In Zeiten des digitalen Fortschritts, steigenden Bedrohungslage durch Cyberangriffe und zunehmenden geopolitischen Spannungen ist es kein Geheimnis, dass Cyber-Security, Resilienz und Informationssicherheit eine immer größere Bedeutung im Gesundheitswesen zu Teil werden muss.

Dies hat auch der Gesetzgeber erkannt und mit dem §391 Digital-Gesetzt (DigiG) neben KRITIS- auch Nicht-KRITIS Krankenhäuser verpflichtet angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik umzusetzen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Um diese Anforderungen zu erfüllen, hat sich der Branchenspezifische Sicherheitsstandard (B3S) für die medizinische Versorgung als essenzieller Baustein etabliert, um ein Sicherheitsniveau nach dem Stand der Technik im Krankenhausumfeld zu schaffen. 

Im Spannungsfeld der regulatorischen Dynamik und des technologischen Fortschritts muss jedoch festgestellt werden, dass der bisherige B3S den heutigen und zukünftigen Anforderungen nicht mehr in vollem Umfang Rechnung trägt. Der B3S war über Jahre hinweg ein bewährtes Instrument, um ein Sicherheitsniveau nach dem Stand der Technik zu definieren und umzusetzen. Doch seine Struktur und Inhalte stammen aus einer Zeit, in der viele der heute dominierenden Technologien noch keine zentrale Rolle spielten. So adressiert der aktuelle B3S weder die spezifischen Risiken von KI-Systemen noch die komplexen Anforderungen an Cloud-Infrastrukturen, Apps oder webbasierte Anwendungen in ausreichender Tiefe. Die zunehmende Vernetzung, die ortsunabhängige DatenverGanzheitliche Governance im Krankenhaussektor – vom B3S zum integrierten Managementsystem arbeitung und die dynamische Skalierbarkeit digitaler Dienste bringen neue Angriffsflächen mit sich, welche durch den aktuellen B3S nicht adäquat abgedeckt werden.

Gleichzeitig steigen die Anforderungen an die digitale Resilienz von Gesundheitseinrichtungen. Die Einführung von KIbasierten Diagnosesystemen, die Nutzung von Cloud-Diensten zur Speicherung und Verarbeitung sensibler Gesundheitsdaten sowie die zunehmende Integration mobiler Apps in die Patientenversorgung erfordern ein Sicherheits- und GovernanceModell, das flexibel, skalierbar und zukunftsorientiert ist. Die Cloud beispielsweise bietet zwar enorme Vorteile in Bezug auf Verfügbarkeit, Effizienz und Innovationsgeschwindigkeit, stellt aber auch hohe Anforderungen an Datenschutz, Zugriffskontrolle und Ausfallsicherheit. KI-Systeme wiederum müssen nicht nur technisch robust, sondern auch ethisch vertretbar und nachvollziehbar sein – Anforderungen, die weit über klassische ITSicherheitsmaßnahmen hinausgehen. Die Konsequenz: Krankenhäuser brauchen heute einen ganzheitlichen Governance-Ansatz, der über die reine Informationssicherheit hinausgeht und alle relevanten Disziplinen integriert. Der B3S bleibt dabei ein wichtiger Orientierungsrahmen – aber er ist nur der Startpunkt für ein umfassendes Integriertes Managementsystem (IMS).

Vom B3S zum integrierten Managementsystem (IMS)

Ein IMS bündelt die wesentlichen Governance Systemein einer gemeinsamen Struktur:

1 Informationssicherheit (ISMS)

2 Datenschutz (DSMS)

3 Business Continuity & Krankenhausalarm- und Einsatzplanung (BCM/KAEP) 

4 Risikomanagement (RM)

5 Compliance 

In der dynamischen Umgebung ist es entscheidend, dass die Organisationen in den fünf Themengebieten getrennt zu betrachten sind, sie jedoch koordiniert gesteuert werden. Ein integriertes Managementsystem (IMS) bietet genau diese Struktur. Es schafft ein gemeinsames Fundament für alle sicherheitsrelevanten Prozesse, ermöglicht eine konsistente Umsetzung regulatorischer Anforderungen und fördert die kontinuierliche Verbesserung der Sicherheitskultur.

