Die Anforderungen aus der NIS 2.0-Richtlinie verändern den Blick auf die Informationssicherheit in den Krankenhäusern, die bisher nicht kritische Infrastruktur (KRITIS) sind, grundlegend. Was bisher oft als rein technische Aufgabe der IT gegolten hat, wird jetzt zu einer gemeinsamen, gesamtheitlichen Verantwortung der Geschäftsführung, allen operativen Fachabteilungen und der IT-Leitung.

Besonders ausgeprägt zeigt sich das bei den neuen Schulungspflichten und den durchzuführenden Awareness-Maßnahmen. Es reicht ab sofort nicht mehr, nur die Technik abzusichern. Die erweiterte Sichtweise verlangt deutlich mehr. Alle Mitarbeiter müssen Wissen aufbauen, um beispielsweise zu verstehen, wie Cyber-Angriffe funktionieren und vor allem, wie sie sich im Alltag richtig verhalten.

Für die IT-Leitung bringt das eine erweiterte Rolle mit sich. Sie verantwortet nicht nur die Technik, sondern soll auch Impulsgeber sein für den gezielten Aufbau von Know-how im Haus, das zu einem adäquaten Verhalten der Mitarbeiter führt.  Genau in diesem Umfeld entscheidet sich, ob Sicherheitsmaßnahmen tatsächlich wirken oder nur als Theorie auf dem Papier stehen.

Warum sind Schulungen unter NIS 2.0 ein so wichtiges Thema?

Die NIS 2.0 fordert, dass Unternehmen und damit auch Krankenhäuser ihre Mitarbeitenden regelmäßig im Bereich Cybersicherheit unterweisen müssen. Der Hintergrund ist denkbar einfach und spiegelt nach unseren Erfahrungen die Lebenswirklichkeit in vielen Einrichtungen wider. Ein großer Teil erfolgreicher Angriffe beginnt nicht mit einer technischen Schwachstelle, sondern mit dem menschlichen Fehlverhalten am Arbeitsplatz. Phishing-Mails, Social Engineering oder unsichere Passwörter öffnen den Angreifern oft Tür und Tor.

Im Krankenhaus ist das Risiko erfahrungsgemäß besonders hoch. Der Zeitdruck, viele unterschiedliche Berufsgruppen und komplexe, anspruchsvolle Prozesse schaffen ein Umfeld, in dem Fehler leichter passieren. Erschwerend kommt hinzu, dass die Folgen solcher Fehler häufig gravierend sein können. Ein Sicherheitsvorfall kann hier nicht nur Daten gefährden, sondern auch die Versorgung der Patienten.

Notwendige Schulungen sind daher kein lästiger Zusatz mehr oder „nice to have“. Sie werden ein zentraler Bestandteil der Sicherheitsstrategie, der umgesetzt werden muss. Wer sie vernachlässigt, geht ein reales Risiko ein.

Wen betrifft die Schulungspflicht?

Ein verbreiteter Irrtum besteht darin, Schulungen auf einzelne Schlüsselpersonen oder einen ausgewählten Personenkreis zu beschränken. Die NIS 2.0 geht hier deutlich weiter: Die gesamte Organisation mit allen Mitarbeitern wird in den Fokus genommen.

Das Prinzip „top down“ gilt: Die Geschäftsführung ist eine wichtige Zielgruppe für Schulungen. Genau hier setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) an. Das BSI sieht ausdrücklich vor, dass auch die oberste Leitungsebene regelmäßig geschult wird. Eine ausführliche Handreichung beschreibt, welche Inhalte eine Schulung für die Geschäftsführung abdecken sollte. Dazu gehören unter anderem das Verständnis von Bedrohungslagen, die eigene Verantwortung im Rahmen von NIS 2.0 sowie die Fähigkeit, fundierte Entscheidungen zur Risikosteuerung zu treffen.

Alle Führungskräfte müssen Sicherheitsanforderungen in ihren einzelnen Verantwortungsbereichen umsetzen. Die Mitarbeitenden im klinischen und administrativen Umfeld sollen alltägliche Bedrohungen erkennen und richtig reagieren. Deshalb sind breit angelegte Schulungsmaßnahmen zu planen und durchzuführen.

Aus den BSI-Vorgaben ließe sich für die IT-Leitung eine neue weiterführende Aufgabe ableiten. Sie soll beispielsweise sicherstellen, dass Inhalte zielgruppengerecht vermittelt werden. Eine Ärztin benötigt andere Beispiele als eine Mitarbeiterin in der Verwaltung. Ein Techniker hat andere Berührungspunkte als das Pflegepersonal auf Station. Und die Geschäftsführung schließlich braucht einen klaren Blick auf Risiken, Haftung und strategische Entscheidungen.

Auf der Basis unserer Erfahrungen in den Krankenhäusern hinterfragen wir diese Sichtweise an dieser Stelle. Wird die IT-Leitung diese Aufgabe wirklich übernehmen können (und wollen)? Kommt jetzt nicht für jedes Krankenhaus der Moment, über eine „Stabsstelle Informationssicherheit“ nachzudenken? Oder ist ein externer Schulungsanbieter die richtige Adresse? Das Thema der Umsetzung ist hier noch offen.

