Health IT Compliance: NIS-2, KHZG und MDR im Griff
Was ist Health IT Compliance?
Health IT Compliance bezeichnet die systematische Einhaltung aller gesetzlichen, vertraglichen und technischen Pflichten, die für IT-Systeme im Gesundheitswesen gelten. Die BSI-Broschüre Cybersicherheit im Gesundheitswesen 2025 dokumentiert einen Anstieg der Angriffe auf deutsche Krankenhäuser um 74 Prozent zwischen 2020 und 2024 – mit Schadenssummen in zweistelliger Millionenhöhe.
Health IT Compliance ist damit wirtschaftlicher Selbstschutz, kein Formalismus. Wer Verantwortung trägt, braucht einen Fahrplan, klare Zuständigkeiten und belastbare Dokumentation. Ein Sprung zum ISMS-Aufbau weiter unten liefert den roten Faden für die konkrete Umsetzung in KMU-Einrichtungen.
Schichten der Health IT Compliance
Health IT Compliance gliedert sich in drei Ebenen: regulatorisch, technisch, organisatorisch. Regulatorisch greifen Vorschriften aus DSGVO, MDR, DSG-EKD, KHZG und NIS-2 ineinander – teils national, teils europäisch geregelt. Technisch dominieren Datenstandards, Verschlüsselung und lückenlose Protokollierung. Organisatorisch zählen Rollen, Zuständigkeiten und Dokumentationspflichten jedes einzelnen Prozesses.
Der Blick auf Software im Gesundheitswesen zeigt, wie fragmentiert die Systemlandschaft tatsächlich ist. Zwischen KIS, PVS, Pflegeplattformen und Abrechnungsinseln entstehen Lücken, die kein Einzelsystem allein schließt. Health IT Compliance wirkt genau dort, wo Einzelsysteme aufeinandertreffen. Wo einfache Standardprodukte aus der Branchensoftware nicht mehr ausreichen, beginnt die eigentliche Gesundheits-IT-Compliance für KMU.
Bausteine der Health IT Compliance im Überblick
Die zentralen Bausteine in KMU-Einrichtungen:
- DSGVO-konforme Verarbeitung von Patientendaten
- MDR Software: Einstufung als Medizinprodukt
- NIS-2 Krankenhaus-Pflichten und Risikomanagement
- KHZG-Nachweise für geförderte Projekte
- ISMS Klinik nach BSI-Standard 200-1 bis 200-4
- DSG-EKD für konfessionelle Träger
- HL7, FHIR und DICOM für Datenaustausch
- BSI-Meldepflicht, Schwachstellenmanagement und Audit-Vorbereitung
Fällt jedes Krankenhaus unter NIS-2?
Ja – seit dem 5. Dezember 2025 ist die NIS-2 Umsetzung im Krankenhaus verpflichtend, unabhängig von Trägerform oder Größe. Krankenhäuser zählen als Essential Entities nach § 28 BSIG. Damit greifen IT-Compliance-Pflichten unmittelbar, ohne jede Übergangsfrist. Betroffen sind auch medizinische Versorgungszentren, Labore und spezialisierte Rehakliniken. Die Regulierung erreicht damit Träger, die bislang außerhalb klassischer KRITIS-Kategorien lagen. Wer das gesamte Feld der Health-IT überblickt, versteht schnell: Compliance wird vom Sonderfall zum Alltagsmodus. Auch für kleinere Einrichtungen gilt die NIS-2 Umsetzung im Krankenhaus als zentraler Maßstab, an dem Aufsichtsbehörden künftig messen.
Wann ist Software im Gesundheitswesen ein Medizinprodukt nach MDR?
Software wird zum Medizinprodukt, sobald sie einen medizinischen Zweck erfüllt – etwa Diagnose, Therapieentscheidung, Monitoring oder Prävention. Die MDR klassifiziert Software nach Risiko in die Klassen I, IIa, IIb und III. Reine Dokumentationssoftware bleibt meist außen vor; entscheidet eine Anwendung aber aktiv mit, rutscht sie schnell in Klasse IIa oder höher. Das ZQP-Assessment-Tool verdeutlicht den Grenzfall: Strukturierte Pflegeberatung liegt bewusst unterhalb der MDR-Grenze. MDR Software bedeutet CE-Kennzeichnung, technische Dokumentation und klinische Bewertung – plus regelmäßige Aktualisierung jeder Komponente. Wer diese Linie unterschätzt, riskiert Vertriebsverbot, Bußgelder und im Ernstfall einen Rückruf. Frühe Klärung erspart aufwendige Nachzertifizierungen.
