Im Dezember 2025 stand Cybersicherheit im Krankenhaus beim Health IT Talk Berlin Brandenburg im Mittelpunkt. Die Anforderungen an Cybersicherheit werden für Unter-nehmen aller Branchen und Größen in Deutschland spürbar verschärft. Mit der Verab-schiedung des NIS2-Umsetzungsgesetzes im Bundestag steht eine entscheidende Regulierungsstufe bevor. Chefs können privat in Haftung genommen werden, wenn sie ihren Verpflichtungen zur Cybersicherheit nicht nachkommen. Lorenz Wascher und Karolina Vonkova (Rechtsanwälte bei Dentons Berlin), was das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für Kliniken bedeutet und gaben Handlungsempfehlungen für mehr Sicherheit.

Der Health IT Talk ist eine Hybridveranstaltung. Moderation übernahm Stefan Zorn (SIBB).

Mit der Umsetzung der NIS-2-Richtlinie im BSIG („BSIG-E)1 steigen die Anforderungen an Unternehmen, ihre Cybersicherheitsmaßnahmen systematisch zu planen, umzusetzen und zu überwachen. Besonders im Fokus steht dabei die Verantwortung der Geschäftsleitung: Sie muss gewährleisten, dass Cybersicherheit integraler Bestandteil der Geschäfte des Unternehmens und des Risikomanagements ist. Diese besondere Verantwortung der Geschäftsleitungen ist gesetzlich vorgeschrieben, ebenso wie eine Schulungspflicht für die Geschäftsleitungen.

Geschäftsleiterhaftung

Billigung und Überwachung Pflichten, § 38 Absatz 1BSIG)
Vorstände und Geschäftsführer müssen alle wesentlichen Cybersicherheitsmaßnahmen ihres Unternehmens formal billigen und deren Umsetzung dauerhaft beaufsichtigen. Eine Delegation auf Dritte, etwa allein auf die IT Abteilung oder einen ISB, wäre unzulässig.

Persönliche Haftung (§ 38 Abs. 2 BSIG)
Kommen die Leitungsorgane diesem Pflichten nicht nach, haften Sie persönlich gegenüber der eigenen Gesellschaft auf Schadenersatz. Die Haftung greift bei schuldhafter Verletzung der Cybersicherheit Pflichten und umfasst sämtliche resultierenden Schäden für die Einrichtung. Besonders brisant: Auch Behördenbußgelder sind erfasst, die aufgrund von Pflichtverletzungen verhängt werden.

Unverzichtbarkeit der Haftung
Ein Verzicht auf solche Ersatzansprüche oder ein interner Haftungserlass ist gesetzlich ausgeschlossen. Anders als in vielen anderen Compliance-Bereichen können Aufsichtsräte dem Geschäftsleiter keine Absolution erteilen.

Schulungspflichten (§ 38 Absatz 4 BSIG)
Geschäftsführer müssen regelmäßig an Schulungen zur Cybersicherheit teilnehmen, damit sie ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken einschätzen und angemessene Sicherheitsmaßnahmen steuern zu können (alle drei Jahre). Das ist: Erkennung und Bewertung von Risiken, Risikomanagementpraktiken, Beurteilung der Auswirkungen von Risiken.

Ultima Ratio: Bei gravierenden Mängeln können durch das BSI Anordnungen ergehen, die bis zur Untersagung des Betriebs oder zur Abberufung von Geschäftsleiter auf Zeit reichen können.
Praktische Konsequenz: Die persönliche Haftung der Geschäftsleitung macht Cybersicherheit zum Board-Level-Thema. Vorstände und Geschäftsführer müssen sich aktiv mit IT-Sicherheitsrisiken auseinandersetzen und können sich nicht mehr darauf berufen, dies sei Aufgabe der Abteilungsleitung. Geschäftsleiter haften privat bei Cybersecurity, wenn sie ihre Überwachungs- und Sorgfaltspflichten verletzen, Cyberrisiken nicht angemessen managen und dadurch Schäden entstehen, die bei ordnungsgemäßer Sorgfalt vermeidbar gewesen wären. Dies gilt insbesondere nach der NIS2-Richtlinie und einschlägiger Rechtsprechung. Proaktive Risikobewertung, Dokumentation und Schulungen sind ausschlaggebend für die Vermeidung der persönlichen Haftung.

Gesundheitsunternehmen mit Sonderstellung

Gesundheitsunternehmen als kritische Infrastruktur KRITIS sind für die Versorgungssicherheit der Bevölkerung höchst wichtig und unterliegen daher besonders strengen Anforderungen an ihre Cybersicherheit.

Die Umsetzung der NIS2-Richtlinie „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen“ (BSIG), das Einrichtungen aus bestimmten Sektoren umfangreichen Verpflichtungen im Bereich der Cybersecurity unterwirft, sieht Geldbußen in Höhe von bis zu 10 Millionen Euro oder, wenn dieser Betrag höher ist, in Höhe von bis zu 2 % des weltweiten Jahresumsatzes vor. Noch drastischer können sich Verstöße gegen datenschutzrechtliche Vorschriften auswirken. Hier drohen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Foto: Lorenz Wascher (links) und  (rechts) Karolina Vonkova, Rechtsanwalt und Rechtsanwältin bei Dentons Berlin: „NIS2-Umsetzung in Deutschland: Neue Cybersicherheitspflichten für Unternehmen und kritische Infrastrukturen“.

Foto: Moderation Stefan Zorn (SIBB)

Health-IT-Talk Berlin-Brandenburg

Im monatlichen Health-IT-Talk Berlin-Brandenburg treffen sich Expertinnen und Experten aus medizinischer Versorgung, Industrie, Politik und Digital Health, um über die Zukunft eines vernetzten, digitalen und zugleich regional verankerten Gesundheitswesens zu sprechen. Sie tauschen sich verbands- und fachrichtungsübergreifend Branchenkollegen zur Digitalisierung der Gesundheitswirtschaft aus. Unterstützt durch Non-Profit-Organisationen BVMI, TMF, KH-IT und SIBB, ist die Reihe frei von wirtschaftlichen Interessen und kostenfrei für die Teilnehmer.

Nächste Termine

12. Jan. 2026 - KHVVG: Anforderungen an IT und Organisation

09. Feb. 2026 - KI + Robotik und in der Pflege

09. März 2026 - Health-IT Talk Berlin-Brandenburg

13. Apr. 2026 - MII-Update: 10 Jahre

Quelle: www.health-it-talk.de

Symbolbild: adranik123  / AdobeStock