Cyberangriffe nehmen steig zu und stellen für Unternehmen aller Branchen eine Bedrohung dar. Im Gespräch erklärt Cybersecurity-Experte Andreas Grau, wie Unternehmen sich systematisch schützen können.
Ein Audit prüft, ob bestimmte Vorgaben erfüllt sind – meist rückblickend und auf formaler Ebene. Ein Cybersecurity Assessment ist individuell auf die aktuelle Situation und die Herausforderung eines Unternehmens zugeschnitten. Wir betrachten Technik, Organisation und Menschen als zusammenhängendes System. Ziel ist nicht, ein Häkchen zu setzen, sondern zu verstehen, wo reale Risiken liegen und wie sie sich reduzieren lassen.
Viele Unternehmen haben ganz unterschiedliche Ausgangslagen. Ein Konzern mit globaler IT benötigt andere Schwerpunkte als ein mittelständisches Fertigungsunternehmen. Deshalb haben wir das Assessment modular aufgebaut – von Governance und Risiko-Management über technische Sicherheit bis hin zu Awareness oder Notfallmanagement. In einem Vorgespräch legen wir gemeinsam mit Kunden den Scope fest: Welche Bereiche sind kritisch, wo gibt es bereits Strukturen, wo besteht Unsicherheit? Auf dieser Basis kombinieren wir die passenden Module, damit das Ergebnis aussagekräftig, aber auch effizient ist. Nicht jedes Projekt muss von Anfang an groß aufgesetzt sein. Häufig ist es deutlich sinnvoller, mit einem überschaubaren Scope zu beginnen, erste Erfolge schnell sichtbar zu machen und darauf aufbauend weitere Module sukzessive zu ergänzen.
Eine Gap-Analyse sollte immer zwei Dinge leisten: Erstens Transparenz schaffen – also zeigen, wo Sicherheitsmaßnahmen fehlen oder nicht greifen. Zweitens Prioritäten setzen. Wir bewerten nicht nur, was fehlt, sondern auch, wie relevant es für das Unternehmen ist. Daraus entsteht ein Fahrplan, der kurzfristige Quick Wins, mittelfristige Projekte und langfristige strategische Themen unterscheidet. So wird aus der Analyse ein realistischer Handlungsplan, statt einer überfordernden To-do-Liste.
Der erste Schritt ist immer, die größten Risiken zu identifizieren. Nicht jede Maßnahme ist gleich wichtig. Wir empfehlen, sich auf die Systeme und Prozesse zu konzentrieren, die für den Geschäftsbetrieb kritisch sind. Wenn diese geschützt sind, entsteht automatisch Stabilität. Außerdem hilft es, mit kleinen, klar abgegrenzten Projekten zu starten, um Tempo und Vertrauen im Unternehmen aufzubauen.
Wir betrachten Cybersecurity als Querschnittsthema. Fachbereiche sind häufig näher an den Prozessen und können sehr genau einschätzen, wo Risiken entstehen – etwa durch Abläufe, Lieferanten- oder Kundenschnittstellen. In unseren Assessments holen wir diese Perspektiven gezielt ab, etwa über Workshops oder strukturierte Interviews. Das führt oft zu einem realistischeren Bild, als es rein technische Analysen liefern könnten. Vor allem an Übergängen zwischen Fachbereichen werden Schwachstellen sichtbar, die sonst übersehen würden.
Technische Maßnahmen sind das Fundament, aber sie wirken nur, wenn die Menschen sie verstehen und mittragen. Deshalb setzen wir stark auf Sensibilisierung und klare Zuständigkeiten. Das beginnt bei Führungskräften, die Sicherheitsregeln vorleben, und reicht bis zu einfachen Leitlinien im Alltag. Entscheidend ist, dass Mitarbeiter wissen, warum Sicherheit wichtig ist – nicht, weil es „muss“, sondern weil sie selbst Teil davon sind. So entsteht ein Bewusstsein, das langfristig trägt.
Ein Assessment ist die Grundlage für jede Form von Compliance. Es zeigt, wo ein Unternehmen bereits gut aufgestellt ist und wo Nachbesserungsbedarf besteht. Dabei geht es nicht darum, Paragraphen zu zitieren, sondern die Anforderungen auf den eigenen Betrieb herunterzubrechen. Gerade bei NIS-2 geht es stark um Angemessenheit – also darum, Maßnahmen in Relation zu Risiko und Unternehmensgröße zu setzen. Ein Assessment hilft, diesen Nachweis fundiert zu führen.
Ein gutes Sicherheitsniveau schafft Vertrauen – intern wie extern. Kunden, Partner und Aufsichtsbehörden erwarten heute, dass Unternehmen verantwortungsvoll mit Daten und Systemen umgehen. Darüber hinaus fördert Cybersecurity Effizienz: Wenn Prozesse sauber dokumentiert und Risiken klar verteilt sind, funktioniert Zusammenarbeit besser. Oft entstehen aus Sicherheitsprojekten auch ganz neue Ideen für Prozessoptimierung oder Digitalisierung.
Ein häufiger Fehler ist, Sicherheit als reines IT-Projekt zu sehen. Das führt dazu, dass Maßnahmen isoliert umgesetzt werden und später an organisatorischen Hürden scheitern. Ein anderer Punkt ist fehlende Priorisierung – alles gleichzeitig zu wollen, funktioniert nicht. Und schließlich wird der Faktor Mensch oft unterschätzt: Viele Vorfälle entstehen durch Unwissen, nicht durch böswillige Absicht. Frühzeitige Einbindung und Kommunikation helfen enorm.
Automatisierung wird sicher zunehmen – etwa bei der Auswertung technischer Daten oder bei kontinuierlichem Monitoring. Aber der persönliche Blick bleibt entscheidend, vor allem wenn es um Kontext geht. Kein Tool kann die Kultur eines Unternehmens oder seine Risikotoleranz wirklich erfassen. Die Zukunft liegt wahrscheinlich in einer Kombination: automatisierte Analysen für Geschwindigkeit und menschliche Erfahrung für die richtige Einordnung.
