Ein Klick auf einen schadhaften E-Mail-Anhang kann reichen – und ein Spitalbetrieb steht still. Angriffe auf Kliniken haben in den letzten Jahren mehrfach gezeigt, wie verletzlich das Gesundheitswesen ist. Die EU-Richtlinie NIS2 fordert deshalb klare Zuständigkeiten: vom Verwaltungsrat bis zum IT-Support muss nachvollziehbar sein, wer im Ernstfall welche Rolle spielt.
Verantwortlichkeiten gemäss Artikel 21 NIS2
NIS2 verpflichtet Einrichtungen in kritischen Sektoren, darunter das Gesundheitswesen, ein strukturiertes Risikomanagement einzuführen. Artikel 21 der Richtlinie schreibt u. a. vor: regelmässige Risikoanalysen, dokumentierte Notfallpläne (Business Continuity und Disaster Recovery), Überprüfung der Lieferkettensicherheit, Verschlüsselung sensibler Daten und Schulungsprogramme für Mitarbeitende. Besonders wichtig: Die Geschäftsleitung wird ausdrücklich in die Verantwortung genommen – Cybersicherheit ist keine reine IT-Aufgabe mehr.
ECSF als Umsetzungshilfe: Rollen und Profile
Das European Cybersecurity Skills Framework (ECSF) der ENISA definiert zwölf Rollenprofile, die als Blaupause für die Umsetzung der NIS2-Pflichten dienen. Der ENISA-Leitfaden „Mapping NIS2 Obligations with ECSF Role Profiles“ (2025) zeigt detailliert auf, welche Aufgaben welchen Rollen zugeordnet werden können. Dazu zählen:
Chief Information Security Officer (CISO): Gesamtverantwortung für Strategie, Sicherheitsrichtlinien und Krisenmanagement.
Cyber Incident Responder: Schnelle Reaktion bei Angriffen, Koordination mit internen Teams und externen Behörden, Umsetzung der Meldepflichten nach Artikel 23.
Cyber Legal, Policy & Compliance Officer: Sicherstellung der regulatorischen Vorgaben, Dokumentation und Reporting, Sensibilisierung des Managements für Haftungsfragen.
Cybersecurity Architect: Gestaltung sicherer Systemarchitekturen, Segmentierung von Kliniknetzwerken, Schutz medizinischer Geräte und sensibler Daten.
Fallbeispiel: Cyberangriffe auf Spitäler
In den letzten Jahren haben Cyberangriffe mehrfach Spitäler in Europa getroffen. 2024 legte ein Angriff auf den Labordienstleister Synnovis in London mehrere Spitäler lahm, über 1’600 Operationen und Behandlungen mussten verschoben werden (The Guardian, NHS England). Und im Sommer 2025 sah sich der Spitalbetreiber Ameos gezwungen, in mehreren Häusern die IT-Systeme herunterzufahren (The Register). Diese Fälle zeigen: Ohne definierte Rollen und klare Meldeketten geraten Spitäler nicht nur in organisatorische Schieflage, sondern riskieren auch Menschenleben.
Schweizer Perspektive: Meldepflicht seit 2025
Seit dem 1. April 2025 gilt in der Schweiz eine gesetzliche Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Das Bundesamt für Cybersicherheit (BACS) erwartet innerhalb von 24 Stunden eine Erstmeldung, ergänzt durch detaillierte Informationen innert 14 Tagen. Auch hier gilt: Rollen wie Incident Responder oder Compliance Officer müssen im Voraus benannt sein, um die Fristen einhalten zu können. Damit zieht die Schweiz die Konsequenz aus den zunehmenden Angriffen auf ihre Gesundheits- und Versorgungsstrukturen.
Umsetzung in der Praxis
Kliniken und KMU im Gesundheitswesen tun gut daran, ein Sicherheitsorganigramm auf Basis des ECSF zu erstellen. Wer übernimmt das Incident Reporting? Wer kümmert sich um Lieferanten-Reviews? Wer trainiert das Personal? In kleineren Organisationen mag eine Person mehrere Rollen übernehmen, in grösseren Häusern sind dedizierte Fachstellen nötig. Entscheidend ist nicht die Titelbezeichnung, sondern dass Verantwortlichkeiten klar dokumentiert und ausgeübt werden.
Fazit
NIS2 Verantwortlichkeiten im Gesundheitswesen müssen organisatorisch verankert und mit Leben gefüllt werden. Das ECSF bietet dafür einen praxistauglichen Rahmen, der hilft, Pflichten auf konkrete Rollen abzubilden. Spitäler, Labore und Praxen gewinnen dadurch Klarheit, schnellere Reaktionsfähigkeit und erhöhen ihre Compliance-Sicherheit.
CISO as a Service – Ihr nächster Schritt
Wer NIS2-Pflichten zuverlässig erfüllen will, braucht klare Zuständigkeiten und geprüfte Prozesse. Mit unserem Angebot CISO as a Service stellen wir Ihnen erfahrene Sicherheitsexperten zur Seite, die Ihre Organisation flexibel unterstützen: von der Entwicklung einer Sicherheitsstrategie über die Umsetzung von Governance- und Risikoprozessen bis hin zur Begleitung im Ernstfall.
So profitieren Sie von derselben Expertise wie bei einem internen CISO – jedoch in einem Modell, das sich passgenau an Ihre Strukturen und Ihr Budget anpasst. Kontaktieren Sie uns für ein unverbindliches Gespräch und erfahren Sie, wie Sie Ihre NIS2-Verpflichtungen pragmatisch und wirksam erfüllen können.
Key Take-away – Rollen klar benennen
Erstellen Sie ein Security-Organigramm nach ECSF, definieren Sie klare Verantwortlichkeiten und proben Sie den Ernstfall. Nur wer Rollen im Voraus festlegt, kann im Angriffsfall schnell und regelkonform reagieren.
