NIS2 wichtige Einrichtung · ab 50 MA / 10 Mio. € Umsatz
Cybersicherheit für private Kliniken
Private Fachkliniken stehen seit dem NIS2UmsuCG in der Regulierung — ohne eigene 24/7-Security-Teams oder CISO-Stelle. Wir liefern pragmatische Awareness, Phishing-Simulation, Vulnerability Management und Managed SOC — genau in der Tiefe, die NIS2 und § 391 SGB V verlangen, ohne Enterprise-Overhead.
REGULATORISCHER KONTEXT
NIS2 trifft private Kliniken als wichtige Einrichtung — mit etwas weniger Druck, aber gleicher Substanz.
Private Fachkliniken fallen in der Regel unter die Kategorie wichtige Einrichtung (§ 28 BSIG) — nicht besonders wichtige Einrichtung. Das reduziert Aufsichtsintensität und Bußgelder, nicht aber die inhaltlichen Pflichten: die zehn Risikomanagement-Maßnahmen aus § 30 BSIG und das Meldewesen aus § 32 BSIG gelten beide Kategorien identisch.
NIS2 · § 30 BSIG
Risikomanagement-Maßnahmen
Risikoanalyse, Vorfallbewältigung, Business Continuity, Lieferketten-Sicherheit, Sicherheit bei Entwicklung und Wartung inkl. Schwachstellen-Management, Wirksamkeitsprüfung, Cyberhygiene und Schulungen, Kryptografie, Zugriffskontrolle und Asset-Management, Multi-Faktor-Authentifizierung — zehn Maßnahmen, die NIS2 von jeder betroffenen Einrichtung verlangt, ohne Rücksicht auf Größe. Bei der Umsetzung gilt Verhältnismäßigkeit: sie darf kleiner skaliert werden, aber nicht wegfallen.
§ 391 SGB V
IT-Sicherheit im Krankenhausbetrieb
Für Einrichtungen mit Krankenhaus-Zulassung nach § 108 SGB V gilt § 391 SGB V parallel zu NIS2 — unabhängig von Fallzahl, Beleg- oder Rehaklinik-Status. Die Pflicht: angemessene organisatorische und technische Vorkehrungen nach Stand der Technik; als Referenz gilt der B3S Krankenhäuser der DKG. Für reine Praxisbetriebe oder reine Rehakliniken ohne § 108-Zulassung gilt § 391 hingegen nicht.
Rechtsquellen: NIS2UmsuCG vom 6.12.2025 · § 28, § 30, § 32, § 38, § 65 BSIG · § 391, § 108 SGB V · B3S Krankenhäuser (DKG) · DSGVO Art. 9, 32, 33, 34, 83.
TYPISCHE ANGRIFFSSZENARIEN
Die Angriffe, die private Kliniken besonders hart treffen.
Angreifer kalkulieren: private Kliniken haben hochzahlungsfähige Patient:innen, oft prominente Behandlungsfälle und häufig weniger Security-Reife als öffentliche Häuser. Die Angriffsmuster sind entsprechend opportunistisch — und die Folgen schneller existenzgefährdend.
UNSERE LÖSUNGEN
NIS2-tauglich ohne Enterprise-Overhead.
Sie brauchen keinen eigenen CISO und keine Security-Abteilung, um die Pflichten aus NIS2 und § 391 SGB V zu erfüllen. Unsere vier Services bilden ein schlankes, aber vollständiges Sicherheitsprogramm — jeder Baustein produziert direkt verwertbare Evidenz.
KONTINUIERLICHES TRAINING
Phishing Simulation as a Service
Monatliche, realistische Kampagnen — Bewerbungen, Laborbefunde, Lieferantenrechnungen. Click-Rate und Report-Rate werden pro Abteilung gemessen. Direkter NIS2-Evidenznachweis nach Art. 21 Abs. 2 (g).
MITARBEITER-RESILIENZ
Security Awareness Training
Jährlicher Kernkurs ~20 Minuten, quartalsweise Spotlights 1–2 Minuten. Für Pflege, Ärzteschaft, Verwaltung und Empfang gleichermaßen geeignet — ohne Enterprise-LMS, per E-Mail verteilbar, Fortschritt automatisch dokumentiert.
ANGRIFFSFLÄCHE KENNEN
Schwachstellen-Management
Kontinuierliche Asset Discovery, klinisch priorisierte Remediation, Medizingeräte-freundliches Scanning. Fokus auf die wirklich kritischen Schwachstellen — keine 300-seitigen Reports zur Selbstsortierung.
24/7 MANAGED SOC
Incident Detection & Response
Rund-um-die-Uhr-Überwachung Ihrer Endpoints, Firewalls, Mail und Active Directory — ohne eigenes SOC-Team aufzubauen. Klare Eskalationspfade in Ihre IT, vorbereitete Meldedokumente nach § 32 BSIG.
WARUM ENTROPY CS
Der richtige Partner für mittelgroße Healthcare-Einrichtungen.
Große Security-Beratungen interessieren sich nicht für 100-Mitarbeiter-Häuser. Generische IT-Dienstleister überfordern sich an der Healthcare-Regulatorik. Wir sind genau für die Lücke dazwischen gemacht.
Verhältnismäßig dimensioniert
NIS2 verlangt angemessene Maßnahmen — nicht maximale. Wir dimensionieren Scope, Frequenz und Tiefe der Services auf Ihre tatsächliche Risikosituation, nicht auf das Maximum der Branche.
Ein Ansprechpartner, nicht drei Tools
Awareness, Phishing, VM und SOC aus einer Hand — mit gemeinsamer Reportstruktur. Keine parallele Vertragsverhandlung mit drei Anbietern, kein Integrations-Frickeln zwischen Dashboards.
Auditfähige Evidenz ab Tag 1
Jede unserer Leistungen produziert strukturierte Dokumentation — nicht erst beim nächsten Audit, sondern kontinuierlich. Wenn BSI, Wirtschaftsprüfer oder Vorstand fragen, ist das Evidenzpaket einen Export-Klick entfernt.
Die Fragen, die wir regelmäßig von Eigentümer:innen, Geschäftsführungen und IT-Verantwortlichen privater Fachkliniken hören.