Dr. med. Michael Ullmann ist Facharzt für Allgemeinmedizin, ehemaliger Herzchirurg und seit dem 1. Januar 2026 Geschäftsbereichsleiter Healthcare bei der Consileon Business Consultancy GmbH. Mit seiner Berufung hat Consileon die Krankenhausberatung und die digitale Transformation des Gesundheitswesens zum strategischen Schwerpunkt ausgebaut. Heute berät er mit seinem Team Krankenhäuser, Labore, Pharmaunternehmen sowie weitere Akteure im Gesundheitswesen. Ein Gespräch über Fachkräftemangel, NIS2, KI und darüber, warum gute Beratung im Gesundheitswesen auch eine gesellschaftliche Verpflichtung ist.
Gute Frage zum Einstieg. Den einen Moment gab es ehrlich gesagt nicht. Es war eher ein wachsendes Gefühl über die letzten Jahre hinweg. Ich habe als Arzt angefangen: Herzchirurgie, Universitätsklinik, echte Notfallsituationen. Dann kam irgendwann der Punkt, an dem ich gemerkt habe: Die größten Probleme in der Versorgung entstehen nicht am OP-Tisch, sondern in den Strukturen drumherum. Schlechte IT, fehlende Daten, fragmentierte Prozesse, kein Geld für Investitionen. Das hat mich zunehmend beschäftigt und irgendwann mehr als die medizinische Arbeit selbst.
Bei Consileon habe ich ein Team und ein Umfeld gefunden, das diese Komplexität ernst nimmt. Die Kollegen hier verstehen sowohl die betriebswirtschaftliche als auch die technologische Dimension und zunehmend auch die medizinische. Dass ich jetzt den Geschäftsbereich leite, fühlt sich weniger nach einem Karriereschritt an und mehr nach konsequentem Weiterdenken.
Weil Krankenhäuser keine gewöhnlichen Unternehmen sind. Wer einem Klinikgeschäftsführer erklären will, warum ein bestimmter Prozess nicht funktioniert, muss verstehen, wie eine Notaufnahme um drei Uhr morgens tickt. Wer eine Pflegedienstleitung davon überzeugen will, ein neues Dokumentationssystem einzuführen, muss wissen, was es bedeutet, zwölf Stunden im Dienst zu sein und dabei noch Formulare auszufüllen.
In unserem Team kennen Ärztinnen und Ärzte diesen Alltag aus eigener Erfahrung. Das schafft Vertrauen und bessere Lösungen. Gleichzeitig benötigen wir natürlich Fachexperten, die SAP beherrschen, die regulatorische Anforderungen im Schlaf kennen und KI-Architekturen bauen. Diese Kombination ist das, was uns ausmacht. Und ich sage das nicht, weil ich es schön klingen lassen will: Ich erlebe es täglich in meinen Projekten.
Das gilt übrigens nicht nur für Krankenhäuser. Wir beraten auch Pharmaunternehmen, Medizintechnikhersteller und medizinische Labore, und die Logik ist dieselbe. In einem Pharmaunternehmen sprechen wir über Zulassungsprozesse, GxP-Compliance und darüber, wie KI in regulierten Umgebungen eingesetzt werden kann. In einem Labor geht es um Digitalisierung der Prozesse, LIS, Schnittstellen. Überall braucht man Menschen, die die Prozesse und den Kontext wirklich kennen, nicht nur von außen beschreiben.
Was mir an Consileon insgesamt sehr gefällt, ist die Breite, die die gesamte Gruppe mitbringt. Wir sind keine Nischenberatung. Die Kollegen aus anderen Geschäftsbereichen, aus der Finanz- und Versicherungsbranche, aus dem Automotive-Sektor, bringen Erfahrungen mit, die uns im Healthcare-Bereich immer wieder weiterhelfen. Prozessoptimierung, Transformationsbegleitung, regulatorisches Change-Management: Das sind Disziplinen, die wir als Consileon seit mehr als 20 Jahren beherrschen und die wir jetzt konsequent in den Gesundheitssektor hineintragen.
Nein, und das wäre auch unehrlich. Rund vier von fünf deutschen Krankenhäusern schreiben rote Zahlen, das hat das Deutsche Krankenhausinstitut zuletzt bestätigt. Die seit Jahren diskutierte Krankenhausreform schafft einerseits neue Chancen, andererseits massive Unsicherheit. Viele Häuser wissen schlicht nicht, wie ihre Zukunft aussieht.
Ich kenne das aus eigener Erfahrung. Als ich noch in der Klinik war, haben wir über Betten diskutiert, die nicht belegt werden konnten, nicht wegen fehlender Patienten, sondern wegen fehlenden Personals. Über IT-Systeme, die nicht miteinander sprechen. Über Entscheidungen, die aus Kostendruck getroffen wurden und medizinisch eigentlich keine guten Entscheidungen waren. Das darf nicht der Dauerzustand sein.
Wir haben da im Wesentlichen zwei Stränge. Der Erste dreht sich um den Transformationsfonds, der im Rahmen der Krankenhausreform aufgelegt wurde. Klinikträger können über ihre Landesbehörde Mittel beantragen, um sich strukturell neu aufzustellen: Ambulantisierung, Spezialisierung, Kooperationen. Das klingt erstmal gut, aber die wenigsten Häuser haben die internen Kapazitäten, solche Anträge wirklich strategisch zu durchdenken, zu gestalten und durchzubringen. Da helfen wir: von der Analyse der eigenen Ausgangslage über die Antragsstrategie bis zur Umsetzungsbegleitung.
