Das DKG-Gutachten zeigt, dass viele Krankenhäuser nur eingeschränkt krisen- und verteidigungsfähig sind. Was bedeutet dieses Ergebnis konkret für die Versorgungssicherheit – und wie groß ist die Lücke zwischen dem, was Krankenhäuser heute leisten sollen, und dem, was sie im Ernstfall tatsächlich leisten können?

Das DKG-Gutachten macht deutlich, dass die Versorgungssicherheit in Krisenlagen keine Selbstverständlichkeit ist. Viele Kliniken sollen heute Regelversorgung, Krisenbewältigung und Verteidigungsvorsorge gleichzeitig leisten, verfügen dafür aber oft nicht über ausreichende personelle, finanzielle und infrastrukturelle Ressourcen. Die Resilienzlücke ist daher strukturell: Die Erwartungen an Krankenhäuser im Ernstfall übersteigen vielerorts ihre tatsächlichen Möglichkeiten. Zudem entsteht Versorgungssicherheit nicht allein im Krankenhaus, sondern nur im Zusammenspiel von Trägern, Politik, Rettungsdiensten, Versorgern und Dienstleistern.

Mit der NIS-2-Richtlinie und dem KRITIS-Dachgesetz kommen auf nahezu alle Krankenhäuser erhebliche Investitionen und organisatorische Veränderungen zu. Was braucht es jetzt, damit diese Transformation gelingen kann – und wo sollten Kliniken und Träger ansetzen, wenn Ressourcen, Personal und Investitionsmittel begrenzt sind?

Es geht um eine umfassende Transformation von Cybersecurity, Notfallmanagement, Lieferketten, Governance und Risikomanagement. Krankenhäuser sollten dabei nicht versuchen, alle Anforderungen gleichzeitig umzusetzen, sondern risikobasiert vorgehen: Transparenz schaffen, kritische Prozesse absichern, Verantwortlichkeiten klären und die Wiederanlauffähigkeit stärken. So lässt sich auch mit begrenzten Ressourcen ein großer Teil der geforderten Resilienz erreichen. Absolute Sicherheit wird es nicht geben. Entscheidend ist, Angriffe und Störungen früh zu erkennen, ihre Auswirkungen zu begrenzen und den Betrieb schnell wiederherzustellen.

Cyberangriffe auf Klinken und deren Dienstleister sind längst nicht mehr nur ein IT-Risiko, sondern ein Führungs- und Haftungsthema. Welche Voraussetzungen müssen Entscheider jetzt schaffen, damit aus Verantwortung im Ernstfall kein persönliches Risiko wird?

Cyberrisiken sind längst nicht mehr nur ein IT-Thema, sondern Teil der Führungs- und Aufsichtspflichten von Geschäftsführungen, Vorständen und Trägern. Mit NIS-2 werden Leitungsorgane ausdrücklich in die Verantwortung genommen. Entscheidend ist künftig, ob sie nachweisen können, angemessene Schutzmaßnahmen ergriffen zu haben. Die zentrale Aufgabe besteht daher darin, Cyberresilienz als Führungsaufgabe zu verankern. Persönliche Risiken entstehen vor allem dort, wo Risiken unterschätzt, Verantwortlichkeiten nicht klar geregelt oder Maßnahmen nicht nachvollziehbar gesteuert werden.