Einstufung nach MDR-Klassen
Schnellcheck zur Zuordnung:
- Diagnose-Support oder Therapieentscheidung → mindestens Klasse IIa
- Monitoring vitaler Parameter → Klasse IIb
- Dosierungsempfehlungen → bis Klasse III möglich
- Reine Administration ohne Patientenbezug → kein Medizinprodukt
- Strukturierte Erfassung ohne Bewertung → in der Regel keine MDR Software
Compliance Krankenhaus: Meldepflichten und Fristen
Bei erheblichen Sicherheitsvorfällen gilt die Meldepflicht Krankenhaus 24 Stunden nach Kenntnisnahme an das BSI – eine Zwischenmeldung folgt binnen 72 Stunden, eine Schlussmeldung nach spätestens einem Monat. Compliance Krankenhaus endet damit nicht bei der Dokumentation, sondern verlangt operative Reaktionsfähigkeit rund um die Uhr. Der sichere KIM-Dienst deckt Teile der klinischen Kommunikation ab, aber nicht die BSI-Meldung selbst. Dafür braucht es ein separates Reporting-System, klare Vertretungsregeln und belastbare Kontaktketten. Wer zu spät meldet, haftet persönlich – auch dann, wenn die Ursache außerhalb der eigenen Einrichtung liegt. Gute BSI-Meldepflicht-Prozesse reduzieren zudem das Risiko, dass forensische Hinweise verloren gehen.
Health IT Compliance mit KHZG und ISMS verbinden
Health IT Compliance für Kliniken wird messbar, wenn KHZG-Fördermittel und NIS-2-Pflichten gleichzeitig bewirtschaftet werden. Das BMG verlangt in Fördernachweisen zunehmend belastbare Sicherheitsmaßnahmen; NIS-2 fordert ohnehin ein funktionierendes Informationssicherheits-Management. Beides lässt sich in einem einzigen ISMS-Rahmen abbilden. Die Ze.uS-Plattform zeigt exemplarisch, wie Rettungswachen-IT mit strukturierter Bestandsführung und nachvollziehbarem Audit-Pfad eine Grundlage für solche Nachweise schafft.
Gerade bei sektorübergreifenden Versorgungsketten zahlen Einmal-Investitionen doppelt ein. Ähnliches gilt für stationäre und ambulante Pflege – auch die KIM-Einführung in Pflegeeinrichtungen profitiert davon, wenn Compliance-Dokumentation von Anfang an mitgedacht wird. KHZG und NIS-2 verbinden heißt: Einmal aufbauen, zweimal nachweisen. Sinnvoll ist ein einziges Rahmenwerk, das beide Regime konsistent bedient.
KHZG-Nachweise strukturiert aufbauen
KHZG-Fördermittel verlangen ab Auszahlungszeitpunkt den Nachweis, dass Mittel zweckgebunden verwendet und Sicherheitsziele erreicht wurden. Der Reifegradnachweis erfolgt über den DigitalRadar des BMG. Gleichzeitig werden Reifegrade der IT-Sicherheit erfasst, die direkt in NIS-2-Prüfungen wiederverwendbar sind. Wer KHZG-Projekte ohne NIS-2-Brille aufsetzt, verdoppelt später den Aufwand. Sinnvoll ist deshalb eine Projektdokumentation, die Auditpfade, Artefakte und Risikoanalysen in derselben Struktur ablegt – unabhängig vom späteren Prüfregime. Gerade KMU profitieren davon, weil Personalressourcen für parallele Compliance-Projekte fast nie ausreichen. Eine gepflegte Risikoanalyse Gesundheitswesen bildet dabei das Rückgrat jeder Nachweiskette.
