Cybersecurity rückt mit der NIS-2-Richtlinie stärker denn je in den Fokus von Geschäftsführung und Management. Im Gespräch gibt Andreas Grau Einblicke, welche Herausforderungen und Chancen sich daraus für Unternehmen ergeben und wie eine strukturierte Umsetzung gelingen kann.
Cyberangriffe betreffen heute ganze Geschäftsmodelle und die Risiken sind nicht mehr rein technisch, sie gefährden zum Beispiel auch Lieferketten. Gleichzeitig verlangen EU-Richtlinien wie NIS-2 oder die deutsche Gesetzgebung mit dem IT-Sicherheitsgesetz 2.0 klare Verantwortlichkeiten auf Managementebene. IT-Sicherheit ist damit kein IT-Projekt mehr, sondern Teil der Unternehmenssteuerung. Wer Cybersecurity heute noch als rein technisches Thema behandelt, übersieht ihren strategischen Kern.
NIS-2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie erweitert den Geltungsbereich und die Anforderungen deutlich. Viele mittelständische Unternehmen, die bislang nicht betroffen waren, fallen nun unter die neuen Regeln. Ziel ist es, die Cyberresilienz in Europa zu stärken, damit Organisationen Angriffe abwehren und Vorfälle bewältigen können. Neu ist auch der Fokus auf Managementverantwortung, Meldepflichten sowie die Bewertung von Risiken entlang der Lieferkette. Die Meldepflichten sind kein bürokratisches Vehikel, sondern die Grundvoraussetzung für eine staatenübergreifende Abwehr im Falle von beispielsweise großflächigen, politisch motivierten Angriffen auf die Infrastruktur mehrerer EU-Mitgliedstaaten.
Die größte Hürde ist oft Orientierung. Viele wissen nicht genau, ob sie betroffen sind oder wie tiefgreifend die Anforderungen tatsächlich sind. Unternehmen müssen ihre Betroffenheit selbst prüfen. Hierzu empfehlen wir, sich Unterstützung zu holen, insbesondere wenn es um die genaue Einordnung der Kritikalität der Einrichtung geht. Dazu kommt: In vielen Unternehmen ist IT-Sicherheit historisch gewachsen – also fragmentiert, mit parallelen Systemen und unklaren Zuständigkeiten. NIS-2 zwingt dazu, das Thema strukturell zu verankern und abteilungsübergreifend zu denken. Das ist kein einfacher, aber ein notwendiger Schritt.
Wenn man NIS-2 nur als Regulierung sieht, wirkt sie lästig. Wer sie jedoch als Rahmen für die Sicherheit sowohl des eigenen Unternehmens als auch der Gesellschaft versteht, kann echten Mehrwert schaffen. Unternehmen, die ihre Sicherheitsprozesse systematisch aufbauen, werden resilienter und schneller handlungsfähig – auch jenseits von Cyberthemen. Viele nutzen die Umsetzung als Anlass, ihre IT-Landschaft zu modernisieren, Zuständigkeiten zu klären und Risiken erstmals ganzheitlich zu bewerten. Das schafft Transparenz und Vertrauen – intern wie extern.
Zuerst gilt es zu klären, ob und in welchem Umfang man von NIS-2 betroffen ist. Danach sollte eine Bestandsaufnahme erfolgen: Welche Systeme, Prozesse und Lieferanten sind kritisch? Auf dieser Grundlage kann priorisiert werden. Wichtig ist, klein anzufangen, aber konsequent zu bleiben: lieber bei allen Maßnahmen das Nötigste sauber umsetzen als nur einen Teil der Maßnahmen anzugehen. Ganz wichtig ist es, frühzeitig Verantwortung festzulegen, sonst bleibt das Thema in der Luft hängen. Um einen schnellen Einstieg zu ermöglichen, haben wir einen pragmatischen 2-Tages-Workshop entwickelt, der das notwendige Wissen aus Recht und IT an alle Beteiligten vermittelt und gleichzeitig eine Standortbestimmung mit Handlungsoptionen liefert.
Der häufigste Fehler ist, NIS-2 als reines IT-Projekt zu behandeln. Das führt zwangsläufig zu blinden Flecken. Ein anderer ist das Verständnis, man müsse in allen Punkten direkt Perfektion erreichen, um compliant zu sein. Sicherheit ist keine einmalige Maßnahme, sondern ein kontinuierlicher Verbesserungsprozess. Wer mit realistischen Zielen startet und regelmäßig überprüft, kommt langfristig weiter. Und schließlich: Kommunikation. Viele Projekte scheitern nicht an Technik, sondern daran, dass niemand außerhalb der IT versteht, warum das Ganze wichtig ist.
