Mit dem Inkrafttreten des EU AI Act, des Data Act und der NIS2-Richtlinie verschiebt sich die Aufgabe für Krankenhäuser grundlegend: Es geht nicht mehr um die Frage, ob regulatorische Anforderungen erfüllt werden müssen, sondern wie sie im Klinikalltag konkret funktionieren. Der Kern der neuen Lage ist, dass Cybersicherheit und KI-Compliance verbindliche Vorstandsverantwortung geworden sind. Zu Prioritäten für das Krankhausmanagement im neuen Rechtsumfeld gehört: NIS2 macht Geschäftsführer persönlich haftbar für Sicherheitsversäumnisse.
Der erste Schritt ist eine formelle Schwachstellenanalyse, die die größten operativen Risiken identifiziert. Darauf aufbauend gilt es, klare Verantwortlichkeiten auf Führungsebene zu etablieren: Eine benannte Person für Cybersicherheit, definierte Berichtslinien zum Vorstand und einen festen Agenda-Punkt „Cybersecurity" im Management. Ohne diese strukturelle Verankerung bleibt Compliance abstrakt.
Wo Krankenhäuser anfangen müssen
Für das Krankenhausmanagement stehen drei Themen an erster Stelle. Erstens Cybersicherheit als strategische Managementaufgabe, nicht als IT-Nebensache. Zweitens KI-Literacy: Der AI Act verpflichtet ab Februar 2025 alle Mitarbeitenden, die mit KI-Systemen arbeiten, zu ausreichender Kompetenz – technisch, regulatorisch und ethisch. Drittens Datenzugang und -interoperabilität gemäß Data Act, der ab September 2025 standardisierten Zugang zu maschinenlesbaren Gerätedaten für Patienten und Dritte fordert. (1)
Übersetzung in Klinikalltag
Regulatorische Anforderungen werden praktisch, indem sie in konkrete Prozesse gegossen werden. Risikomanagementsysteme identifizieren und bewerten KI-Gefahren systematisch. Transparente Entscheidungsprozesse machen nachvollziehbar, warum KI-gestützte Diagnosen getroffen werden. Dokumentierte Incident-Response-Pläne, regelmäßige Sicherheitsaudits und klar definierte Rollen im Störfall sichern die operative Resilienz. Regelmäßige Schulungen halten das Personal auf dem neuesten Stand.
Die Strafen bei Nichteinhaltung sind erheblich: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes beim AI Act, zusätzlich persönliche Haftung der Führungsebene bei NIS2. Doch der eigentliche Wert liegt nicht in der Vermeidung von Sanktionen, sondern in gestärktem Vertrauen in KI-gestützte Medizin und gewährleisteter Patientensicherheit. Krankenhäuser, die Cybersicherheit und KI-Compliance als strategische Investition in operative Stabilität begreifen, verwandeln regulatorischen Druck in Wettbewerbsvorteil.
(1) siehe auch: NIS2 in der Warteschleife, https://www.krankenhaus-it.de/print.37 ... in-der-warteschleife.html
Autor: Wolf-Dietrich Lorenz
Symbolbild: KI-Illustration, generiert mit ChatCPT/OpenAI