Der zweite Strang ist Fundraising, und das ist ein Thema, das im deutschen Krankenhaussektor noch stark unterschätzt wird. In den USA oder Großbritannien ist es selbstverständlich, dass Kliniken aktiv Spenden einwerben, über Stiftungen, Fördergesellschaften, Philanthropen. In Deutschland steckt das noch in den Kinderschuhen. Gemeinsam mit der FOM führen wir derzeit eine eigene Studie zu diesem Thema durch, deren Ergebnisse in Kürze vorliegen werden. Erste Gespräche mit Kliniken deuten darauf hin, dass das Potenzial enorm ist, aber auch, dass es struktureller Voraussetzungen bedarf, die viele Häuser noch nicht geschaffen haben.
Weil die Zeit abläuft und viele Häuser das noch nicht verinnerlicht haben. Mit der NIS2-Richtlinie fallen nahezu alle deutschen Krankenhäuser in den Anwendungsbereich einer ernsthaften Cybersicherheitsregulierung, unabhängig von Größe oder bisheriger KRITIS-Einstufung. Die Geschäftsführung haftet persönlich. Verstöße sind strafbewehrt. Das ist kein Papiertiger.
Ich erinnere mich noch gut an die Attacke auf die Uniklinik Düsseldorf im Jahr 2020. Rettungswagen wurden abgewiesen, eine Patientin starb, weil die IT ausgefallen war. Das war der erste dokumentierte Todesfall im unmittelbaren Zusammenhang mit einem Cyberangriff auf ein Krankenhaus. Seitdem ist viel geredet worden. Zu wenig ist passiert. Die Zahlen sprechen für sich: Rund 30 Prozent aller deutschen Krankenhäuser haben bereits einen schweren IT-Sicherheitsvorfall erlebt. Ein erfolgreicher Angriff findet statistisch alle zwei bis drei Wochen statt.
Und das Tückische daran: Die Angreifer wissen genau, dass Kliniken kaum Ausfalltoleranz haben. Wenn das KIS nicht läuft, steht der Betrieb still. Das macht sie erpressbar. Deswegen ist IT-Sicherheit im Krankenhaus keine IT-Frage. Sie ist eine Frage der Patientensicherheit.
Wir haben zum Beispiel den Consileon Compliance Manager entwickelt, ein KI-gestütztes Tool, das regulatorische Anforderungen wie NIS2, KRITIS oder den B3S automatisiert analysiert und mit der vorhandenen Dokumentation eines Hauses abgleicht. Es identifiziert Lücken, priorisiert den Handlungsbedarf und erstellt nachvollziehbare Bewertungen mit direkten Referenzen zu den relevanten Textstellen. So kann ein Krankenhaus jederzeit belegen, wo es steht.
Was mich dabei besonders freut: Wir reden hier nicht über ein Konzept oder einen PowerPoint-Folien-Ansatz. Das ist ein laufendes System, das wir selbst entwickelt haben.
KI wird in den nächsten Jahren zu einem zentralen Faktor im Krankenhaussektor. Das ist keine Prognose mehr; das ist Realität. Ärzte verbringen heute rund 35 Prozent ihrer Arbeitszeit mit der Dokumentation. Wenn KI das auch nur teilweise übernimmt, sind rein rechnerisch Tausende Arztstunden wieder für die eigentliche Versorgung verfügbar. Das ist kein Luxus, sondern eine Notwendigkeit angesichts des Fachkräftemangels.
Aber ich erlebe auch die andere Seite: Kliniken, die KI-Lösungen einkaufen, ohne zu wissen, was sie damit wollen. Tools, die schön in der Demo wirken und im Alltag scheitern. Governance, die fehlt. Daten, die nicht sauber sind. Schnittstellen, die nicht funktionieren.
Deswegen beraten wir nicht nur zur KI-Strategie, wir bauen auch selbst. Consileon verfügt mit dem Geschäftsbereich Software Solutions über die Fähigkeit, KI-Anwendungen tatsächlich zu entwickeln und in bestehende IT-Landschaften zu integrieren. Der Consileon Compliance Manager, von dem ich gerade gesprochen habe, ist ein Beispiel dafür. Wir verstehen nicht nur, wie man KI-Governance aufbaut, welche regulatorischen Anforderungen der EU AI-Act stellt oder wie man Risiken klassifiziert, wir haben auch die praktische Erfahrung, die man braucht, um zu wissen, wo Systeme in der Praxis wirklich scheitern.
Gute Beratung beginnt mit dem Verständnis dafür, dass KI kein Selbstzweck ist. Sie muss ein konkretes Problem lösen, messbar besser sein als die Alternative, und sie muss von den Menschen akzeptiert werden, die damit arbeiten. Eine Ärztin, die einem KI-Vorschlag nicht vertraut, wird ihn ignorieren, egal wie gut das Modell ist.
Schlechte Beratung beginnt mit der Technologie und fragt dann nach dem passendem Problem. Gute Beratung beginnt mit der Frage: Was ist das Problem? Was kostet dieses Problem die Klinik gerade? Und was wäre ein nachhaltiger Weg, es zu lösen? Grundsätzlich gilt: KI braucht ein Problem – aber nicht jedes Problem braucht KI.
Ich habe in meiner Industriezeit bei Nuance und Microsoft erlebt, wie groß der Unterschied ist zwischen einem KI-System, das im Labor funktioniert, und einem, das im klinischen Alltag wirklich hilft. Diese Erfahrung bringe ich direkt in unsere Projekte ein.
Ja, das mag sein. Aber ich meine es ernst. Krankenhäuser sind keine beliebigen Unternehmen. Sie versorgen Menschen in den verletzlichsten Momenten ihres Lebens. Wenn ein Krankenhaus schlechter wird oder schließt, trifft das direkt die Menschen: Patienten, Familien, ganze Regionen. Das spürt man in der ländlichen Versorgung heute schon deutlich.
