordert, umfassende Risikobewertungen durchzuführen, veraltete IT-Systeme zu modernisieren und das Personal in Cyberhygiene zu schulen. Ein EU-weites Frühwarnsystem für das Gesundheitswesen, das bis 2026 einsatzbereit sein soll, wird dazu beitragen, aufkommende Bedrohungen rasch zu erkennen. Darüber hinaus wird der Schwerpunkt auf robuste Maßnahmen zur Reaktion auf Vorfälle gelegt, wie beispielsweise eine „Reserve“ aus Notfallteams für Cybervorfälle und verstärkte Krisenmanagementübungen. Ein Schlüsselelement des Plans ist die Verpflichtung zur Meldung von Cybervorfällen, um Transparenz zu fördern und ein rasches Eingreifen zu ermöglichen. Zudem sieht der Plan vor, dass im Falle eines Angriffs jede Absicht zur Zahlung von Lösegeld gemeldet werden muss, um Cyberkriminelle abzuschrecken.
 

Auswirkungen auf den medizinischen Sektor
Der Aktionsplan sieht eine mehrschichtige Cybersicherheitsstrategie vor, die auf vier Kernkompetenzen basiert: Prävention, Erkennung, Reaktion und Abschreckung. Zu den wichtigsten Maßnahmen zählen umfassende Risikobewertungen, eine verbesserte Meldung von Vorfällen, verstärkte Cybersicherheitsschulungen für das Personal im Gesundheitswesen sowie die Entwicklung eines EU-weiten Frühwarnsystems, das voraussichtlich bis 2026 einsatzbereit sein wird.

• Risikobewertungen und Modernisierungen: Die Einrichtungen müssen ihre IT-Systeme überprüfen, veraltete Software aktualisieren und die Netzwerksicherheit verbessern. Cybersicherheit ist nicht mehr nur ein Thema der IT, sondern unerlässlich für die Gewährleistung einer unterbrechungsfreien Patientenversorgung und der Betriebsresilienz.
• Mitarbeiterschulung: Der Schwerpunkt liegt eindeutig auf der Schulung. Alle Beschäftigten im Gesundheitswesen, von Ärzten bis hin zum Verwaltungspersonal, müssen in sicheren Verhaltensweisen im Umgang mit dem Internet geschult werden, um menschliches Versagen zu reduzieren.
• Vorbereitung auf die Reaktion auf Sicherheitsvorfälle: Angesichts neuer Richtlinien für eine robuste Reaktion auf Sicherheitsvorfälle und regelmäßiger Sicherheitsübungen müssen Krankenhäuser in Backup-Systeme und umfassende Notfallpläne investieren.

Anbieter von Medizintechnik, darunter Software- und Hardwarehersteller sowie Managed Security Service Provider (MSSPs), müssen Sicherheit nun bereits bei der Entwicklung ihrer Produkte berücksichtigen. Das bedeutet, Lösungen nach dem Prinzip „Secure by Design“ zu entwickeln, robuste Prozesse zur Meldung von Sicherheitslücken einzuführen und Kunden aus dem Gesundheitswesen mit integrierten Cybersicherheitsdiensten zu unterstützen. Durch die Zusammenarbeit zwischen Krankenhäusern und Technologieanbietern wird sichergestellt, dass jedes Glied in der Versorgungskette geschützt ist.
 

Nationale Umsetzungen in der EU
Obwohl der Aktionsplan EU-weit gilt, wird die Umsetzung je nach dem jeweiligen Reifegrad im Bereich Cybersicherheit und den jeweiligen rechtlichen Rahmenbedingungen in den einzelnen Mitgliedstaaten erheblich variieren.

