Die Anforderungen an die Informationssicherheit wachsen spürbar. Die Richtlinie NIS 2.0 nimmt die Geschäftsführung für die Realisierung geeigneter organisatorischer und technischer Maßnahmen voll in die Verantwortung.  Gleichzeitig wird die tatsächliche Umsetzung ohne IT-Kompetenz und fachliche Steuerung durch den ISB kaum möglich sein. Was bislang eher getrennt gedacht wurde, muss jetzt im Alltag eng zusammenarbeiten. Genau bei diesem Thema entscheidet sich, ob das Ziel „Sicherheit“ nur auf dem Papier steht oder im Klinikbetrieb funktioniert.

Die zentrale Frage ist daher: Arbeiten die drei genannten „Rollen“ wirklich als Team zusammen oder eher nebeneinanderher?

Drei Rollen, ein Ziel

Die Aufgabenverteilung kann aus unserer Sicht wie folgt aussehen: Die Geschäftsführung trägt die Gesamtverantwortung für alle Themen der NIS 2.0. Sie setzt Prioritäten, stellt Ressourcen bereit und gibt die Richtung vor. Die IT-Leitung kennt die Systemlandschaft, bewertet Risiken im Betrieb und setzt vor allem technische Maßnahmen um. Der Informationssicherheitsbeauftragte strukturiert das Thema ganzheitlich, definiert Regeln und sorgt zudem für die Nachvollziehbarkeit.

Alle drei Rollen verfolgen dasselbe Ziel. Sie wollen Risiken senken und den Krankenhausbetrieb in jeder Situation stabil halten. In der Praxis sprechen sie heute jedoch nicht immer dieselbe Sprache. Die Geschäftsführung denkt in Wirkung und Haftung, die IT in Systemen und Verfügbarkeit und der ISB in Risiken und Kontrollen.

Wie oft entstehen bei Ihnen Missverständnisse, weil Begriffe möglicherweise unterschiedlich verstanden werden?

Wo es häufig hakt

In vielen Krankenhaus-Organisationen starten die Beteiligten erfahrungsgemäß mit den besten Absichten. Trotzdem bleibt dann in der Folge die Zusammenarbeit oft hinter den Erwartungen zurück. Die Gründe sind dabei selten fehlender Wille. Vielmehr mangelt es häufig an einer klaren Kommunikation, die Transparenz und Verständlichkeit zum Ziel hat.

Die Geschäftsführung bekommt dann nach unserer Erfahrung unvollständige Berichte, die oft zu technisch sind. Dadurch verzögern sich wichtige Entscheidungen. Die IT-Abteilung arbeitet zwar engagiert an Lösungen, aber die Prioritäten sind nicht eindeutig oder gar nicht besprochen. Der ISB schreibt Richtlinien, die theoretisch einwandfrei sind, aber in der Praxis nur schwer umgesetzt werden können. So entstehen sehr schnell „Parallelwelten“, die keine gemeinsamen Ergebnisse liefern und die gewünschte Weiterentwicklung beeinträchtigen.

Kennen Sie diese Situation möglicherweise aus Ihrem eigenen Haus?

Ein weiteres Problem stellt nach unserer Erfahrung das „Timing“ dar. Die durchzuführenden Sicherheitsmaßnahmen kommen oft erst dann auf den Tisch, wenn die Projekte bereits laufen. Dann wirken sie schnell wie ein Hindernis und nicht wie eine hilfreiche Unterstützung.

Was würde sich ändern, wenn Sicherheit von Anfang an mitgedacht wird?

Zusammenarbeit braucht Struktur

Gute Zusammenarbeit passiert nicht zufällig. Sie braucht klare Absprachen und feste Formate. Ein gemeinsames Steuerungsgremium kann hier viel bewirken. Es bringt alle drei (oder auch mehr) Rollen regelmäßig an einen Tisch. Dort werden die aktuellen Risiken bewertet, notwendige Maßnahmen priorisiert und gemeinsam Entscheidungen getroffen.

Wie schon erwähnt, ist eine verständliche Kommunikation von großer Bedeutung. Hier ein Beispiel: Der ISB „übersetzt“ vorhandene Risiken in Auswirkungen für den Betrieb. Die IT-Leitung erklärt nachvollziehbar, was technisch machbar ist und welcher Aufwand – Zeit und Kosten – konkret entsteht. Schließlich kann die Geschäftsführung auf dieser Basis für alle nachvollziehbare Entscheidungen treffen und schafft damit Verbindlichkeit.