Das gilt für den gesamten Sektor. Ein Pharmaunternehmen, das schlechte Prozesse hat, bringt Medikamente langsamer auf den Markt. Ein Medizintechnikhersteller, der regulatorische Anforderungen nicht im Griff hat, bremst Innovationen, die Patienten helfen könnten. Ein Labor, das seine Daten nicht sauber verwaltet, liefert Befunde, auf deren Basis Ärzte ggf. falsche Entscheidungen treffen. Die Qualität unserer Beratung hat also immer mittelbar Auswirkungen auf echte Menschen. Das ist eine Verantwortung, die ich sehr bewusst trage.
Wir als Consileon haben die Möglichkeit, diesen Akteuren zu helfen, besser zu werden. Effizienter, sicherer, zukunftsfähiger. Wenn wir das gut machen, verbessert das die Versorgung von Patienten. Das ist für mich und mein Team ein echter Antrieb, nicht nur ein Beratungsauftrag.
Ich glaube, das spüren auch unsere Klienten. Mir wurde mehr als einmal gesagt, dass der Unterschied in der Zusammenarbeit mit uns spürbar ist: Wir reden nicht von oben herab, wir sitzen im gleichen Boot. Das liegt auch daran, dass viele von uns selbst Teil dieses Systems waren.
Ich wünsche mir, dass wir zu einer echten Referenzadresse für Healthcare-Transformation in der DACH-Region werden, nicht weil wir die größten sind, sondern weil unsere Klienten wissen, dass sie bei uns Beratung bekommen, die funktioniert. Nicht auf dem Papier, sondern in der Realität.
Konkret: Ich möchte, dass unsere Fundraising-Studie echte Bewegung in die Krankenhausfinanzierung bringt. Ich möchte, dass der Consileon Compliance Manager in der Breite ankommt, weil die NIS2-Uhr tickt. Und ich möchte, dass wir in KI-Projekten zeigen, dass man Kliniken nicht nur beraten kann, sondern wirklich begleiten, von der Strategie bis zum fertigen System. Daran arbeiten wir, gemeinsam als Team. Und ich freue mich auf jeden Schritt davon.
Für mehr Informationen lesen Sie auch unsere Whitepaper „IT-Sicherheit im Krankenhausbetrieb: NIS2-Vorgaben und KI als Lösung“ und „Multi-Agenten-RAG im Krankenhaussektor“ oder unsere Studie zur Zukunftsfähigkeit medizinischer Labore.
Cybersecurity rückt mit der NIS-2-Richtlinie stärker denn je in den Fokus von Geschäftsführung und Management. Im Gespräch gibt Andreas Grau Einblicke, welche Herausforderungen und Chancen sich daraus für Unternehmen ergeben und wie eine strukturierte Umsetzung gelingen kann.
Cyberangriffe betreffen heute ganze Geschäftsmodelle und die Risiken sind nicht mehr rein technisch, sie gefährden zum Beispiel auch Lieferketten. Gleichzeitig verlangen EU-Richtlinien wie NIS-2 oder die deutsche Gesetzgebung mit dem IT-Sicherheitsgesetz 2.0 klare Verantwortlichkeiten auf Managementebene. IT-Sicherheit ist damit kein IT-Projekt mehr, sondern Teil der Unternehmenssteuerung. Wer Cybersecurity heute noch als rein technisches Thema behandelt, übersieht ihren strategischen Kern.
NIS-2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie erweitert den Geltungsbereich und die Anforderungen deutlich. Viele mittelständische Unternehmen, die bislang nicht betroffen waren, fallen nun unter die neuen Regeln. Ziel ist es, die Cyberresilienz in Europa zu stärken, damit Organisationen Angriffe abwehren und Vorfälle bewältigen können. Neu ist auch der Fokus auf Managementverantwortung, Meldepflichten sowie die Bewertung von Risiken entlang der Lieferkette. Die Meldepflichten sind kein bürokratisches Vehikel, sondern die Grundvoraussetzung für eine staatenübergreifende Abwehr im Falle von beispielsweise großflächigen, politisch motivierten Angriffen auf die Infrastruktur mehrerer EU-Mitgliedstaaten.
Die größte Hürde ist oft Orientierung. Viele wissen nicht genau, ob sie betroffen sind oder wie tiefgreifend die Anforderungen tatsächlich sind. Unternehmen müssen ihre Betroffenheit selbst prüfen. Hierzu empfehlen wir, sich Unterstützung zu holen, insbesondere wenn es um die genaue Einordnung der Kritikalität der Einrichtung geht. Dazu kommt: In vielen Unternehmen ist IT-Sicherheit historisch gewachsen – also fragmentiert, mit parallelen Systemen und unklaren Zuständigkeiten. NIS-2 zwingt dazu, das Thema strukturell zu verankern und abteilungsübergreifend zu denken. Das ist kein einfacher, aber ein notwendiger Schritt.
Wenn man NIS-2 nur als Regulierung sieht, wirkt sie lästig. Wer sie jedoch als Rahmen für die Sicherheit sowohl des eigenen Unternehmens als auch der Gesellschaft versteht, kann echten Mehrwert schaffen. Unternehmen, die ihre Sicherheitsprozesse systematisch aufbauen, werden resilienter und schneller handlungsfähig – auch jenseits von Cyberthemen. Viele nutzen die Umsetzung als Anlass, ihre IT-Landschaft zu modernisieren, Zuständigkeiten zu klären und Risiken erstmals ganzheitlich zu bewerten. Das schafft Transparenz und Vertrauen – intern wie extern.
Zuerst gilt es zu klären, ob und in welchem Umfang man von NIS-2 betroffen ist. Danach sollte eine Bestandsaufnahme erfolgen: Welche Systeme, Prozesse und Lieferanten sind kritisch? Auf dieser Grundlage kann priorisiert werden. Wichtig ist, klein anzufangen, aber konsequent zu bleiben: lieber bei allen Maßnahmen das Nötigste sauber umsetzen als nur einen Teil der Maßnahmen anzugehen. Ganz wichtig ist es, frühzeitig Verantwortung festzulegen, sonst bleibt das Thema in der Luft hängen. Um einen schnellen Einstieg zu ermöglichen, haben wir einen pragmatischen 2-Tages-Workshop entwickelt, der das notwendige Wissen aus Recht und IT an alle Beteiligten vermittelt und gleichzeitig eine Standortbestimmung mit Handlungsoptionen liefert.
