Krankenhäuser haften seit Dezember 2025 persönlich für fehlende Krisenstrukturen.
Wissen Sie, was Sie im Ernstfall vorlegen müssen?
NIS-2, KRITIS-Dachgesetz, EU AI Act — drei Gesetze, ein gemeinsamer Nenner: Die Verantwortung trifft die Geschäftsleitung persönlich. Ich helfe Ihnen, das geordnet und belegbar zu lösen.
Netz- und Informationssicherheit
bis 10 Mio. EUR
Resilienz kritischer Anlagen (CER)
Bußgeld + Haftung
Hochrisiko-KI in Medizin & Pflege
bis 15 Mio. EUR / 3 % Umsatz
IT-Sicherheit Krankenhäuser
Haftung GL
Geschäftsleitung persönlich
bis 10 Mio. EUR
Stand: Mai 2026
Quelle: BSI / BBK / EU-Amtsblatt
NIS-2 Registrierung
Frist abgelaufen — Stichproben laufen
BSI prüft aktiv
KRITIS Registrierung
17. Juli 2026
BBK-Meldeportal geöffnet
EU AI Act Hochrisiko
2. August 2026
Für KI in Medizin & Pflege
Seit Dezember 2025 ist die Situation für Krankenhäuser, Kommunen und kritische Infrastrukturen eine andere.
Konkrete Fristen, persönliche Haftung, Bußgelder bis in zweistellige Millionenbeträge. Und die Pflicht, das alles schriftlich, nachweisbar und geübt vorzuhalten. Das ist kein Verwaltungsakt — das ist Haftungsrecht.
NIS-2 / BSIG-Umsetzungsgesetz
Seit Dezember 2025 gilt das NIS-2-Umsetzungsgesetz in Deutschland. Krankenhäuser ab einer bestimmten Größe sind als wichtige Einrichtungen eingestuft — mit konkreten Meldepflichten, Sicherheitsanforderungen und Nachweispflichten beim BSI. Die erste Prüfwelle läuft.
KRITIS-Dachgesetz (CER-Richtlinie)
Das KRITIS-Dachgesetz trat am 17. März 2026 in Kraft. Betreiber kritischer Anlagen — darunter Krankenhäuser der Regel- und Maximalversorgung — müssen sich bis zum 17. Juli 2026 beim BBK registrieren und danach eine dokumentierte Risikoanalyse und einen Resilienzplan vorlegen.
EU AI Act — Hochrisiko-KI
Ab dem 2. August 2026 gelten die Hochrisiko-Anforderungen des AI Acts für KI-Systeme in der medizinischen Diagnostik und klinischen Entscheidungsunterstützung. Wer KI im klinischen Umfeld einsetzt, muss Konformitätsnachweise erbringen — sonst drohen Bußgelder bis 15 Mio. EUR oder 3 % des Jahresumsatzes.
§ 391 SGB V — IT-Sicherheit Krankenhäuser
Bereits seit 2022 verpflichtet § 391 SGB V Krankenhäuser zur Erfüllung des KRITIS-B3S-Standards und zur regelmäßigen Nachweisführung gegenüber dem BSI. Viele Häuser erfüllen diese Anforderung heute noch nicht vollständig — ein Haftungsrisiko für die Geschäftsleitung.
Die meisten Häuser wissen nicht, wo sie stehen.
Kein ehrliches Lagebild, keine klaren Zuständigkeiten, keine geübten Prozesse. Das ist kein Versagen — das ist der Normalzustand in der Branche. Ich ändere ihn: strukturiert, nachweisbar, belastbar.
Kein Konzept für die Schublade. Systeme, die im Ernstfall funktionieren.
Resilience Check
Analyse-Tag vor Ort
Ich analysiere Ihre aktuelle Krisen- und Compliance-Situation in einem strukturierten Tag vor Ort. Kein generischer Fragebogen — ein ehrliches Lagebild, das Sie sofort verwenden können.