Synergien KHZG + NIS-2
Doppelt genutzte Bausteine aus KHZG- und NIS-2-Projekten:
- Risikoanalyse Gesundheitswesen als gemeinsame Grundlage
- Asset-Inventar und Schutzbedarfsfeststellung
- Netzsegmentierung und Zugangssteuerung
- Sicherheitskonzept und Notfallplan
- Audit-Vorbereitung mit einheitlichem Dokumentationsstandard
- Schulung des Personals in beiden Regimen
Compliance Krankenhaus: ISMS-Aufbau nach BSI-Standard
Ein ISMS im Krankenhaus aufbauen heißt: Informationssicherheit strukturiert plan- und prüfbar machen. Der BSI-Standard 200-1 liefert den Managementrahmen, 200-2 die Methodik, 200-3 die Risikoanalyse, 200-4 das Notfallmanagement. Für KMU-Kliniken reichen oft die Basis- und Standardanforderungen, ergänzt um einrichtungsspezifische Module. Compliance Krankenhaus wird damit nicht komplizierter als nötig, aber systematisch nachvollziehbar. Ein ISMS Klinik funktioniert nur, wenn alle Verantwortlichen an einem Strang ziehen – ohne klare Zuständigkeiten bleibt Dokumentation Papier. Ein gepflegtes ISMS Klinik ist außerdem die beste Vorbereitung auf jede behördliche Prüfung und macht Zertifizierungen nach ISO 27001 deutlich einfacher zugänglich.
IT-Compliance Gesundheitswesen in der Praxis
IT-Compliance Gesundheitswesen endet nicht mit dem fertigen Aktenordner. Sie zeigt sich im Alltag – in schnellen Reaktionszeiten, klaren Eskalationspfaden, funktionierenden Zugriffsrechten. Besonders KMU stolpern über drei Stellen: fehlende Vertretungsregeln, unklare Lieferantenketten und veraltete Berechtigungen. Genau hier entscheidet sich, ob Compliance Krankenhaus zur Pflichtübung oder zum echten Schutz wird. Gute Praxis folgt dem Prinzip: weniger dokumentieren, mehr leben. Auch die IT-Compliance in Kliniken lebt davon, dass Prozesse regelmäßig geübt und nicht nur beschrieben werden. Ob als Krankenhaus-Compliance, Klinik-Compliance oder Compliance der Health-IT bezeichnet – wer die IT-Compliance im Gesundheitssektor als Daueraufgabe versteht, spart Kosten und Nerven.
Wer haftet bei Cyber-Vorfällen im Krankenhaus?
Die Geschäftsführung haftet primär – persönlich und oft unbeschränkt. NIS-2 verankert diese Geschäftsleitungshaftung ausdrücklich; das KRITIS-Dachgesetz verschärft sie zusätzlich. Wer Schulungspflichten, Risikoanalysen oder Meldefristen vernachlässigt, steht im Schadensfall unmittelbar im Feuer. Ein sauber dokumentiertes Compliance-Programm ist der beste Haftungsschutz – nicht weil es Schäden vollständig verhindert, sondern weil es Sorgfalt nachweist. Im Zweifel entlastet die Dokumentation Geschäftsführung und Informationssicherheitsbeauftragten gemeinsam. Externe Dienstleister teilen die Haftung nicht, solange die Leitungsverantwortung nicht wirksam übertragen wurde. Auch versicherungstechnisch macht saubere Compliance einen messbaren Unterschied – Cyberpolicen greifen nur bei nachweisbarer Sorgfalt.
Rollen und Pflichten im Kurzüberblick
Die wichtigsten Rollen in der Health IT Compliance:
- Geschäftsführung: Haftung, Freigaben, Budgetverantwortung
- Informationssicherheitsbeauftragter ISB: operative Steuerung
- Datenschutzbeauftragter DSB: DSGVO- und DSG-EKD-Aufsicht
- IT-Leitung: technische Umsetzung und Patch-Management
- Qualitätsmanagement: Verzahnung mit Klinikprozessen
- Externe Dienstleister: Teilaufgaben ohne Haftungsübernahme
Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.