Der häufigste Fehler ist, NIS-2 als reines IT-Projekt zu behandeln. Das führt zwangsläufig zu blinden Flecken. Ein anderer ist das Verständnis, man müsse in allen Punkten direkt Perfektion erreichen, um compliant zu sein. Sicherheit ist keine einmalige Maßnahme, sondern ein kontinuierlicher Verbesserungsprozess. Wer mit realistischen Zielen startet und regelmäßig überprüft, kommt langfristig weiter. Und schließlich: Kommunikation. Viele Projekte scheitern nicht an Technik, sondern daran, dass niemand außerhalb der IT versteht, warum das Ganze wichtig ist.
Die Vernetzung nimmt weiter zu und mit ihr die Angriffsfläche. KI wird vieles verändern, sowohl auf Seiten der Angreifer als auch der Verteidiger. Aber der wichtigste Trend ist vielleicht ein kultureller: Sicherheit wird zunehmend Teil der Unternehmens-DNA. Früher war sie etwas, an das man „mitgedacht“ hat. Heute wird sie zum Qualitätsmerkmal, zum Ausdruck von Professionalität und Verantwortungsbewusstsein.
Mich reizt die Schnittstelle zwischen Technik, Organisation und Mensch. NIS-2 zwingt Unternehmen dazu, diese Bereiche miteinander zu verbinden. Es ging mir bei meiner Arbeit immer schon darum, Sicherheit greifbar und handhabbar zu machen. Wenn man sieht, wie ein Unternehmen durch eine Bewusstseinsveränderung und klare Prozesse sicherer wird, merkt man, dass sich der Aufwand lohnt. Am Ende geht es nicht um Paragrafen, sondern um Vertrauen – in Systeme, in Menschen, in die eigene Handlungsfähigkeit.
Die neue EU-Richtlinie NIS-2 stellt viele Unternehmen vor große Herausforderungen. Komplexe Anforderungen, begrenzte Ressourcen und hoher Umsetzungsdruck sorgen dafür, dass das Thema schnell als bürokratische Belastung wahrgenommen wird. Dabei geht es im Kern um etwas anderes: die Stärkung der organisatorischen und technischen Resilienz gegenüber Cyberrisiken.
Ein Interview in der Ausgabe 3/2026 der Mitgliederzeitschrift des Instituts für Wirtschaftsprüfer (IDW Life ¹) zeigt, wie Unternehmen einen pragmatischen Einstieg in die NIS-2-Umsetzung finden können. Andreas Grau, Head of Cybersecurity bei Consileon, und Bernhard Schmid, Consultant bei 4IoT, erläutern, warum eine risikobasierte Herangehensweise entscheidend ist. Statt umfangreicher Dokumentation empfehlen sie, zunächst Transparenz über kritische Geschäftsprozesse und Informationswerte zu schaffen und Maßnahmen auf die größten Risiken zu konzentrieren.
Im Interview wird außerdem deutlich, dass NIS-2 nicht als reines IT-Thema verstanden werden sollte. Die Unternehmensleitung spielt eine zentrale Rolle: Sie priorisiert Risiken, definiert Zielniveaus und trifft strategische Entscheidungen zur Cyberresilienz. Damit wird Informationssicherheit zu einem Bestandteil der Unternehmenssteuerung, nicht zu einem isolierten Compliance-Projekt.
Krankenhäuser stehen heute vor steigenden Anforderungen an Informationssicherheit, Datenschutz und stabile IT‑Versorgung. Mehrere Regelwerke greifen dabei ineinander. Wichtig ist vor allem zu verstehen, dass sie sich ergänzen und nicht gegenseitig ersetzen.
Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bildet meist die Grundlage. Es sorgt dafür, dass Krankenhäuser systematisch mit Risiken für ihre IT und Daten umgehen, klare Verantwortlichkeiten definieren und Sicherheitsmaßnahmen dauerhaft steuern. Dadurch wird Informationssicherheit planbar und nachvollziehbar, ähnlich wie Qualitätsmanagement in der medizinischen Versorgung.
Die europäische NIS2‑Richtlinie verpflichtet viele Gesundheitseinrichtungen zusätzlich zu konkreten Cybersicherheitsmaßnahmen, Risikoanalysen und Meldepflichten bei Sicherheitsvorfällen. Ziel ist es, die Funktionsfähigkeit wichtiger gesellschaftlicher Einrichtungen, darunter Krankenhäuser, besser zu schützen.
In Deutschland betrifft das insbesondere Krankenhäuser, die als Kritische Infrastruktur (KRITIS) gelten. Diese müssen gegenüber dem Staat nachweisen, dass ihre IT‑Systeme angemessen abgesichert sind, damit die Patientenversorgung auch bei Störungen möglichst stabil bleibt.
Hier kommt der sogenannte B3S‑Standard ins Spiel. Der „Branchenspezifische Sicherheitsstandard“ für Krankenhäuser beschreibt konkret, welche Sicherheitsmaßnahmen im Klinikbetrieb als angemessen gelten. Er übersetzt allgemeine Sicherheitsanforderungen in die Praxis von medizinischen Einrichtungen, etwa im Umgang mit Medizintechnik, klinischen IT‑Systemen oder Notfallprozessen.
Kurz gesagt: Ein ISMS schafft die organisatorische Grundlage für Informationssicherheit. NIS2 und KRITIS definieren gesetzliche Anforderungen. Der B3S konkretisiert diese speziell für Krankenhäuser.
Zusammen helfen diese Regelwerke, Patientendaten zu schützen, Ausfälle zu vermeiden und die digitale Zukunft des Gesundheitswesens sicher zu gestalten.