• Niederlande: Die Niederländer sind seit langem Vorreiter im Bereich der Cybersicherheit. Dank ihres Nationalen Center NCSC-NL) und branchenspezifischer Leitlinien durch Zorg-CERT sind sie für die bevorstehenden Veränderungen gut gerüstet. Niederländische Krankenhäuser halten sich bereits an strenge Standards, darunter obligatorische Risikobewertungen und die Einhaltung der Norm NEN 7510, die speziell auf den Gesundheitssektor zugeschnitten ist. Es wird erwartet, dass sich ihre proaktiven Mechanismen zum Austausch von Bedrohungsinformationen nahtlos in den neuen EU-Rechtsrahmen integrieren lassen.
• Spanien: Spanien hat sich rasch an die EU-Vorgaben angepasst und im Januar 2025 einen Gesetzentwurf zur Stärkung der nationalen Cybersicherheits-Governance verabschiedet. Das kürzlich gegründete „Centro Nacional de Ciberseguridad“ (CNC) bzw. Nationale Center als zentrale Behörde fungieren und sicherstellen, dass Krankenhäuser die neuen Meldepflichten erfüllen und regelmäßigen Prüfungen unterzogen werden. Spanische Gesundheitsorganisationen müssen sich auf eine strengere Aufsicht und eine zentralisierte Meldung von Vorfällen einstellen, erhalten dafür aber Fördermittel, die nun auch Maßnahmen zur Verbesserung der Cybersicherheit umfassen.
• Estland: Estland gilt als digitaler Vorreiter Europas, und die nahezu vollständige Digitalisierung der Gesundheitsdienste erfordert strenge Maßnahmen zur Cybersicherheit. Die estnische „Riigi Infosüsteemi Amet“ (RIA) bzw. Informationssystembehörde setzt einige der strengsten Datensicherheitsrichtlinien in der Region durch. Estlands frühzeitige Einführung von Blockchain-basierten Sicherheitslösungen für elektronische Patientenakten ist ein Paradebeispiel für sein Engagement für eine sichere digitale Gesundheitsversorgung. Dank dieser soliden Grundlage ist Estland gut darauf vorbereitet, die neuen Cybersicherheitsanforderungen der EU zu integrieren und sogar zu übertreffen.
• Frankreich: Frankreich ist bereits führend im Bereich der Cybersicherheit im Gesundheitswesen. Das 2023 ins Leben gerufene französische CaRE-Programm soll im Rahmen des neuen Aktionsplans weiter ausgebaut werden. Das mit erheblichen Mitteln ausgestattete Programm stellt Krankenhäusern einen geprüften Katalog an Cybersicherheits-Tools zur Verfügung und legt den Schwerpunkt auf eine koordinierte Beschaffung. Französische Krankenhäuser müssen sich auf verschärfte Vorschriften, strengere Meldepflichten und eine engere Zusammenarbeit mit nationalen Cybersicherheitsbehörden wie der Agence nationale de la sécurité des systèmes d’information (ANSSI) einstellen.
• Deutschland: Der Ansatz Deutschlands sieht eine Aktualisierung der Schutzmaßnahmen für kritische Infrastrukturen vor. Obwohl die Umsetzung der NIS2-Richtlinie zunächst nur schleppend vorankam, strebt Deutschland eine vollständige Umsetzung bis Anfang 2025 an. Die bestehenden Richtlinien für große Krankenhäuser werden auf weitere Gesundheitsdienstleister ausgeweitet, und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird voraussichtlich eine noch aktivere Rolle spielen. Deutsche Krankenhäuser sollten sich auf strengere Anforderungen an die Meldung von Vorfällen und eine verstärkte behördliche Aufsicht einstellen, verbunden mit zusätzlichen finanziellen Anreizen für Investitionen in die Cybersicherheit.
   

Zeitplan und wichtige Meilensteine
Der Plan soll zügig umgesetzt werden:

• Januar 2025: Offizielle Bekanntgabe und Beginn der Konsultationen mit den Interessengruppen.
• Mitte 2025: Die Mitgliedstaaten beginnen mit der Umsetzung von NIS2, und es werden spezifische Leitlinien für das Gesundheitswesen veröffentlicht.
• Ende 2025: Wichtige Maßnahmen wie Leitfäden für die Reaktion auf Vorfälle und verbindliche Meldeverfahren für Ransomware-Angriffe werden umgesetzt.
• Anfang bis Mitte 2026: Einführung des EU-weiten Frühwarnsystems, das Warnmeldungen zu potenziellen Cyberbedrohungen nahezu in Echtzeit bereitstellt. Umsetzung des Schnellreaktionsdienstes im Rahmen der EU-Cybersicherheitsreserve und Einführung von Cybersicherheitsgutscheinen für berechtigte Gesundheitsdienstleister.
• Nach 2026: Fortlaufende Integration von Cybersicherheitsmaßnahmen in den täglichen Betrieb im Gesundheitswesen, begleitet von regelmäßigen Überprüfungen und Aktualisierungen.
   

Wie Getronics „
“ unterstützen Getronics Die Anpassung an diese sich ständig weiterentwickelnden Cybersicherheitsvorschriften kann eine Herausforderung darstellen. Getronics verfügt über fundiertes Fachwissen in den Bereichen IT-Managed-Services und Gesundheitstechnologie und ist damit in einer einzigartigen Position, um Organisationen bei diesem Übergang zu unterstützen. Unsere Dienstleistungen reichen von Risikobewertungen und Compliance-Beratung bis hin zur Rund-um-die-Uhr-Überwachung von Bedrohungen und der schnellen Reaktion auf Vorfälle. Durch eine Partnerschaft mit Getronics stellen Gesundheitsdienstleister sicher, dass sie nicht nur die neuen regulatorischen Anforderungen erfüllen, sondern auch eine robuste, widerstandsfähige Cyberabwehr aufbauen, die eine sichere und unterbrechungsfreie Patientenversorgung gewährleistet.