Ein IMS ist dabei nicht nur ein organisatorisches Konstrukt, sondern ein strategisches Steuerungsinstrument. Ein IMS erlaubt es, neue Technologien frühzeitig zu bewerten, Risiken systematisch zu erfassen und Maßnahmen effizient umzusetzen. Gleichzeitig schafft es die notwendige Transparenz, um gegenüber Aufsichtsbehörden, Partnern und Patienten Rechenschaft abzulegen. Gerade im Gesundheitswesen, wo Vertrauen ein zentrales Gut ist, wird diese Fähigkeit zur nachvollziehbaren Governance immer wichtiger. Damit bietet ein IMS die nötige Struktur, um diese Anforderungen nicht isoliert, sondern koordiniert und konsistent zu erfüllen. Es schafft Transparenz über Prozesse, Verantwortlichkeiten und Risiken – und ermöglicht es, regulatorische Anforderungen systematisch umzusetzen und nachzuweisen. Die Vorteile liegen hierbei auf der Hand: 

■ Effizienz durch Synergien: Gemeinsame Prozesse, Dokumentationen und Audits reduzieren Aufwand und vermeiden Doppelarbeit.

■ Konsistenz und Transparenz: Einheitliche Regelwerke und Verantwortlichkeiten schaffen Klarheit und stärken die Governance.

■ Schnelle Reaktion auf neue Anforderungen: Ein IMS ist flexibel und skalierbar – neue regulatorische Anforderungen oder Technologien lassen sich leichter integrieren.

■ Vertrauen und Reputation: Ein IMS zeigt gegenüber Kunden, Partnern und Behörden, dass Sicherheit, Datenschutz und Qualität systematisch gemanagt werden.

Informationssicherheitsmanagementsystem (ISMS) als Fundament

Das Informationssicherheitsmanagementsystem (ISMS) bildet das Fundament eines integrierten Governance-Ansatzes im Krankenhaus. Es schafft die organisatorischen und technischen Strukturen, um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch zu schützen. Basierend auf Normen wie ISO 27001 oder dem BSI IT-Grundschutz werden Risiken identifiziert, bewertet und durch geeignete Maßnahmen beherrscht. Ein ISMS sorgt nicht nur für die Umsetzung regulatorischer Anforderungen – etwa aus §391 SGB V, B3S oder NIS-2 – sondern etabliert auch eine Sicherheitskultur, die alle Mitarbeitenden einbezieht. Damit wird das ISMS zum zentralen Instrument, um die IT-Infrastruktur und sensiblen Patientendaten gleichermaßen zu sichern und das Vertrauen von Patient:innen, Partnern und Aufsichtsbehörden nachhaltig zu stärken.

Die Rolle von BCM und KAEP im integrierten Governance-Ansatz

Ein zukunftsorientiertes IMS muss zwingend auch Aspekte des BCM und KAEP berücksichtigen. BCM stellt sicher, dass kritische Prozesse auch in Krisensituationen – etwa bei Cyberangriffen, IT-Ausfällen oder infrastrukturellen Störungen – aufrechterhalten oder schnell wiederhergestellt werden können. KAEP wiederum ergänzt dieses Konzept, indem es Strukturen und Abläufe für den Ernstfall vorgibt und die Handlungsfähigkeit des Krankenhauses in akuten Not- und Katastrophenszenarien absichert. Zusammen bilden BCM und KAEP das Rückgrat organisationaler Resilienz: Sie schaffen Klarheit über Verantwortlichkeiten, trainieren Krisenreaktionen und sichern eine koordinierte Steuerung im Ernstfall. In einem integrierten Governance-Ansatz werden beide Elemente nicht isoliert betrachtet, sondern eng mit Informationssicherheit, Datenschutz und Risikomanagement verzahnt – so entsteht ein konsistentes, schlagkräftiges Sicherheits- und Resilienzsystem.

