KHZG und NIS-2: Synergieeffekte für ein digitales und sicheres Gesundheitswesen

  • Newsletter
  • 3 Minuten Lesezeit
  • 06 Dez 2024

Das Krankenhauszukunftsgesetz (KHZG) und die NIS2-Richtlinie sind zwei zentrale Regelwerke, die die Digitalisierung und IT-Sicherheit im deutschen Gesundheitswesen maßgeblich beeinflussen. Beide setzen Akzente in den Bereichen Digitalisierung und Cybersicherheit, wobei das KHZG finanzielle Förderung für Digitalisierungsprojekte bereitstellt und NIS-2 die Cybersicherheitsanforderungen in kritischen Infrastrukturen verschärft. Die Verbindung beider Regelungen zeigt sich in der Notwendigkeit, durch fortschreitende Digitalisierung auch die Cybersicherheit im Gesundheitswesen zu stärken.

KHZG: Digitalisierung und Modernisierung des Gesundheitswesens

Das KHZG, in Kraft seit 2020, soll die Digitalisierung deutscher Krankenhäuser fördern und die Patientenversorgung durch moderne Technologien verbessern. Dafür stellte die Bundesregierung bis zu 4,3 Milliarden Euro bereit. Wichtige Fördertatbestände umfassen die Einführung digitaler Patientenakten, Telemedizinanwendungen und IT-Sicherheitsmaßnahmen.

Rechtlich wird die Förderung über das Krankenhausfinanzierungsgesetz (KHG) und das Sozialgesetzbuch (SGB) geregelt. § 14a und § 14b KHG legen die Fördergrundlagen und die Verwaltung des Krankenhauszukunftsfonds fest, während § 21 Abs. 2 KHG Meldepflichten zur IT-Sicherheit einführt und § 275d SGB V die IT-Sicherheitsprüfung durch den Medizinischen Dienst ermöglicht (KHG §§ 14a, 14b, 21 Abs. 2; SGB V § 275d).

NIS-2: Cybersicherheit in kritischen Infrastrukturen

Die NIS-2-Richtlinie (Network and Information Security Directive) harmonisiert und verschärft EU-weit die Cybersicherheitsstandards, speziell für kritische Infrastrukturen wie den Gesundheitssektor. Die Richtlinie verpflichtet Gesundheitseinrichtungen, technische und organisatorische Sicherheitsmaßnahmen umzusetzen, um vor Cyberangriffen geschützt zu sein.

Wichtige Bestimmungen sind:

  • Sicherheitsanforderungen: Strenge Anforderungen an die Cybersicherheit (Artikel 4).
  • Risikomanagement und Meldesysteme: Verpflichtung zu einem Risikomanagement und zur Meldung von Vorfällen innerhalb von 24 Stunden (Artikel 7).
  • Sanktionen bei Verstößen: Konsequenzen für Nichteinhaltung (Artikel 11).
  • Zusammenarbeit und Informationsaustausch: Förderung der Zusammenarbeit zwischen Einrichtungen und Behörden (Artikel 17).

Gesundheitseinrichtungen fallen als „wesentliche Einrichtungen“ unter die Bestimmungen der NIS-2. 

Schnittstellen zwischen KHZG und NIS-2

Das Krankenhauszukunftsgesetz (KHZG) und die neue EU-Richtlinie NIS-2 greifen in entscheidenden Punkten ineinander: Durch das KHZG werden gezielt Fördermittel für IT-Sicherheitsmaßnahmen bereitgestellt, die Krankenhäuser benötigen, um die strengen Anforderungen der NIS-2-Richtlinie zu erfüllen. Gesundheitseinrichtungen, die zur kritischen Infrastruktur zählen, sind daher verpflichtet, sich an die erweiterten Cybersicherheitsstandards der NIS-2 zu halten.

In der Praxis bedeutet das:

  1. Finanzierung von Cybersicherheitsmaßnahmen: Das KHZG stellt Mittel bereit, um Cybersicherheitsstandards der NIS-2 umzusetzen, z. B. für Firewalls und Notfallkonzepte.
  2. Rechtliche Verpflichtungen und Förderbedingungen: Die NIS-2-Anforderungen an die Cybersicherheit werden durch die KHZG-Förderung unterstützt.
  3. Audits und Risikoanalysen: KHZG-geförderte Maßnahmen wie Risikoanalysen decken sich mit den NIS-2-Vorgaben zur kontinuierlichen Überprüfung.
  4. IT-Sicherheitsstrategie: Durch die KHZG-Förderung können Krankenhäuser den Reifegrad ihrer IT-Sicherheit an die verpflichtenden NIS-2-Standards anpassen.

Sie haben Fragen?

Kontaktieren Sie unsere Expert:innen

Herausforderungen meistern und das Gesundheitswesen zukunftsfähig gestalten

Die Umsetzung der KHZG-Fördermaßnahmen und die Einhaltung der NIS2-Anforderungen stellen Gesundheitseinrichtungen vor erhebliche organisatorische und personelle Herausforderungen. Insbesondere die zunehmende Nachfrage nach qualifizierten Fachkräften und die komplexe Koordination von Förderprogrammen und Audits belasten die Ressourcen vieler Kliniken und Einrichtungen. Obwohl das KHZG finanzielle Unterstützung für Cybersicherheitsmaßnahmen bietet, bleibt die Erfüllung der strengen Standards anspruchsvoll, erfordert kontinuierliche Anpassungen und bindet Ressourcen.

Trotz dieser Herausforderungen schaffen KHZG und NIS-2 zusammen die Basis für ein sicheres und zukunftsfähiges Gesundheitswesen in Deutschland. Während das KHZG den Einrichtungen die nötigen finanziellen Mittel zur Verfügung stellt, ist die NIS2-Richtlinie Teil einen verbindlichen Rahmen, um Cybersicherheitsstandards einheitlich zu etablieren. Diese enge Verzahnung von finanzieller Förderung und regulatorischer Vorgabe stärkt die IT-Sicherheit und Effizienz im Gesundheitswesen und bereitet es auf künftige Anforderungen vor – so entsteht ein modernes und widerstandsfähiges Gesundheitssystem, das auf digitale und sichere Prozesse ausgerichtet ist.

Was können Gesundheitseinrichtungen nun tun?

  • Regelmäßige Sicherheitsupdates und Patches
  • Schulung und Sensibilisierung des Personals
  • Risiko-Check
  • Absicherung der Geschäftsführungs-Haftung durch stabile und rechtssichere Prozesse
  • Einsatz von E-Health-Lösungen
  • Redundante Systeme und Backups
  • Automatisierung und Digitalisierung
  • Künstliche Intelligenz und Big Data
  • Entwicklung und Implementierung von Notfallplänen
  • Simulations- und Schulungsprogramme
  • Netzwerkbildung und Kooperationen unterschiedlicher Stakeholder Gemeinsame Sicherheitsstandards und Protokolle

Die Autor:innen

Jutta Dillschneider
Jutta Dillschneider

Rechtsanwältin und Fachanwältin für Medizin- und Arbeitsrecht, PwC Germany

Rechtsanwältin und Fachanwältin für Medizin- und Arbeitsrecht
Patrick Reintges
Patrick Reintges

Manager, Cyber Security & Privacy, PwC Germany

Manager, Cyber Security & Privacy bei PwC Deutschland
Jörg Asma
Jörg Asma

Partner, Cyber Security & Privacy, PwC Germany

Partner, Cyber Security & Privacy bei PwC Deutschland
Follow us