27.08.2025
Cyberkriminelle haben den europäischen Gesundheitssektor zu einem ihrer bevorzugten Ziele gemacht. Ransomware und Angriffe auf die Lieferkette gefährden Krankenhäuser und Patienten ernsthaft.
Anfang des Jahres haben wir unsere erste Stellungnahme zur Sicherheit im Gesundheitswesen veröffentlicht : Der Aktionsplan der EU.
Dieses Update zur Sicherheit im Gesundheitswesen befasst sich damit, wie der Plan in den nächsten zwei Jahren schrittweise umgesetzt wird und was Gesundheitseinrichtungen nach 2026 zu erwarten haben. Dieser Plan ist nicht nur ein weiterer Leitfaden. Er ist eine koordinierte EU-weite Initiative zur Stärkung der Widerstandsfähigkeit, zum Aufbau von Fähigkeiten und zur schnellen Unterstützung im Falle eines Angriffs.
Was der Aktionsplan beinhaltet
Ein europäisches Center zur Unterstützung der Cybersicherheit
Ein spezielles Center wird Krankenhäusern und anderen Anbietern direkte Unterstützung bieten. Es wird als Drehscheibe für die Bereitschaft, Erkennung und Reaktion auf Vorfälle fungieren. In den Mitgliedstaaten werden Pilotprojekte gestartet, um bewährte Verfahren für Cyberhygiene, Risikobewertung und kontinuierliche Überwachung zu testen.
Kartierung der Regulierungslandschaft
Organisationen des Gesundheitswesens sind mit einem Flickenteppich von Rechtsvorschriften konfrontiert. Der Aktionsplan umfasst ein Instrument zur Kartierung von Vorschriften, das den Anbietern helfen soll, sich in NIS2, GDPR, dem Gesetz zur Cyber-Resilienz und anderen sich überschneidenden Vorschriften zurechtzufinden. Parallel dazu wird eine koordinierte Risikobewertung durchgeführt, die sich auf medizinische Geräte und cloudbasierte Patientendaten konzentriert.
Reaktion auf Zwischenfälle und die Cybersecurity-Reserve
Das Cyber-Solidaritätsgesetz gibt Krankenhäusern in Krisenzeiten Zugang zu vertrauenswürdigen privaten Anbietern. Neben regelmäßigen Cyber-Übungen auf EU-Ebene wird ein für das Gesundheitswesen spezifisches Cyber-Handbuch erstellt. Da Ransomware in den letzten Jahren für mehr als die Hälfte der Vorfälle im Gesundheitswesen verantwortlich war, kann die Bedeutung dieser Maßnahmen nicht hoch genug eingeschätzt werden. Im Rahmen von NIS2 müssen auch alle Lösegeldzahlungen gemeldet werden.
Frühwarnsystem
Ein EU-weiter Frühwarndienst wird nahezu in Echtzeit vor Bedrohungen warnen, die speziell den Gesundheitssektor betreffen. Die Krankenhäuser werden der ENISA über das Center Meldungen über Vorfälle übermitteln, um sicherzustellen, dass die Informationen schnell verbreitet werden.
Arbeitskräfte und Governance
Cybersecurity-Teams im Gesundheitswesen sind chronisch unterbesetzt. Laut ISC2 geben drei Viertel der Fachleute an, dass Personalmangel ein großes Risiko darstellt. Um dieses Problem zu beheben, führt das Sicherheitsupdate für das Gesundheitswesen ein europäisches Netzwerk für CISOs im Gesundheitswesen ein, um Führungskräfte zu vernetzen, Fachwissen auszutauschen und kollektive Widerstandsfähigkeit aufzubauen.