Getronics bereits mehrere Schritte in Richtung Gesundheitswesen unternommen. Das Unternehmen unterstützt den Einsatz von Wi-Fi 7 in Krankenhäusern und untersucht die Rolle der KI in der Medizin.

Nehmen Sie Getronics Kontakt mit Getronics auf, damit wir Ihnen helfen können, sich in der komplexen Welt der Cybersicherheit im sich wandelnden Gesundheitswesen zurechtzufinden.

Verfasst von Rob Nidschelm, Leiter für operative Sicherheit bei Getronics .

UPDATE 27.08.2025:
Cyberkriminelle haben den europäischen Gesundheitssektor zu einem ihrer bevorzugten Ziele gemacht, wobei Ransomware- und Lieferkettenangriffe Krankenhäuser und Patienten ernsthaft gefährden.

Anfang dieses Jahres haben wir unseren ersten Beitrag zum Thema „Sicherheit im Gesundheitswesen: Der Aktionsplan der EU“ veröffentlicht.

Dieses Sicherheitsupdate zum Gesundheitswesen befasst sich damit, wie der Plan in den nächsten zwei Jahren schrittweise umgesetzt wird und was Organisationen im Gesundheitswesen über das Jahr 2026 hinaus erwarten sollten. Dieser Plan ist nicht nur eine weitere Leitlinie. Es handelt sich um eine koordinierte EU-weite Initiative, die darauf abzielt, die Widerstandsfähigkeit zu stärken, Kompetenzen aufzubauen und im Falle eines Angriffs schnelle Unterstützung zu leisten.

Was der Aktionsplan umfasst
Ein europäisches Center zur Unterstützung der Cybersicherheit

Ein eigens eingerichtetes Center Krankenhäuser und andere Leistungserbringer direkt unterstützen. Es wird als Drehscheibe für die Vorsorge, Erkennung und Reaktion auf Vorfälle dienen. In den Mitgliedstaaten werden Pilotprojekte gestartet, um bewährte Verfahren in den Bereichen Cyberhygiene, Risikobewertung und kontinuierliche Überwachung zu erproben.

Die regulatorische Landschaft im Überblick

Einrichtungen des Gesundheitswesens sehen sich mit einem Flickenteppich aus Rechtsvorschriften konfrontiert. Der Aktionsplan umfasst ein Tool zur Erfassung der regulatorischen Rahmenbedingungen, das den Anbietern helfen soll, sich in NIS2, der DSGVO, dem Cyber Resilience Act und anderen sich überschneidenden Vorschriften zurechtzufinden. Parallel dazu wird eine koordinierte Risikobewertung durchgeführt, deren Schwerpunkt auf Medizinprodukten und cloudbasierten Patientendaten liegt.

Incident Response und die Cybersicherheitsreserve

Das „Cyber Solidarity Act“ ermöglicht Krankenhäusern in Krisenzeiten den Zugang zu vertrauenswürdigen privaten Anbietern. Es wird ein speziell auf das Gesundheitswesen zugeschnittenes Cyber-Handbuch erstellt, und es werden regelmäßig Cyber-Übungen auf EU-Ebene durchgeführt. Angesichts der Tatsache, dass Ransomware in den letzten Jahren für mehr als die Hälfte der Vorfälle im Gesundheitswesen verantwortlich war, kann die Bedeutung dieser Maßnahmen gar nicht hoch genug eingeschätzt werden. Gemäß NIS2 müssen zudem alle Lösegeldzahlungen gemeldet werden.

Frühwarnsystem

Ein EU-weiter Frühwarnservice wird nahezu in Echtzeit Warnmeldungen zu Bedrohungen im Gesundheitswesen bereitstellen. Krankenhäuser werden Meldungen über Vorfälle über das Center an die ENISA weiterleiten, um eine rasche Verbreitung der Informationen zu gewährleisten.

Belegschaft und Unternehmensführung

Cybersicherheitsteams im Gesundheitswesen sind chronisch unterbesetzt. Laut ISC2 nennen drei Viertel der Fachkräfte Personalengpässe als ein großes Risiko. Um diesem Problem entgegenzuwirken, wird im Rahmen des Sicherheitsupdates für das Gesundheitswesen ein europäisches Netzwerk der CISOs im Gesundheitswesen eingeführt, das Führungskräfte miteinander vernetzt, den Austausch von Fachwissen fördert und die kollektive Widerstandsfähigkeit stärkt.