Wir unterstützen Krankenhäuser dabei, Informationssicherheits‑ und Governance‑Strukturen praxisnah aufzubauen – von der Einführung eines ISMS über die Vorbereitung auf B3S‑ und regulatorische Anforderungen bis hin zur strategischen Einbindung neuer Technologien wie Künstlicher Intelligenz. Unser Fokus liegt auf umsetzbaren Lösungen, Management‑Orientierung und nachhaltiger organisatorischer Verankerung.
Wenn Sie Ihre Einrichtung sicher und zukunftsfähig aufstellen möchten, sprechen Sie uns gerne an.
In der neuen Folge des syracom-Podcasts „Security first – Kaffee zweitens“ waren David Pelchen und Daniel Volkhardt von der Q-SOFT GmbH zu Gast bei syracom in Wiesbaden. Gemeinsam sprechen die vier Kollegen in zwei Folgen über die strategische und operative Bedeutung von Informationssicherheitsmanagementsystemen (ISMS).
Die Doppelfolge „ISMS: Sicherheit beginnt nicht erst in der IT“ macht klar: Ein ISMS ist kein IT-Projekt „on top“ und weit mehr als eine ISO-27001-Zertifizierung. Richtig verstanden ist es ein strategisches Managementsystem, das Risiken strukturiert steuert und Informationssicherheit nachhaltig in der Organisation verankert.
Cyberangriffe, regulatorische Anforderungen und steigende Erwartungen von Kunden und Partnern machen Informationssicherheit zu einem geschäftskritischen Erfolgsfaktor. Ein ISMS nach ISO 27001 oder branchenspezifischen Standards wie TISAX schafft dafür einen belastbaren Rahmen: Risiken werden systematisch identifiziert und bewertet, Verantwortlichkeiten klar definiert, Maßnahmen priorisiert und Sicherheitsprozesse kontinuierlich verbessert.
In der Praxis scheitert ein ISMS jedoch selten an der Technik, sondern häufig an fehlender Governance, unklaren Rollen oder an einem System, das zwar dokumentiert ist, aber nicht gelebt wird. Genau hier setzt die Management-Perspektive an: Informationssicherheit braucht eindeutige Verantwortlichkeiten, klare Entscheidungswege und eine Steuerung, die sich in bestehende Abläufe integriert.
Ein wirksames ISMS zahlt direkt auf unternehmerische Ziele ein. Es erhöht Marktchancen, weil ISO 27001 in vielen Branchen Voraussetzung für Ausschreibungen und Partnerschaften ist. Es stärkt Kundenvertrauen und kann Vertriebszyklen verkürzen. Zudem reduziert es finanzielle Risiken, etwa durch die Vermeidung von Sicherheitsvorfällen, Betriebsunterbrechungen oder Bußgeldern. Und es schafft effizientere Prozesse, weil klare Governance-Strukturen Reibungsverluste und Doppelaufwände verringern.
Teil 1:
Teil 2:
Wir unterstützen Sie dabei, Ihren aktuellen Reifegrad korrekt einzuordnen, Handlungsfelder zu identifizieren, Maßnahmen sinnvoll zu priorisieren und ein wirksames, nachhaltiges Informationssicherheits-Managementsystem aufzubauen.
Mit der NIS2-Richtlinie rücken IT-Sicherheit und Cyberresilienz endgültig in den Fokus des Gesundheitswesens. Krankenhäuser stehen vor der Herausforderung, umfassende Anforderungen umzusetzen: dauerhaft, sanktionsbewehrt und unter hoher Verantwortung der Geschäftsführung. Dr. Michael Ullmann erläutert im Interview, warum NIS2 keinen Aufschub mehr duldet, wie Künstliche Intelligenz die Umsetzung unterstützen kann und was jetzt zu tun ist.
Kurz gesagt: fast alles. Die Zeiten selektiver Regulierung sind vorbei. Mit NIS2 sind nahezu alle Krankenhäuser in Deutschland betroffen, unabhängig von Bettenzahl oder KRITIS-Einstufung. Entscheidend ist künftig die Unternehmensgröße, also insbesondere die Anzahl der Mitarbeiter. Das bedeutet: Cybersicherheit wird zur verpflichtenden Daueraufgabe. Die Geschäftsleitung trägt die Verantwortung persönlich und kann sie nicht delegieren.
Es geht nicht nur um technische Schutzmaßnahmen, sondern um ein umfassendes Sicherheits- und Governance-Framework. Dazu zählen unter anderem Risikobewertungen, Business-Continuity-Konzepte, Meldepflichten bei Vorfällen, Absicherung der Lieferketten, kontinuierliche Schulungen und vor allem: eine lückenlose Dokumentation. Krankenhäuser müssen jederzeit nachweisen können, dass sie compliant sind, auch ohne konkreten Vorfall.
Weil der Aufwand enorm ist. Die initialen Kosten nur für die Umsetzung der B3S-Richtlinien liegen laut Studien im ersten Jahr der Umsetzung schon bei bis zu zwei Millionen Euro pro Krankenhaus. Die NIS-2-Umsetzung wird geschätzt noch teurer werden. Hinzu kommen laufende Aufwände, personelle Engpässe und fehlende Erfahrung mit regulatorischen Anforderungen auf diesem Niveau. Klassische, meist manuelle Ansätze stoßen da schnell an Grenzen: Sie sind nicht skalierbar, nicht wirtschaftlich und liefern der Führungsebene kaum verwertbare Steuerungsgrundlagen.
KI-gestützte Systeme ermöglichen erstmals eine strukturierte, konsistente und reproduzierbare Auswertung regulatorischer Anforderungen. Konkret heißt das: Wir können große Mengen an Richtlinien, SOPs, Risikoanalysen oder Vertragsdokumenten automatisch analysieren, mit den Anforderungen aus NIS2 abgleichen und aufzeigen, wo Lücken bestehen. Damit schaffen wir Transparenz, reduzieren den manuellen Aufwand und liefern eine belastbare Grundlage für Entscheidungen.
