Informationssicherheit ist keine reine IT-Aufgabe mehr, sondern eine Chefsache

veröffentlicht am 30. Oktober 2025

Mit der BSI-Handreichung zur NIS-2-Geschäftsleitungsschulung wird deutlich: Informationssicherheit ist keine reine IT-Aufgabe mehr, sondern eine nicht zu delegierende Chefsache. Geschäftsleitungen müssen sich persönlich mit den Anforderungen auseinandersetzen, Verantwortung übernehmen – und ihr Wissen regelmäßig aktualisieren. Die NIS-2-Richtlinie markiert damit den Übergang von der technischen zur strategischen Informationssicherheit auf Management-Ebene. Doch welches Wissen über welche IT-Sicherheitsanforderungen ist im Gesundheits- und Forschungssektor notwendig? Der nachfolgende Artikel gibt eine Übersicht.

BSI konkretisiert Anforderungen an Schulungen der Geschäftsleitung zur Informationssicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit seiner neuen Handreichung zur NIS-2-Geschäftsleitungsschulung erstmals konkretisiert, welche Inhalte Schulungen für Geschäftsführungen künftig umfassen sollen. Hintergrund ist die Umsetzung der EU-Richtlinie NIS-2 in deutsches Recht, die weitreichende Pflichten im Bereich der Informationssicherheit für zahlreiche Einrichtungen vorsieht.

Die Handreichung, veröffentlicht Ende September 2025, gibt Unternehmen und Einrichtungen damit eine erste Orientierung, welche Themen die Geschäftsleitung beherrschen muss, um ihren gesetzlichen Sorgfaltspflichten nachzukommen. Ziel ist es, das Management in die Lage zu versetzen, Informationssicherheit aktiv zu steuern – nicht nur delegiert an IT-Abteilungen.

Persönliche Haftung der Geschäftsleitung bei Verstößen

Ein zentraler Punkt der NIS-2-Umsetzung ist die persönliche Verantwortung der Geschäftsleitung. Das bedeutet: Mitglieder von Geschäftsführungen oder Vorständen können künftig persönlich haftbar gemacht werden, wenn sie ihre Pflichten zur Steuerung und Überwachung der Informationssicherheit verletzen.

Die Richtlinie verpflichtet die Leitungsorgane ausdrücklich, Kenntnisse und Schulungen im Bereich Cybersicherheit nachzuweisen. Schulungen sind damit nicht mehr optional, sondern ein rechtlich relevantes Element der Organisationsverantwortung. Fehlende Schulungen können und werden wohl auch im Schadensfall als Organisationsverschulden ausgelegt werden.

Hohe Bußgelder auch für Unternehmen

Neben der persönlichen Haftung der Leitungsorgane drohen auch den Unternehmen selbst erhebliche Sanktionen.

Die NIS-2-Richtlinie sieht – ähnlich wie die Datenschutz-Grundverordnung (DSGVO) – Bußgelder in Millionenhöhe vor. Bei besonders wichtigen Einrichtungen können diese bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen.

Die Geschäftsleitung muss daher sicherstellen, dass Informationssicherheit organisatorisch, personell und technisch angemessen umgesetzt und überwacht wird – und dass die eigene Schulungsverpflichtung dokumentiert nachgewiesen werden kann.

Gesundheits- und Forschungssektor besonders betroffen

Von der NIS-2-Richtlinie betroffen sind insbesondere kritische und wichtige Einrichtungen, darunter auch der Gesundheits- und Forschungsbereich. Dazu zählen:

Krankenhäuser
niedergelassene Arztpraxen und Medizinische Versorgungszentren (MVZ)
Forschungseinrichtungen mit sensiblen Daten oder kritischer Infrastruktur-Anbindung

Alle diese Einrichtungen müssen ein Managementsystem für Informationssicherheit (ISMS) etablieren, Risiken bewerten, Schutzmaßnahmen umsetzen und die Geschäftsleitung entsprechend schulen.

Krankenhäuser: Vorgaben aus § 391 SGB V und dem B3S „Medizinische Versorgung“

Für Krankenhäuser ergeben sich die konkreten Anforderungen primär aus § 391 SGB V.

Dieser verweist auf die branchenspezifischen Sicherheitsstandards (B3S) „Medizinische Versorgung“, die vom BSI anerkannt wurden.

Diese Standards definieren, wie Krankenhäuser technische und organisatorische Maßnahmen im Einklang mit der NIS-2-Richtlinie umzusetzen haben – etwa im Bereich Netzwerksicherheit, Notfallmanagement oder Zugriffskontrolle.

Arztpraxen und MVZ: Vorgaben nach § 390 SGB V und der IT-Sicherheitsrichtlinie der KBV

Für Praxen und Medizinische Versorgungszentren ist § 390 SGB V maßgeblich.

Die dort verankerte IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) konkretisiert die Anforderungen an technische und organisatorische Schutzmaßnahmen.

Auch hier gilt: Die Geschäftsleitung – also Praxisinhaberinnen und -inhaber – sind verantwortlich für die Umsetzung und für ihre eigene Schulung in Informationssicherheitsfragen.

Forschungseinrichtungen: BSI-Grundschutz oder ISO-Standards

Für Forschungseinrichtungen gelten keine sektorspezifischen Standards, doch das BSI empfiehlt die Orientierung am IT-Grundschutz oder an internationalen Normen wie ISO 27001.

Insbesondere Einrichtungen, die an sicherheitsrelevanten Projekten beteiligt sind oder personenbezogene bzw. besonders schutzwürdige Forschungsdaten verarbeiten, fallen unter die erweiterten Anforderungen der NIS-2-Regulierung.

Die Uhr tickt – Anforderungen gelten sofort nach Verabschiedung der NIS-2-Umsetzung

Die deutsche Umsetzung der NIS-2-Richtlinie (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) wird voraussichtlich noch 2025 verabschiedet.

Sobald das Gesetz in Kraft tritt, gelten die Pflichten unmittelbar – einschließlich der Schulungspflicht für die Geschäftsleitung.

Unternehmen und Einrichtungen sollten daher jetzt beginnen, ihre Betroffenheit zu prüfen, Schulungskonzepte zu planen und Nachweise vorzubereiten.

Wer erst reagiert, wenn die Verpflichtung gilt, riskiert Bußgelder und Haftungsfolgen.

AUTOREN

Jürgen Schwestka	Carina Richters

FOLGEN SIE UNS!

AUS DEM NEWSLETTER

Newsletter Gesundheits- und Sozialwirtschaft Nr. 10/2025

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Profil