Zeitplan der wichtigsten Maßnahmen
Phase 1: 2025–2026 (erste Einführungsphase)

Zeitrahmen Wichtige Maßnahmen
Januar 2025: Offizieller Start des Aktionsplans; Beginn der Konsultationen mit den Interessengruppen.
2. Quartal 2025: Erste Pilotprojekte zur Cyberhygiene in Krankenhäusern und zur Vorbereitung auf Vorfälle.
Mitte 2025: Einrichtung des Europäischen Center für Cybersicherheit.
3. Quartal 2025: Einführung des EU-weiten Frühwarnsystems für das Gesundheitswesen und von Bedrohungswarnungen.
4. Quartal 2025:Erste koordinierte Risikobewertung der Lieferkette; Veröffentlichung präziser Empfehlungen.
Anfang 2026:Veröffentlichung des Leitfadens zur Reaktion auf Cybervorfälle im Gesundheitswesen; Beginn EU-weiter Cyberübungen.
Im Laufe des Jahres 2026:Fortlaufende Einführung von Tools zur Reaktion und Wiederherstellung, einschließlich Schnellreaktionsdiensten und Entschlüsselungs-Repositorien.
 

Phase 2: Nach 2026 (strategische Expansion)

Zeitrahmen – Wichtige Maßnahmen
Ende 2026 – 2027:VeröffentlichungweitererEmpfehlungen durch die Kommission auf der Grundlage der Ergebnisse der Pilotprojekte und der Konsultationen.
Nach 2026 Fortlaufend:Fortsetzung der Arbeit des Beirats für Cybersicherheit im Gesundheitswesen und der nationalen Unterstützungszentren.
2027 und darüber hinaus:Entwicklung eines europäischen Binnenmarkts für Cybersicherheit mit klareren Budgets, messbaren Zielen und erweiterten EU-weiten Cyberübungen.
2030–2035:Übergang zur Einführung der Post-Quanten-Kryptografie in kritischen Gesundheitssystemen.
Fortlaufend:Integration der Sicherheit im Gesundheitswesen in umfassendere EU-Rahmenwerke, darunter NIS2, das Gesetz zur Cyberresilienz und das Gesetz zur Cybersolidarität, mit entsprechend angepassten Mandaten.
 

Weiterer gesetzlicher Kontext
Der Aktionsplan ergänzt die jüngsten EU-Verordnungen, die die Sicherheitslandschaft neu gestalten:

• NIS2-Richtlinie ( in Kraft seit Dezember 2022): Erweitert die Anforderungen für kritische Sektoren, darunter das Gesundheitswesen, und sieht harmonisierte Vorschriften für die Meldung von Vorfällen vor.
• Cyber Resilience Act (CRA) (verabschiedet im Oktober 2024): Der Schwerpunkt liegt auf Produkten mit digitalen Komponenten wie beispielsweise Medizinprodukten, für die ein Schwachstellenmanagement und Sicherheitsupdates vorgeschrieben sind.
• Gesetz zur digitalen Betriebsresilienz ( DORA) (in Kraft ab Januar 2025): Zielt auf den Finanzsektor ab, hat jedoch auch Auswirkungen auf IKT-Dienstleister in Ökosystemen des Gesundheitswesens.
   

Warum dies wichtig ist
Krankenhäuser können sich Ausfallzeiten nicht leisten. Ein Ransomware-Angriff, der Patientenakten offline schaltet oder vernetzte Geräte lahmlegt, kann Menschenleben gefährden. Der EU-Aktionsplan steht für einen Wandel von reaktiven Maßnahmen hin zum strukturierten Aufbau von Widerstandsfähigkeit. Durch die Einrichtung eines Center, eines CISO-Netzwerks und eines auf Echtzeit-Informationen basierenden Leitfadens unternimmt Europa einen wichtigen Schritt zum Schutz des Gesundheitswesens.

Bei Getronics unterstützen wir Gesundheitsdienstleister dabei, die Anforderungen von NIS2, DORA, ISO 27001 und branchenspezifischen Richtlinien zu erfüllen. Mit unseren Managed Security Services, unserer Expertise im Bereich Threat Intelligence und unserer Kompetenz bei der Reaktion auf Sicherheitsvorfälle können wir Unternehmen dabei unterstützen, sich auf die neuen europäischen Rahmenbedingungen vorzubereiten. Wir nehmen jedes Sicherheitsupdate im Gesundheitswesen ernst, um konsistenten und stets aktuellen Support zu bieten.