Ja – unser „Regulatorik-Radar“ ist genau dafür entwickelt worden. Es handelt sich um eine KI-gestützte Lösung, die auf Basis eines mehrstufigen Agentenansatzes regulatorische Anforderungen mit vorliegenden Krankenhausdokumenten abgleicht. Die Ergebnisse sind nachvollziehbar begründet, referenzieren direkt auf relevante Stellen in den Dokumenten und unterstützen bei Reporting, Audit-Vorbereitung und Priorisierung. Der Mensch bleibt im Loop, aber er wird entlastet und besser informiert.
Ganz konkret: weniger Abhängigkeit von externen Beratungsleistungen, geringerer interner Aufwand, mehr Sicherheit bei Auditvorbereitungen und die Möglichkeit, Compliance als steuerbaren Prozess zu etablieren. Vorstände und Geschäftsführungen erhalten endlich einen Überblick über Umsetzungsstand und Risiken und können gezielt handeln, statt nur zu reagieren. In Zeiten knapper Ressourcen und wachsender Anforderungen ist das ein echter Hebel.
Bloß nicht warten. Jetzt ist der Zeitpunkt, strukturiert zu starten. Viele Häuser unterschätzen, wie schnell die Meldepflichten greifen und welche persönlichen Haftungsrisiken bestehen. Mit gezielter Beratung und der richtigen technologischen Unterstützung lässt sich der Weg zur Compliance deutlich effizienter und sicherer gestalten. Unsere Empfehlung: Betroffenheit klären, Umsetzungsstand analysieren, Lücken identifizieren und mit Augenmaß handeln.
Consileon unterstützt Krankenhäuser bei der Umsetzung von NIS2 mit regulatorischer Fachkompetenz, fundierter Erfahrung im Krankenhaussektor und modernster KI-Technologie. Das Regulatorik-Radar bietet eine skalierbare Lösung zur Analyse, Dokumentation und Steuerung aller relevanten Anforderungen.
Die fortschreitende Digitalisierung im Gesundheitswesen erhöht nicht nur Effizienz und Versorgungsqualität, sondern auch die Abhängigkeit von stabilen und sicheren IT-Systemen. Gleichzeitig geraten Krankenhäuser zunehmend ins Visier professioneller Cyberkriminalität. Angriffe auf kritische Infrastrukturen treffen auf eine minimale Ausfalltoleranz im laufenden Betrieb und haben im Ernstfall unmittelbare Auswirkungen auf die Patientensicherheit.
Mit der NIS2-Richtlinie reagiert der Gesetzgeber auf diese Entwicklung und verschärft die regulatorischen Anforderungen deutlich. Der bisherige selektive KRITIS-Ansatz entfällt. Künftig ist nicht mehr die Zahl der Behandlungsfälle entscheidend, sondern die Unternehmensgröße. Damit fallen nahezu alle Krankenhäuser in den Anwendungsbereich der NIS2-Regulierung – verbunden mit dauerhaften Pflichten, hohen Anforderungen an Dokumentation und Meldefähigkeit sowie einer persönlichen Haftung der Geschäftsführung.
Diese Entwicklung hat weitreichende Folgen: Organisation, Governance und Kostenstrukturen geraten unter Druck. Klassische, überwiegend manuelle Compliance-Ansätze stoßen angesichts begrenzter personeller Ressourcen, wachsender Dokumentationspflichten und steigender Audit-Anforderungen an ihre Grenzen.
Gleichzeitig eröffnen sich neue Möglichkeiten durch den Einsatz von Künstlicher Intelligenz. KI-gestützte Analyse- und Auditverfahren ermöglichen erstmals eine systematische, konsistente und nachvollziehbare Bewertung regulatorischer Anforderungen sowie vorhandener Dokumentation und schaffen damit Transparenz und Steuerbarkeit.
Unser Whitepaper „IT-Sicherheit im Krankenhausbetrieb – NIS2-Vorgaben und KI als Lösung“ zeigt,
Im Fokus stehen dabei nicht abstrakte Regulierungsdetails, sondern konkrete strategische Handlungsfelder für Geschäftsführung, IT, Informationssicherheit und Compliance im Krankenhausumfeld.
Laden Sie sich unser Whitepaper herunter und erfahren Sie, wie Krankenhäuser NIS2 als Anlass nutzen können, IT-Sicherheit strukturiert, steuerbar und patientensicher aufzustellen.
Digitale Sicherheit ist nicht nur eine technische Aufgabe, sondern auch ein zentraler Erfolgsfaktor für Unternehmen aller Branchen. Das Cybersecurity-Trainingsportfolio von Consileon unterstützt Teams, Fach- und Führungskräfte sowie Manager dabei, Risiken fundiert zu bewerten, regulatorische Anforderungen zu erfüllen und wirksame Sicherheitsstrategien zu entwickeln. Darüber hinaus kombiniert jedes Training aktuelles Expertenwissen mit praxisnahen Methoden, die direkt im Unternehmensalltag angewendet werden können. Auf diese Weise wird eine nachhaltige Grundlage geschaffen, um Sicherheitskompetenzen langfristig zu stärken und Organisationen resilienter zu machen.
In diesem zweitägigen Workshop erhalten Teilnehmer einen praxisnahen Überblick über die Anforderungen der europäischen NIS-2-Richtlinie. Gemeinsam mit einem Security-Experten und einem spezialisierten Anwalt analysieren Sie die Auswirkungen auf Ihr Unternehmen, identifizieren zentrale Handlungsfelder und leiten priorisierte Maßnahmen auf Basis einer integrierten Red-Flag-Analyse ab. Sie gewinnen ein Verständnis für rechtliche Pflichten, Sicherheitsmaßnahmen sowie das Vorgehen bei Berichtspflichten. Abschließend erhalten Sie einen kompakten Ergebnisbericht mit klaren Handlungsempfehlungen für Ihr Management.
