Der ISB im Krankenhaus 2026: Rolle, Verantwortung und neue Anforderungen

Rahmenbedingungen 2026

Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht (NIS2UmsuCG) hat der Gesetzgeber die Anforderungen an Cyber-Sicherheit, Risikomanagement und Meldepflichten deutlich verschärft. Die NIS2-Regelungen sind seit Ende 2025 in Kraft. Parallel dazu wurde der Branchenspezifische Sicherheitsstandard (B3S) für Krankenhäuser aktualisiert (Version 1.3.1, Stand Januar 2026). Dieser Standard dient als maßgeblicher Bezugsrahmen für die Umsetzung eines Informationssicherheits-Managementsystems (ISMS) im Krankenhaus und ist insbesondere für KRITIS-Betreiber relevant.

Die Rolle des Informationssicherheitsbeauftragten heute

Der Informationssicherheitsbeauftragte (ISB) hat in Krankenhäusern eine zentrale Rolle: Er ist nicht nur Sicherheitsexperte, sondern auch Berater und Bindeglied zur Geschäftsleitung und anderen Fachbereichen. Zu seinen Kernaufgaben zählen u. a.:

• Aufbau und Pflege eines Informationssicherheitsmanagementsystems (ISMS),
• Identifikation, Bewertung und Steuerung von Informationsrisiken,
• Beratung zu technischen, organisatorischen und rechtlichen Sicherheitsanforderungen,
• Kommunikation mit internen und externen Stakeholdern (IT, Leitung, Medizintechnik, Datenschutz) und dem BSI.

Neue Themen und Schwerpunkte 2026

NIS2-Compliance und Meldepflichten

Ein zentrales Thema 2026 ist die Umsetzung der NIS2-Anforderungen auf Organisationsebene. Die Richtlinie verlangt eine ganzheitliche Sicht auf organisatorische und technische Risiken, nicht nur für interne Systeme, sondern auch für Lieferanten und Drittanbieter. Krankenhäuser müssen zudem Sicherheitsvorfälle schnell melden und Nachweise über ihre Schutz- und Resilienz-Maßnahmen dokumentieren.

B3S-Umsetzung und Audits

Durch die aktualisierte Fassung des Branchenspezifischen Sicherheitsstandards (B3S 1.3.1) steigt die Bedeutung eines strukturierten Nachweises der Informationssicherheit. Der ISB muss sicherstellen, dass Maßnahmen gemäß B3S nicht nur implementiert sind, sondern auch regelmäßig überprüft und auditiert werden können.

Lieferketten-Risiken

Unter NIS2 sind alle Krankenhäuser verpflichtet, auch Risikofaktoren bei Dritt-Dienstleistern zu identifizieren und fortlaufend zu bewerten. Das betrifft insbesondere Software- und Cloud-Anbieter, Medizintechnik-Hersteller und externe IT-Dienstleister. Diese Herausforderungen erfordern neue Steuerungsprozesse, klare vertragliche Regelungen und kontinuierliche Überwachung.

Notfallplanung und BCM

Cyber-Resilienz ist ein zentraler Schwerpunkt: Der ISB muss Sorge dafür tragen, dass es einen möglichst umfassenden Notfallplan für einen Cyberangriff gibt und dass sukzessive Notfallübungen erfolgen. Zudem muss ein Konzept für das Business Continuity Management erstellt werden, das beispielsweise Wiederanlaufstrategien und abgestimmte Prozesse zwischen IT, klinischem Betrieb und Management enthält.

Kennzahlen & Reifegrade

Ein weiterer Fokus liegt auf metrischen Nachweisen: Informationssicherheitskennzahlen, Reifegradbewertungen und kontinuierliche Verbesserungsprozesse gewinnen an Relevanz, um Fortschritte messbar zu machen und gegenüber Audits oder Aufsichtsbehörden zu belegen.

Herausforderungen für den ISB

Die Verschärfung der regulatorischen Anforderungen bringt konkrete Herausforderungen mit sich:

• Regulatorische Komplexität: ISB müssen verschiedene Rechts- und Branchenstandards zusammenführen und harmonisieren.
• Organisatorische Integration: Sicherheitsprozesse müssen in klinische und administrative Abläufe eingebettet werden.
• Ressourcen: Zeit-, Personal- und Budgetengpässe erschweren die Umsetzung.
• Awareness: Sensibilisierung aller Mitarbeitenden ist wichtiger denn je.

Fazit

2026 ist das Jahr, in dem Informationssicherheit im Krankenhaus nicht mehr nur IT-Thema, sondern Management-Thema sein wird. Für den ISB bedeutet dies eine Weiterentwicklung zur strategischen Führungsrolle, die technisch-organisatorisches Verständnis mit unternehmerischem Denken verbindet und eine gesteigerte Verantwortung enthält. Die Anforderungen aus NIS2, B3S und dem nationalen Recht machen Informationssicherheit zu einem integralen und audit-fähigen Bestandteil klinischer Prozesse – zum Schutz der Patientendaten, zur Gewährleistung der Versorgungssicherheit und zur Stärkung der klinischen Resilienz. Daraus folgt: Informationssicherheit im Krankenhaus ist kein Nebenprojekt – sie ist Führungsaufgabe.

Adiccon stellt Ihnen erfahrene Informationssicherheitsexperten zur Seite, die beispielsweise die Rolle des externen ISB übernehmen und Ihr Haus sicher durch regulatorische Anforderungen, KRITIS- und NIS2.0-Vorgaben und reale Bedrohungslagen führen.
Wir sorgen nicht nur für Konzepte, sondern für konkrete, wirksame Maßnahmen, die Ihr Sicherheitsniveau spürbar erhöhen – strukturiert, praxisnah und umsetzungsorientiert.

Ihr zusätzlicher Wissensvorsprung:
Unser kostenfreier ISB-Stammtisch (4× jährlich, online) bringt Sie in den Austausch mit Fachkollegen zu aktuellen Angriffsszenarien, Prüfanforderungen und Best Practices.

Sichern Sie Ihr Krankenhaus strategisch ab – sprechen Sie mit uns:

Mobil 0160 90997764 – Hier können Sie sich auch zum ISB-Stammtisch anmelden – wir freuen uns darauf.