Die Vernetzung nimmt weiter zu und mit ihr die Angriffsfläche. KI wird vieles verändern, sowohl auf Seiten der Angreifer als auch der Verteidiger. Aber der wichtigste Trend ist vielleicht ein kultureller: Sicherheit wird zunehmend Teil der Unternehmens-DNA. Früher war sie etwas, an das man „mitgedacht“ hat. Heute wird sie zum Qualitätsmerkmal, zum Ausdruck von Professionalität und Verantwortungsbewusstsein.
Mich reizt die Schnittstelle zwischen Technik, Organisation und Mensch. NIS-2 zwingt Unternehmen dazu, diese Bereiche miteinander zu verbinden. Es ging mir bei meiner Arbeit immer schon darum, Sicherheit greifbar und handhabbar zu machen. Wenn man sieht, wie ein Unternehmen durch eine Bewusstseinsveränderung und klare Prozesse sicherer wird, merkt man, dass sich der Aufwand lohnt. Am Ende geht es nicht um Paragrafen, sondern um Vertrauen – in Systeme, in Menschen, in die eigene Handlungsfähigkeit.
Die neue EU-Richtlinie NIS-2 stellt viele Unternehmen vor große Herausforderungen. Komplexe Anforderungen, begrenzte Ressourcen und hoher Umsetzungsdruck sorgen dafür, dass das Thema schnell als bürokratische Belastung wahrgenommen wird. Dabei geht es im Kern um etwas anderes: die Stärkung der organisatorischen und technischen Resilienz gegenüber Cyberrisiken.
Ein Interview in der Ausgabe 3/2026 der Mitgliederzeitschrift des Instituts für Wirtschaftsprüfer (IDW Life ¹) zeigt, wie Unternehmen einen pragmatischen Einstieg in die NIS-2-Umsetzung finden können. Andreas Grau, Head of Cybersecurity bei Consileon, und Bernhard Schmid, Consultant bei 4IoT, erläutern, warum eine risikobasierte Herangehensweise entscheidend ist. Statt umfangreicher Dokumentation empfehlen sie, zunächst Transparenz über kritische Geschäftsprozesse und Informationswerte zu schaffen und Maßnahmen auf die größten Risiken zu konzentrieren.
Im Interview wird außerdem deutlich, dass NIS-2 nicht als reines IT-Thema verstanden werden sollte. Die Unternehmensleitung spielt eine zentrale Rolle: Sie priorisiert Risiken, definiert Zielniveaus und trifft strategische Entscheidungen zur Cyberresilienz. Damit wird Informationssicherheit zu einem Bestandteil der Unternehmenssteuerung, nicht zu einem isolierten Compliance-Projekt.
Mit der NIS2-Richtlinie rücken IT-Sicherheit und Cyberresilienz endgültig in den Fokus des Gesundheitswesens. Krankenhäuser stehen vor der Herausforderung, umfassende Anforderungen umzusetzen: dauerhaft, sanktionsbewehrt und unter hoher Verantwortung der Geschäftsführung. Dr. Michael Ullmann erläutert im Interview, warum NIS2 keinen Aufschub mehr duldet, wie Künstliche Intelligenz die Umsetzung unterstützen kann und was jetzt zu tun ist.
Kurz gesagt: fast alles. Die Zeiten selektiver Regulierung sind vorbei. Mit NIS2 sind nahezu alle Krankenhäuser in Deutschland betroffen, unabhängig von Bettenzahl oder KRITIS-Einstufung. Entscheidend ist künftig die Unternehmensgröße, also insbesondere die Anzahl der Mitarbeiter. Das bedeutet: Cybersicherheit wird zur verpflichtenden Daueraufgabe. Die Geschäftsleitung trägt die Verantwortung persönlich und kann sie nicht delegieren.
Es geht nicht nur um technische Schutzmaßnahmen, sondern um ein umfassendes Sicherheits- und Governance-Framework. Dazu zählen unter anderem Risikobewertungen, Business-Continuity-Konzepte, Meldepflichten bei Vorfällen, Absicherung der Lieferketten, kontinuierliche Schulungen und vor allem: eine lückenlose Dokumentation. Krankenhäuser müssen jederzeit nachweisen können, dass sie compliant sind, auch ohne konkreten Vorfall.
Weil der Aufwand enorm ist. Die initialen Kosten nur für die Umsetzung der B3S-Richtlinien liegen laut Studien im ersten Jahr der Umsetzung schon bei bis zu zwei Millionen Euro pro Krankenhaus. Die NIS-2-Umsetzung wird geschätzt noch teurer werden. Hinzu kommen laufende Aufwände, personelle Engpässe und fehlende Erfahrung mit regulatorischen Anforderungen auf diesem Niveau. Klassische, meist manuelle Ansätze stoßen da schnell an Grenzen: Sie sind nicht skalierbar, nicht wirtschaftlich und liefern der Führungsebene kaum verwertbare Steuerungsgrundlagen.