Welche Rolle spielt die IT-Leitung?

Auf der Basis unserer Projekterfahrung bringt die IT-Leitung ihre technische Perspektive gezielt in das Thema Schulung und Awareness ein. Sie kennt die Bedrohungslage, bewertet Risiken und kann einschätzen, wo im Krankenhaus besonders sensible Punkte liegen. Dieses Wissen ist entscheidend, um Inhalte praxisnah auszurichten und auf reale Angriffsszenarien zu beziehen. Die IT-Leitung kann ein wichtiger Impulsgeber und Sparringspartner sein.

Die Entwicklung von Schulungskonzepten kann jedoch keine Aufgabe der IT allein sein. Sie entsteht im Zusammenspiel mehrerer Bereiche. So kann beispielsweise die Personalabteilung didaktische Erfahrung und Kenntnisse zu Lernformaten einbringen. Der Datenschutzbeauftragte, ein (möglicherweise noch nicht vorhandener) ISB und die medizinische Leitung ergänzen regulatorische und fachliche Anforderungen. In diesem beispielhaft genannten gemeinsamen Rahmen liefert die IT-Leitung die fachliche Grundlage und sorgt dafür, dass Inhalte technisch korrekt und relevant bleiben.

Wie werden bei Ihnen Schulungen geplant? Wer definiert die Prioritäten und erstellt den Schulungsplan? Wer organisiert die notwendigen Schulungen für die Geschäftsführung? Diese und andere Fragen müssen Sie sich jetzt aktiv stellen – und beantworten.

Reicht eine jährliche Schulung aus?

Die kurze Antwort lautet: NEIN. Ein einmaliger Termin pro Jahr wird den gestiegenen Anforderungen nicht gerecht. Das Thema „Sicherheit“ ist nicht statisch, vielmehr verändern sich die Bedrohungen ständig und die Angreifer entwickeln fortwährend neue Methoden.

Wirksame Awareness entsteht aufgrund einer praktizierten Kontinuität. Die Inhalte müssen regelmäßig wiederholt und vor allem aktualisiert werden. Die Mitarbeitenden sollten die Möglichkeit haben, ihr Wissen im Alltag anzuwenden und zu festigen.

Gerade im Krankenhaus bietet sich ein praxisnaher Ansatz an. Kurze, verständliche Impulse lassen sich besser in den Arbeitsalltag integrieren als lange Schulungen. Entscheidend ist, dass das Thema präsent bleibt und nicht als Pflichtübung wahrgenommen wird. Für die Schulung der Geschäftsführung können kompakte, fokussierte Formate sinnvoll sein, die sich an realen Entscheidungssituationen orientieren.

Wie lässt sich der Erfolg messen?

Die Ergebnisse der Schulungen und der Awareness-Maßnahmen müssen geprüft und dokumentiert werden. Die NIS 2.0 verlangt nicht nur reine Aktivitäten, sondern auch eine Erfolgskontrolle. Für die IT-Leitung stellt sich daher die Frage, wie sich Fortschritte sichtbar machen lassen.

Ein möglicher Ansatz besteht darin, das Verhalten im Alltag zu beobachten und zu dokumentieren. Werden verdächtige E-Mails gemeldet? Halten sich Mitarbeitende an Sicherheitsvorgaben? Solche Indikatoren geben über einen definierten Zeitraum ein realistisches Bild.

Auch simulierte Angriffe können helfen, den Reifegrad vorhandenen Know-hows zu bewerten. Sie zeigen, wie gut Mitarbeitende auf typische Bedrohungen reagieren. Wichtig ist dabei eine faire und transparente Kommunikation. Das Ziel ist nicht nur die Kontrolle, sondern gerade auch das Feststellen von Lerneffekten. Für die Geschäftsführung kann der Erfolg zusätzlich daran gemessen werden, wie fundiert Entscheidungen getroffen und Risiken priorisiert werden.

Fazit: Sicherheit beginnt im Kopf

Die NIS 2.0 macht deutlich, dass technische Lösungen alleine nicht ausreichen. Der Mensch soll im Mittelpunkt der Informationssicherheit stehen.  Die neuen Schulungspflichten und Awareness-Maßnahmen sind daher kein formaler Akt, sondern tatsächlich ein zentraler Erfolgsfaktor. Wer hier konsequent handelt, reduziert Risiken spürbar und stärkt die Resilienz der gesamten Organisation.

Der Aufwand zahlt sich aus. Denn im Ernstfall entscheidet oft ein einziger Klick darüber, ob ein Angriff erfolgreich ist oder nicht. Und auf Leitungsebene entscheidet sich, ob die richtigen Weichen rechtzeitig gestellt werden.

Wenn Sie mehr zur Umsetzung der NIS 2.0 und den Schulungsmaßnahmen wissen möchten, dann nehmen Sie Kontakt zu uns auf: walter.schaefer@adiccon.de, oder mobil unter  0160 90997764.