EU Aktionsplan für die Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern

EU Aktionsplan für die Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern

Ziele, Maßnahmen und regulatorische Einordnung

Die zunehmende Digitalisierung des Gesundheitswesens erhöht Effizienz, Versorgungsqualität und Patientensicherheit – sie macht Krankenhäuser und Gesundheitsdienstleister jedoch zugleich zu einem der attraktivsten Ziele für Cyberangriffe. Vor diesem Hintergrund hat die Europäische Kommission am 15. Januar 2025 den Europäischen Aktionsplan für die Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern vorgestellt.

Der Aktionsplan ist Teil der politischen Leitlinien der EU-Kommission für die Jahre 2024–2029 und stellt die erste sektorspezifische Initiative dar, mit der das gesamte Instrumentarium der europäischen Cybersicherheitsarchitektur gezielt auf einen kritischen Sektor angewendet wird.

Warum steht das Gesundheitswesen im Fokus?

Krankenhäuser und Gesundheitsdienstleister gehören seit Jahren zu den am stärksten betroffenen Sektoren bei Cyberangriffen in der EU. Besonders Ransomware-Angriffe führen regelmäßig zu:

  • Ausfällen klinischer IT-Systeme
  • Verzögerungen oder Absagen medizinischer Behandlungen
  • Beeinträchtigungen der Notfallversorgung
  • Risiken für Leib und Leben von Patientinnen und Patienten

Gleichzeitig wächst die digitale Angriffsfläche durch elektronische Patientenakten, vernetzte Medizingeräte, Cloud-Infrastrukturen und KI-gestützte Anwendungen kontinuierlich. Die Kommission stuft das Gesundheitswesen daher ausdrücklich als kritischen Sektor im Sinne der NIS-2-Richtlinie ein.

Ziel des EU-Aktionsplans

Der EU-Aktionsplan verfolgt ein klares übergeordnetes Ziel:

Stärkung von Prävention, Erkennung, Reaktion und Resilienz gegenüber Cyberangriffen im Gesundheitswesen.

Konkret soll der Aktionsplan:

  • die Cyber-Resilienz von Krankenhäusern und Gesundheitsdienstleistern erhöhen,
  • bestehende EU-Cybersicherheitsinstrumente sektorbezogen operationalisieren,
  • praktische Unterstützung statt zusätzlicher Regulierung bieten.

Wichtig: Der Aktionsplan ist kein neues Gesetz, sondern eine Mitteilung der Europäischen Kommission mit koordinierendem und vorbereitendem Charakter.

Zentrale Rolle von ENISA

Kernstück des Aktionsplans ist der Auftrag an die EU-Agentur für Cybersicherheit (ENISA), ein

Europäisches Cybersecurity Support Centre

für Krankenhäuser und Gesundheitsdienstleister

einzurichten.

Dieses Zentrum soll als operativer Hub fungieren und u. a. bereitstellen:

  • maßgeschneiderte Leitlinien für das Gesundheitswesen
  • Tools zur Cybersicherheits- und Reifegradbewertung
  • Frühwarn- und Informationsdienste zu aktuellen Bedrohungen
  • Incident-Response-Playbooks speziell für Krankenhäuser
  • Schulungen und Trainingsprogramme für medizinisches und technisches Personal

ENISA erhält dabei keine neuen Aufsichts- oder Durchsetzungsbefugnisse. Die nationale Aufsicht verbleibt vollständig bei den zuständigen Behörden der Mitgliedstaaten im Rahmen von NIS2.

Einbettung in den bestehenden EU-Rechtsrahmen

Der Aktionsplan baut ausdrücklich auf bestehenden Rechtsakten auf und ergänzt diese operativ:

  • NIS-2-Richtlinie (EU) 2022/2555
    – Risikomanagement-, Melde- und Governance-Pflichten für den Gesundheitssektor
  • Cyber Resilience Act (EU) 2024/2847
    – Cybersicherheitsanforderungen an digitale Produkte, u. a. Medizingeräte
  • Cyber Solidarity Act
    – EU-weite Unterstützung bei schweren Cybervorfällen
  • Medizinprodukte-Verordnungen (MDR/IVDR), DSGVO, AI Act, European Health Data Space

Der Aktionsplan schafft keine neuen Pflichten, erhöht aber die praktischen Erwartungen an Umsetzungstiefe, Reifegrad und Krisenfähigkeit.

Zeitplan und nächste Schritte

Die Umsetzung ist schrittweise vorgesehen:

  • 2025
    • Aufbau des ENISA Support Centres
    • Start sektoraler Leitlinien, Reifegradmodelle und Pilotprojekte
    • Einrichtung eines europäischen Gesundheits-Cyberbeirats
    • EU-weite Konsultation der Stakeholder
  • Ende 2025
    • Veröffentlichung von Kommissionsempfehlungen zur weiteren Konkretisierung
  • 2026
    • Ausbau von Frühwarn-, Recovery- und Trainingsdiensten
    • Stärkere Vernetzung nationaler Initiativen und ISACs

Bedeutung für Krankenhäuser und Gesundheitsdienstleister

Auch wenn der Aktionsplan keine unmittelbaren neuen Compliance-Pflichten schafft, ist seine praktische Relevanz erheblich:

  • Aufsichtsbehörden werden sich künftig stärker an sektorspezifischen ENISA-Leitlinien orientieren.
  • Cyber-Resilienz, Notfallvorsorge und Wiederherstellungsfähigkeit rücken stärker in den Prüfungsfokus.
  • Krankenhäuser sollten ihre NIS-2-Umsetzung, Incident-Response-Konzepte und Schulungsprogramme frühzeitig mit den angekündigten Maßnahmen abgleichen.

Der EU-Aktionsplan für die Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern markiert einen strategischen Wendepunkt: weg von rein abstrakten Cyberpflichten, hin zu konkreter sektorbezogener Unterstützung.

Er ist kein neues Regulierungsinstrument, sondern ein operativer Verstärker des bestehenden EU-Cyberrechts – mit klarer Signalwirkung für Aufsicht, Betreiber kritischer Gesundheitsinfrastrukturen und IT-Dienstleister gleichermaßen.

Für Krankenhäuser und Gesundheitsdienstleister gilt daher: Jetzt ist der richtige Zeitpunkt, Cyber-Resilienz nicht nur formal, sondern operativ auf das nächste Niveau zu heben.

Communication_Action_Plan_Cybersecurity_Hospitals_and_Healthcare_providers_kLJVQz3cK3Qwcx0TtzYLX6JSH8_111664Herunterladen

Quelle: https://digital-strategy.ec.europa.eu/de/library/european-action-plan-cybersecurity-hospitals-and-healthcare-providers

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert