Worum geht es?
Mit dem Auslaufen des Krankenhauszukunftsgesetzes (KHZG) hat die digitale Transformation im Krankenhaus ihren Charakter verändert. Aus einem Förderprogramm ist ein regulatorischer Dämmerzustand geworden, in dem NIS-2, EU AI Act, ISiK-Stufe 3, KRITIS-Dachgesetz und der Cyber Resilience Act gleichzeitig auf eine personell und finanziell ausgeblutete Klinik-IT treffen.
Diese Episode ordnet die regulatorische Triade ein und beleuchtet, warum IT-Sicherheit nicht mehr nur ein operatives, sondern ein persönliches Haftungsthema der Geschäftsführung geworden ist – mit klaren Implikationen für D&O-Deckung, IT-Personal und Verbundstrategien.
Die wichtigsten Themen
Compliance-Paradoxon des KHZG: Warum 4,3 Milliarden Euro Fördervolumen den DigitalRadar-Score nur von 33,3 auf 42,5 von 100 Punkten gehoben haben – und rund 30 Prozent der Projekte laut DKG nicht fristgerecht abgeschlossen werden.
NIS-2 als persönliche Vorstandspflicht: Seit 06.12.2025 haften Geschäftsleitungen nach § 30 BSIG persönlich; die Registrierungsfrist beim BSI endete am 06.03.2026, ihre Verstoßtatbestände sind bußgeldbewehrt.
D&O unter Druck: Warum Versicherer 2026 zunehmend einen lückenlosen B3S-Nachweis fordern und ein Ransomware-Schaden 1,3 bis 5,4 Mio. Euro kostet – mit privatem Haftungsrisiko für den Vorstand.
Cyberangriffe – das Gesundheitswesen führt die Statistik an: 74 Prozent Anstieg zwischen 2020 und 2024 laut BSI; warum die Gesundheits-Branche der am stärksten betroffene KRITIS-Sektor ist.
ISiK gegen Vendor Lock-in: Wie die HL7-FHIR-basierte Spezifikation der gematik die Top-4-KIS-Anbieter zur Öffnung zwingt – und welche Praxis-Effekte (Schnittstellen-Implementierung in sechs statt sechs Monaten) das hat.
EU AI Act ab August 2026: Warum Krankenhäuser für Hochrisiko-CDSS künftig Betreiberpflichten erfüllen müssen – einschließlich Bias-Monitoring auf der eigenen Patientenpopulation.
Personal-Dilemma 2,5 versus 4,0 FTE pro 100 Betten: Warum die heutige IT-Personalausstattung für die regulatorische Last nicht mehr reicht – und IT-Autarkie auf Einzelhausebene fahrlässig wird.
KRITIS-Dachgesetz und CRA: Wie sich Cybersecurity zur ganzheitlichen Resilienz wandelt, die physischen Schutz, Lieferkette und Medizintechnik mit der IT-Sicherheit verschmilzt.
Selektive Reife als Strategie: Warum 2026 keine Klinik in allen Feldern „fertig“ sein wird – und welche Priorisierungsentscheidungen der Vorstand bewusst treffen muss, bevor sie durch Sanktionen oder Vorfälle erzwungen werden.
Zum Blogbeitrag: Digitale Transformation zwischen Förderrausch und Haftungsfalle: Eine strategische Neubewertung 2026