Resilience Build
Aufbau Krisenmanagementsystem
Vollständiger Aufbau eines dokumentierten, geübten und auditierbaren Krisenmanagementsystems — angepasst an Ihre Organisation, Ihre Größe und Ihre regulatorischen Anforderungen.
Resilience Proof
Realitätsnahe Stabsübung
Szenariobasierte Übung mit Ihrem Führungsteam unter realistischen Bedingungen. Das Ergebnis ist kein Zertifikat für die Schublade — sondern eine nachgewiesene Handlungsfähigkeit.
KI-Risiko Assessment
Für Krankenhäuser, die KI-Systeme in der Diagnostik oder klinischen Entscheidungsunterstützung einsetzen. Hochrisiko-Klassifizierung nach EU AI Act, Fallback-Prozesse, Haftungsrisiken für Ärzte und Geschäftsleitung. Erweiterung zum Resilience Check.
Alle Leistungen können einzeln oder als Paket beauftragt werden. Erstgespräch ist kostenlos.
Es gibt Berater für dieses Thema. Keiner kombiniert, was hier zählt.
IT-Sicherheitsberater
Verkaufen NIS-2 als technisches Produkt
Kein klinisches Urteilsvermögen
Wirtschaftsprüfer
PwC, Rödl, Curacon — NIS-2-Frameworks
Keine operative Krisenmanagement-Erfahrung
Krisenmanagement-Spezialisten
DGfKM, SIUS — kennen die Methodik
Kein medizinischer oder militärischer Hintergrund
Was nicht existiert: jemand, der medizinisches Urteilsvermögen für klinische Ausfallszenarien mit echter Krisenmanagement-Praxis und operativer Führungserfahrung kombiniert.
“Kein IT-Berater versteht, was ein fehlerhafter Medikationsalgorithmus um 3 Uhr im OP bedeutet. Kein Krankenhaus-Berater weiß, wie Entscheidungsstrukturen unter Zeitdruck und Informationsmangel funktionieren.”
Fabian Schmidt
Notarzt · Krisenmanager · Gründer
Was Entscheider uns fragen
Bin ich als Krankenhaus wirklich von NIS-2 betroffen?
Ja, wenn Sie zur Regelversorgung oder höher zählen. Das NIS-2-Umsetzungsgesetz (BSIG) stuft Krankenhäuser als wichtige Einrichtungen ein — mit Meldepflichten, Sicherheitsanforderungen und Nachweispflichten gegenüber dem BSI. Die erste Frist lief im Februar 2025 ab.
Was passiert, wenn ich mich nicht bis zum 17. Juli beim BBK registriere?
Das KRITIS-Dachgesetz sieht Bußgelder vor und — wichtiger — die persönliche Haftung der Geschäftsleitung bleibt vollständig bestehen. Eine fehlende Registrierung dokumentiert mangelnde Sorgfaltspflicht. Das ist in keinem Haftungsfall hilfreich.
Was kostet ein Resilience Check?
Sprechen Sie mich direkt an. Der Preis hängt von Ihrer Organisationsgröße und Anzahl der Standorte ab. Der Resilience Check ist als Direktauftrag ohne Ausschreibung buchbar. Das Erstgespräch ist kostenlos.
Kann ich den Resilience Check als Grundlage für die BBK-Registrierung nutzen?
Ja. Das Risiko-Lagebild aus dem Resilience Check ist so aufbereitet, dass es direkt als Grundlage für die BBK-Registrierung und die nachgelagerten Nachweise (Risikoanalyse, Resilienzplan) verwendet werden kann.
Wissen Sie, wo Ihre Organisation wirklich steht?
Das kostenfreie Erstgespräch gibt Ihnen eine ehrliche Einschätzung — ohne Standardfolien, ohne Verkaufsversprechen. Nur eine direkte Antwort auf Ihre konkrete Lage.
Oder direkt: kontakt@notfallakademie.org