Datenschutz als integraler Bestandteil der Governance

Neben Informationssicherheit, Business Continuity Managements (BCM) sowie der Krankenhausalarm- und Einsatzplanung ist auch der Datenschutz ein zentraler Pfeiler eines integrierten Managementsystems. Krankenhäuser verarbeiten hochsensible personenbezogene Daten, die unter die besonderen Schutzkategorien der DSGVO fallen. Ein ganzheitliches Governance-Modell muss daher sicherstellen, dass Transparenz, Zweckbindung und Betroffenenrechte systematisch berücksichtigt und dokumentiert werden. Datenschutzmanagementsysteme (DSMS) ermöglichen die Umsetzung dieser Anforderungen in klaren Prozessen – von der Einwilligungserklärung bis hin zur Löschfristenkontrolle. Die enge Verzahnung mit Informationssicherheit ist dabei entscheidend: Nur wenn technische und organisatorische Maßnahmen (TOMs) konsistent umgesetzt werden, lässt sich ein belastbarer Schutz der Patientendaten gewährleisten. Integriert in das IMS schafft der Datenschutz nicht nur Rechtssicherheit, sondern stärkt auch das Vertrauen von Patient:innen, Mitarbeitenden und Aufsichtsbehörden in die Handlungsfähigkeit der Einrichtung.

Risikomanagement als strategisches Steuerungsinstrument

Risikomanagement ist ein zentrales Bindeglied im integrierten Governance-Ansatz. Es ermöglicht, Bedrohungen und Schwachstellen systematisch zu identifizieren, deren Eintrittswahrscheinlichkeit und Auswirkungen zu bewerten und geeignete Gegenmaßnahmen abzuleiten. Für Krankenhäuser bedeutet das: Risiken aus Cyberangriffen, Systemausfällen, Datenschutzverletzungen oder Betriebsunterbrechungen werden nicht isoliert betrachtet, sondern in einer einheitlichen Risikomatrix zusammengeführt. Auf diese Weise lassen sich Abhängigkeiten zwischen klinischen Prozessen, IT-Infrastrukturen und regulatorischen Vorgaben transparent darstellen. Ein strukturiertes Risikomanagement unterstützt nicht nur die Geschäftsführung bei der Priorisierung von Investitionen, sondern schafft auch die Grundlage für Rechenschaftsfähigkeit gegenüber Aufsichtsbehörden und Kostenträgern. Integriert in das IMS wird es damit zum strategischen Steuerungsinstrument, das Sicherheit, Resilienz und Wirtschaftlichkeit in Einklang bringt.

Das interdisziplinäre Gremium als Schaltzentrale

Ein IMS entfaltet seine volle Wirkung erst, wenn es durch ein starkes interdisziplinäres Gremium gesteuert wird. Dieses fungiert als Schaltzentrale und bringt ISMS, DSMS, BCM/KAEP, Risikomanagement und Compliance regelmäßig zusammen. Es ermöglicht eine abgestimmte Steuerung, verhindert parallele Aktivitäten und stellt sicher, dass Governance-Themen transparent und konsistent umgesetzt werden. Die Arbeitsweise muss klar strukturiert und verbindlich sein: Risiko-Reviews, Maßnahmenverfolgung, Auditvorbereitung, Awareness-Maßnahmen und die Bewertung regulatorischer Neuerungen gehören zum Standardrepertoire. Externe Expertise kann beim Aufbau unterstützen, sei es bei der Definition von Rollen, bei der Moderation oder bei der Auswahl geeigneter Tools für Dokumentation und Reporting.

Vom branchenspezifischen Sicherheitsstandard zur strategischen Steuerung – Warum Krankenhäuser jetzt auf integrierte Governance setzen müssen

Die Weiterentwicklung des B3S ist bereits in Arbeit – doch sie wird Zeit brauchen. Wer sich heute bereits mit dem Aufbau eines integrierten Managementsystems befasst, verschafft sich einen entscheidenden Vorsprung. Denn die Herausforderungen von morgen lassen sich nicht mit den Werkzeugen von gestern bewältigen. Nur wer seine Governance-Strukturen jetzt modernisiert, wird in der Lage sein, neue Technologien sicher und verantwortungsvoll zu nutzen – und regulatorischen Anforderungen wie NIS-2 oder dem EU AI Act nicht nur zu genügen, sondern ihnen einen Schritt voraus zu sein.

Autoren: Jörg Asma und Patrick Reintges, PwC Deutschland.       
Quelle: Krankenhaus-IT Journal, Ausgabe 06/2025 - Stand Dezember 2025    

Bild: AdobeStock/JP STUDIO LAB