>>> Jetzt buchen bei der Consileon Academy
Dieses Training bietet eine kompakte und verständliche Einführung in den Aufbau sowie die zentralen Anforderungen eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001. Ideal für Einsteiger und Verantwortliche, die ein strukturiertes Verständnis der Informationssicherheit erlangen möchten. Dabei werden nicht nur theoretische Grundlagen vermittelt, sondern auch praxisnahe Beispiele herangezogen, um zu zeigen, wie ein ISMS Schritt für Schritt aufgebaut werden kann. Die Teilnehmer lernen zudem, Risiken zu bewerten und geeignete Maßnahmen abzuleiten.
>>> Jetzt buchen bei der Consileon Academy
Dieses Training bietet einen kompakten und verständlichen Einstieg in das Informationssicherheitsmanagementsystem der Automobilbranche. Innerhalb eines Tages erhalten Sie einen Überblick über Anforderungen, den Prüfprozess sowie praktische Vorbereitungsschritte für ein TISAX-Assessment. Ferner lernen Teilnehmer, wie ein sinnvoller Scope definiert wird, welche Prüflevel es gibt und welche Rollen im Unternehmen beteiligt sind. Das Training richtet sich insbesondere an Unternehmen, die ein Verständnis für die Bedeutung von TISAX sowie einen effizienten Einstieg in das Thema suchen.
>>> Jetzt buchen bei der Consileon Academy
Die Consileon Academy steht für praxisnahe Weiterbildung, moderne Lernmethoden und fundiertes Fachwissen aus realen Beratungsprojekten. Durch kleine Gruppen, interaktive Formate und erfahrene Trainer entstehen nachhaltige Lernerfolge, die gezielt auf den Wissensstand der Teilnehmer abgestimmt sind. Es werden sowohl freie Trainings als auch Inhouse-Trainings für Unternehmen angeboten. Wir freuen uns auf Ihre Anfrage!
In der neuen Folge des syracom-Podcasts „Security first – Kaffee zweitens“ dreht sich alles um ein Thema, das derzeit tausende Unternehmen vor große Herausforderungen stellt: NIS-2. Die EU-Richtlinie zur Erhöhung der Cybersicherheit löst nicht nur die bisherige NIS-1-Regulierung ab, sondern verschärft die Anforderungen in nahezu allen Bereichen. Genau das nehmen Marius Dreixler und Tino Müller von syracom gemeinsam mit ihrem Gast Andreas Grau von Consileon kritisch unter die Lupe.
Unter dem Titel „NIS-2: Pflicht, Panik, Paragraphen – Was die EU-Richtlinie wirklich bedeutet“ bietet die Folge einen praxisnahen Überblick: Was ändert sich konkret? Wen betrifft die neue Regulierung? Und welche organisatorischen, technischen und rechtlichen Schritte müssen Unternehmen jetzt einleiten, um rechtzeitig compliant zu sein?
Während NIS-1 vor allem klassische KRITIS-Betreiber adressierte, erweitert NIS-2 den Anwendungsbereich erheblich. Neu im Fokus stehen sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen – darunter Unternehmen, die keine kritischen Anlagen betreiben, aber dennoch essenziell für Wirtschaft und Gesellschaft sind. In Deutschland betrifft dies bis zu 30.000 Organisationen, die sich erstmals systematisch mit Cybersicherheits- und Compliance-Auflagen auseinandersetzen müssen.
Für Compliance-Verantwortliche, Risk Manager und CISOs steigt damit der Druck: Risikomanagement, Governance, Dokumentationspflichten und Meldewege müssen neu bewertet und teilweise komplett neu aufgebaut werden. Zudem werden die Geschäftsleitungen stärker in die Verantwortung genommen, und die Sanktionen bei Verstößen fallen deutlich härter aus als bisher.
• Was regelt NIS-2 konkret und worin unterscheidet sich die Richtlinie von NIS-1?
• Welche Unternehmen fallen unter den neuen Anwendungsbereich?
• Welche Pflichten resultieren daraus für Geschäftsleitung, IT, Risk Management und Compliance?
• Was sind die wichtigsten ersten Schritte auf dem Weg zur Umsetzung?
• Welche Chancen ergeben sich aus den strengeren Standards für Cyberresilienz, Geschäftskontinuität und Sicherheitskultur?
Die Podcastfolge eignet sich sowohl für Einsteiger als auch für Fachverantwortliche, die tiefer in Governance, Risk und Compliance eintauchen wollen.
Die Integration der NIS-2-Vorgaben in gewachsene IT- und Prozesslandschaften ist komplex. Alte Systeme, fehlende Dokumentation und organisatorische Silos erschweren die Umsetzung erheblich. NIS-2 verlangt zudem deutlich mehr als nur technische Maßnahmen. Prozesse müssen nachvollziehbar beschrieben, Kontrollen sauber dokumentiert und regelmäßige Aktualisierungen sichergestellt werden – eine Herausforderung, die nur mit enger Zusammenarbeit zwischen IT, Compliance, Risiko und Fachbereichen zu bewältigen ist.
Genau an dieser Stelle setzt Consileon an: Mit strukturierten Roadmaps, KI-gestützter Dokumentenanalyse und Best Practices aus zahlreichen Projekten unterstützen wir Unternehmen dabei, NIS-2 nicht nur formal, sondern strategisch sinnvoll umzusetzen.
Wir unterstützen Sie dabei, Ihre Betroffenheit korrekt einzuordnen, notwendige Maßnahmen zu priorisieren und eine effiziente, nachhaltige Sicherheitsstrategie aufzubauen. Sprechen Sie uns gerne an und klären Sie mit unseren Expertinnen und Experten, welche konkreten Schritte für Ihre Organisation jetzt relevant sind.