Zeitleiste der wichtigsten Aktionen
Phase 1: 2025-2026 (anfänglicher Roll-Out)
| Zeitrahmen | Wichtige Maßnahmen |
| Januar 2025 | Offizieller Start des Aktionsplans; Beginn der Konsultationen mit den Interessengruppen. |
| Q2 2025 | Erste Pilotprojekte zur Cyberhygiene in Krankenhäusern und zur Bereitschaft für Zwischenfälle. |
| Mitte 2025 | Einrichtung des Europäischen Center zur Unterstützung der Cybersicherheit. |
| Q3 2025 | Einführung des EU-weiten Frühwarndienstes für das Gesundheitswesen und von Gefahrenwarnungen. |
| Q4 2025 | Erste koordinierte Risikobewertung der Lieferkette; verfeinerte Empfehlungen werden herausgegeben. |
| Anfang 2026 | Veröffentlichung des Handbuchs für die Reaktion auf Cybervorfälle im Gesundheitswesen; Beginn der EU-weiten Cyber-Übungen. |
| Während des gesamten Jahres 2026 | Laufende Bereitstellung von Reaktions- und Wiederherstellungswerkzeugen, einschließlich Schnellreaktionsdiensten und Entschlüsselungsspeichern. |
Phase 2: Nach 2026 (Strategische Erweiterung)
| Zeitrahmen | Wichtige Maßnahmen |
| Ende 2026 - 2027 | Von der Kommission veröffentlichte zusätzliche Empfehlungen, die auf den Ergebnissen von Pilotprojekten und Konsultationen aufbauen. |
| Nach 2026 Laufend | Fortführung der Arbeit des Beirats für Cybersicherheit im Gesundheitswesen und der nationalen Unterstützungszentren. |
| 2027 und darüber hinaus | Entwicklung eines europäischen Binnenmarktes für Cybersicherheit mit klareren Budgets, messbaren Zielen und erweiterten EU-weiten Cyberübungen. |
| 2030-2035 | Übergang zur Einführung der Post-Quantum-Kryptographie in kritischen Gesundheitssystemen. |
| Kontinuierlich | Integration der Sicherheit im Gesundheitswesen in umfassendere EU-Rahmenwerke, darunter NIS2, das Gesetz zur Cyberresilienz und das Gesetz zur Cybersolidarität, mit sich entsprechend weiterentwickelnden Mandaten. |
Weiterer gesetzgeberischer Kontext
Der Aktionsplan ergänzt die jüngsten EU-Verordnungen, die die Sicherheitslandschaft umgestalten:
- NIS2-Richtlinie (seit Januar 2023 in Kraft): Erweitert die Anforderungen für wichtige Sektoren, einschließlich des Gesundheitswesens, mit harmonisierten Regeln für die Meldung von Zwischenfällen.
- Cyber Resilience Act (CRA) (angenommen im Oktober 2024): Konzentriert sich auf Produkte mit digitalen Elementen, wie z. B. medizinische Geräte, und erfordert Schwachstellenmanagement und Sicherheitsupdates.
- Digital Operational Resilience Act (DORA) (gültig ab Januar 2025): Zielt auf den Finanzsektor ab, wirkt sich aber auch auf IKT-Dienstleister in Gesundheitsökosystemen aus.
Warum das wichtig ist
Krankenhäuser können sich keine Ausfallzeiten leisten. Ein Ransomware-Angriff, der Patientendaten offline nimmt oder angeschlossene Geräte unterbricht, kann Leben gefährden. Der EU-Aktionsplan stellt eine Verlagerung von reaktiven Reaktionen hin zum strukturierten Aufbau von Widerstandsfähigkeit dar. Durch die Einrichtung eines Support Center, eines CISO-Netzwerks und eines durch Echtzeitdaten gestützten Handbuchs unternimmt Europa einen wichtigen Schritt zum Schutz der Gesundheitsversorgung.
Unter Getronicshelfen wir Gesundheitsdienstleistern bei der Anpassung an NIS2, DORA, ISO 27001 und sektorspezifische Richtlinien. Unsere Managed Security Services, Threat Intelligence und Incident Response-Expertise können Organisationen bei der Vorbereitung auf die neue europäische Landschaft unterstützen. Wir nehmen jede Sicherheitsaktualisierung im Gesundheitswesen ernst, um konsistente und aktuelle Unterstützung zu bieten.