KI-gestützte Systeme ermöglichen erstmals eine strukturierte, konsistente und reproduzierbare Auswertung regulatorischer Anforderungen. Konkret heißt das: Wir können große Mengen an Richtlinien, SOPs, Risikoanalysen oder Vertragsdokumenten automatisch analysieren, mit den Anforderungen aus NIS2 abgleichen und aufzeigen, wo Lücken bestehen. Damit schaffen wir Transparenz, reduzieren den manuellen Aufwand und liefern eine belastbare Grundlage für Entscheidungen.
Ja – unser „Regulatorik-Radar“ ist genau dafür entwickelt worden. Es handelt sich um eine KI-gestützte Lösung, die auf Basis eines mehrstufigen Agentenansatzes regulatorische Anforderungen mit vorliegenden Krankenhausdokumenten abgleicht. Die Ergebnisse sind nachvollziehbar begründet, referenzieren direkt auf relevante Stellen in den Dokumenten und unterstützen bei Reporting, Audit-Vorbereitung und Priorisierung. Der Mensch bleibt im Loop, aber er wird entlastet und besser informiert.
Ganz konkret: weniger Abhängigkeit von externen Beratungsleistungen, geringerer interner Aufwand, mehr Sicherheit bei Auditvorbereitungen und die Möglichkeit, Compliance als steuerbaren Prozess zu etablieren. Vorstände und Geschäftsführungen erhalten endlich einen Überblick über Umsetzungsstand und Risiken und können gezielt handeln, statt nur zu reagieren. In Zeiten knapper Ressourcen und wachsender Anforderungen ist das ein echter Hebel.
Bloß nicht warten. Jetzt ist der Zeitpunkt, strukturiert zu starten. Viele Häuser unterschätzen, wie schnell die Meldepflichten greifen und welche persönlichen Haftungsrisiken bestehen. Mit gezielter Beratung und der richtigen technologischen Unterstützung lässt sich der Weg zur Compliance deutlich effizienter und sicherer gestalten. Unsere Empfehlung: Betroffenheit klären, Umsetzungsstand analysieren, Lücken identifizieren und mit Augenmaß handeln.
Consileon unterstützt Krankenhäuser bei der Umsetzung von NIS2 mit regulatorischer Fachkompetenz, fundierter Erfahrung im Krankenhaussektor und modernster KI-Technologie. Das Regulatorik-Radar bietet eine skalierbare Lösung zur Analyse, Dokumentation und Steuerung aller relevanten Anforderungen.
Die fortschreitende Digitalisierung im Gesundheitswesen erhöht nicht nur Effizienz und Versorgungsqualität, sondern auch die Abhängigkeit von stabilen und sicheren IT-Systemen. Gleichzeitig geraten Krankenhäuser zunehmend ins Visier professioneller Cyberkriminalität. Angriffe auf kritische Infrastrukturen treffen auf eine minimale Ausfalltoleranz im laufenden Betrieb und haben im Ernstfall unmittelbare Auswirkungen auf die Patientensicherheit.
Mit der NIS2-Richtlinie reagiert der Gesetzgeber auf diese Entwicklung und verschärft die regulatorischen Anforderungen deutlich. Der bisherige selektive KRITIS-Ansatz entfällt. Künftig ist nicht mehr die Zahl der Behandlungsfälle entscheidend, sondern die Unternehmensgröße. Damit fallen nahezu alle Krankenhäuser in den Anwendungsbereich der NIS2-Regulierung – verbunden mit dauerhaften Pflichten, hohen Anforderungen an Dokumentation und Meldefähigkeit sowie einer persönlichen Haftung der Geschäftsführung.
Diese Entwicklung hat weitreichende Folgen: Organisation, Governance und Kostenstrukturen geraten unter Druck. Klassische, überwiegend manuelle Compliance-Ansätze stoßen angesichts begrenzter personeller Ressourcen, wachsender Dokumentationspflichten und steigender Audit-Anforderungen an ihre Grenzen.
Gleichzeitig eröffnen sich neue Möglichkeiten durch den Einsatz von Künstlicher Intelligenz. KI-gestützte Analyse- und Auditverfahren ermöglichen erstmals eine systematische, konsistente und nachvollziehbare Bewertung regulatorischer Anforderungen sowie vorhandener Dokumentation und schaffen damit Transparenz und Steuerbarkeit.
Unser Whitepaper „IT-Sicherheit im Krankenhausbetrieb – NIS2-Vorgaben und KI als Lösung“ zeigt,
Im Fokus stehen dabei nicht abstrakte Regulierungsdetails, sondern konkrete strategische Handlungsfelder für Geschäftsführung, IT, Informationssicherheit und Compliance im Krankenhausumfeld.
Laden Sie sich unser Whitepaper herunter und erfahren Sie, wie Krankenhäuser NIS2 als Anlass nutzen können, IT-Sicherheit strukturiert, steuerbar und patientensicher aufzustellen.