Sind Entscheidungswege bei Ihnen im Haus nachvollziehbar und auch schnell genug?

Eine hohe Transparenz hilft dabei enorm. Ein gemeinsames Risikoregister, klare Kennzahlen und ein übersichtliches Reporting schaffen unternehmensweit Vertrauen. So sehen alle Beteiligten, wo die Organisation steht und was als Nächstes ansteht.

Sicherheit in der täglichen Praxis etablieren

Sicherheit wirkt erst dann, wenn sie wirklich Teil der täglichen Praxis ist. Das gelingt nur, wenn Maßnahmen realistisch geplant sind. Die IT sollte rechtzeitig und damit sehr früh eingebunden sein, wenn neue Anforderungen entstehen. Der ISB muss prüfen, ob angedachte Abläufe den vorhandenen Richtlinien entsprechen. Und die Geschäftsführung setzt den innerbetrieblichen Rahmen und räumt Hindernisse aus dem Weg.

Ein gutes Beispiel dafür sind die Schulungen für alle Berufsgruppen inklusive der Geschäftsleitung. Sie werden oft als lästige Pflicht gesehen. Richtig umgesetzt stärken sie jedoch das (Selbst-)Bewusstsein im gesamten Haus. Entscheidend ist, dass Inhalte verständlich sind und aus der Praxis kommen.

Werden Schulungen bei Ihnen eher formal abgehakt oder wirklich genutzt?

Auch beim Projektmanagement lohnt sich ein gemeinsamer Ansatz. Wenn Sicherheit von Anfang an mitgedacht wird, spart das später Zeit und Kosten. Die IT kann Anforderungen früh berücksichtigen. Der ISB sorgt für klare Leitplanken. Die Geschäftsführung stellt sicher, dass Sicherheit nicht gegen andere Ziele ausgespielt wird.

Wie früh wird der ISB bei Ihnen aktuell in Projekte eingebunden?

Verantwortung klar leben

NIS 2.0 macht deutlich, dass Verantwortung nicht delegiert werden kann. Die Geschäftsführung ist und bleibt in der Pflicht. Gleichzeitig braucht sie starke „Partner“. Die IT-Leitung und der ISB liefern die Grundlage für fundierte Entscheidungen. Das bedeutet auch, dass Rollen klar beschrieben sein müssen. Wer entscheidet was. Wer berichtet an wen. Wer setzt um. Diese Klarheit verhindert Missverständnisse und beschleunigt Prozesse.

Ist diese Klarheit in Ihrer Organisation wirklich gegeben?

Die Verantwortung zeigt sich auch im Umgang mit realen Vorfällen. Wenn etwas passiert, zählt vor allem die Zusammenarbeit. Schnelle Abstimmung, klare Kommunikation und ein gemeinsames Vorgehen machen den Unterschied. Hier zahlt sich eine eingespielte Zusammenarbeit besonders aus.

Gibt es für den Ernstfall bereits abgestimmte Abläufe zwischen allen Beteiligten?

Ein gemeinsames Verständnis entwickeln

Am Ende geht es um mehr als Prozesse und Richtlinien. Es geht um ein gemeinsames Verständnis von Sicherheit. Alle Beteiligten sollten wissen, warum Maßnahmen wichtig sind und welchen Beitrag sie leisten.

Dieses Verständnis wächst durch Austausch: Regelmäßige Gespräche, gemeinsame Workshops und offene Diskussionen helfen dabei. So entsteht ein Team, das Sicherheit nicht als Pflicht sieht, sondern als Teil seiner Aufgabe.

Fazit

Informationssicherheit im Krankenhaus ist Teamarbeit. Die Geschäftsführung gibt die Richtung vor. Die IT setzt um. Der ISB sorgt für Struktur und Überblick. Wenn diese drei Rollen eng zusammenarbeiten, entsteht echte Wirksamkeit.

Der Schlüssel liegt in klarer Kommunikation, festen Strukturen und einem gemeinsamen Zielbild. Dann wird aus einzelnen Maßnahmen ein tragfähiges System. Und aus drei „Rollen“ ein starkes Team.

Wenn Sie mehr zur Förderung der Zusammenarbeit zwischen Geschäftsführung, IT-Leitung und ISB sowie zum Umsetzen der NIS 2.0 wissen möchten, dann nehmen Sie Kontakt zu uns auf: walter.schaefer@adiccon.de, mobil 0160 90997764.