Live · DACH ops
03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents
KRITIS for hospitals

KRITIS for hospitals · security requirements for clinics.

When does a hospital become KRITIS-classified? The 30,000-case threshold, the B3S Krankenhaus standard, IT and physical requirements, KHZG funding — and how perimeter security fits the clinic operating model.

Free site analysisKRITIS file
Threshold
30,000
Hospitals
~110
Audit
2 yrs
B3S

Threshold

From 30,000 in-patient cases p.a. the clinic is under BSI supervision.

The benchmark per BSI-KritisV Annex 5 is in-patient cases (vollstationär) — day cases, outpatient treatment and stays under 24 hours do not count. Once the threshold is exceeded over a two-year reference window, the hospital must register with BSI within three months and submit a security concept aligned to the B3S Krankenhaus standard.

  • 01 · Counted

    In-patient cases (≥ 24 h hospitalisation, vollstationär).

  • 02 · Not counted

    Day cases, outpatient treatment, A&E without admission.

  • 03 · Reference

    Two-year window. Three-month registration deadline once exceeded.

What B3S demands

Thirteen protection goals, 53 requirements, audited every two years.

  • 01ISMS + B3S

    Information Security Management System per BSI IT-Grundschutz or ISO 27001, augmented by the DKG B3S Krankenhaus 1.4 — sector-specific concretisation of § 7 'state of the art'.

    DKG · B3S Krankenhaus 1.4 · § 8a BSIG

  • 02Physical zones

    OR, central A&E, IT rooms, pharmacy, laboratory, helipad, delivery zones — all must be perimeter-controlled, monitored and audit-logged. The 2026 Federal Act extends this from clinic-internal to state-supervised.

    KRITIS-DG § 7 · § 109e StGB

  • 03Reporting

    Security incidents must reach the BSI within 24 h, with status update at 72 h (§ 8b BSIG). Patient-data breaches additionally trigger DSGVO Art. 34. Late or missed reports are fined up to €2M; with NIS-2 overlap up to €10M or 2 % group turnover.

    § 8b BSIG · NIS-2 Art. 34 · DSGVO Art. 34

Where to next

Federal Act, requirements, sectors, who counts as a KRITIS company.

The Federal Act page explains the 2026 law in full. The requirements page details § 7 in checklists. The sectors page covers all ten domains. The companies page maps the threshold logic across sectors.

Federal ActRequirementsSectorsCompaniesKRITIS filePricingContact

FAQ

Eight questions clinic boards bring to the first meeting.

  • Ab wann ist ein Krankenhaus KRITIS?

    Ein Krankenhaus gilt als kritische Infrastruktur, wenn es im Bemessungs­zeitraum mehr als 30.000 voll­stationäre Behandlungs­fälle pro Jahr aufweist (BSI-KritisV Anlage 5, Sektor Gesundheit). Maßgeblich sind voll­stationäre Aufenthalte; Tages­fälle, ambulante Behandlung und Kurz­aufenthalte unter 24 Stunden zählen nicht. Wird der Schwellenwert über zwei Kalender­jahre erreicht, muss sich die Klinik binnen drei Monaten beim BSI registrieren und ein Sicherheits­konzept vorlegen.

  • Wie viele Krankenhäuser in Deutschland sind KRITIS-pflichtig?

    Stand 2024 sind etwa 110 Krankenhäuser bundesweit KRITIS-klassifiziert (BSI-Tätigkeitsbericht 2024). Mit dem KRITIS-Dachgesetz und der NIS-2-Umsetzung 2026 erweitert sich der Aufsichts­kreis: zusätzlich werden alle Kliniken über § 75c SGB V auf den Stand der Technik in der IT-Sicherheit verpflichtet, unabhängig vom 30.000-Fälle-Schwellen­wert. Schätzung des BMI: rund 1.700 zusätzliche Häuser kommen über NIS-2 in den erweiterten Aufsichts­kreis als „wichtige Einrichtungen".

  • Welche IT- und physischen Anforderungen gelten für KRITIS-Krankenhäuser?

    Vier Pflicht­bereiche: (1) ISMS nach BSI IT-Grundschutz oder ISO 27001 inkl. branchen­spezifischem Sicherheits­standard B3S Krankenhaus; (2) Patch- und Backup-Management mit dokumentierten Wieder­anlauf­zeiten; (3) physische Zutritts­kontrollen für sensible Bereiche (OP, IT-Räume, Zentrale Notaufnahme, Apotheke, Labor); (4) Perimeter- und Frei­gelände­sicherung der Liegenschaft (Park­flächen, Anliefer­zonen, Hubschrauber­landeplatz). Auditiert wird alle zwei Jahre durch eine BSI-anerkannte prüfende Stelle.

  • Was ist der branchen­spezifische Sicherheitsstandard B3S Krankenhaus?

    Der B3S Krankenhaus ist die vom BSI nach § 8a Abs. 2 BSIG anerkannte Konkretisierung des „Stands der Technik" für den Sektor Gesundheit. Erstellt durch die Deutsche Krankenhausgesellschaft (DKG) und kontinuierlich fortgeschrieben — aktuelle Version 1.4 (Stand 2024). Inhaltlich gegliedert in 13 Schutzziele und 53 Sicherheits­anforderungen. Mit dem Dachgesetz 2026 wird der B3S um physische Schutz­anforderungen erweitert, einschlie­ßlich Perimeterschutz und Notfall­logistik. Compliance gegen B3S wird im Audit als ausreichende Erfüllung von § 7 KRITIS-DG akzeptiert.

  • Welche Rolle spielt Perimeterschutz für ein KRITIS-Krankenhaus?

    Drei Aspekte: (1) Schutz der Anliefer- und Notfall­zonen — Hubschrauber­landeplatz, Rettungs­dienst­zufahrt, ZNA-Eingang müssen rund um die Uhr überwacht werden; (2) Sabotage- und Anschlagsschutz — Krankenhäuser sind nach § 109e StGB als „lebenswichtige Einrichtung" geschützt, was eine technische Absicherung des Frei­geländes voraussetzt; (3) Daten- und Patienten­schutz — Park­flächen und Außen­zugänge gehören zur Angriffs­fläche der IT-Sicherheits­zone und müssen entsprechend dokumentiert sein. Autonome Patrouille spart 60-70 % gegenüber Wachdienst und liefert auditfähige Daten.

  • Welche Förderung gibt es für KRITIS-Compliance in Krankenhäusern?

    Über das Krankenhauszukunftsgesetz (KHZG) wurden bis Ende 2025 insgesamt 4,3 Mrd. € für die Digitalisierung deutscher Krankenhäuser bereitgestellt, davon mindestens 15 % für IT-Sicherheits­maßnahmen zweck­gebunden (§ 19 KHZG). Förder­fähig sind ISMS-Aufbau, Penetration­tests, Patch­management, Identity-Management und auch physische Sicherheits­technik im IT-Schutz­bereich. Die Antrags­frist ist Ende 2024 abgelaufen; Folge­förderung wird im Rahmen des KH-Reform­gesetzes 2026 erwartet.

  • Was passiert bei einem KRITIS-Sicherheitsvorfall im Krankenhaus?

    Drei parallele Pflichten: (a) Melde­pflicht binnen 24 Stunden an das BSI nach § 8b Abs. 4 BSIG mit Verlaufs­update binnen 72 Stunden; (b) Information der zuständigen Landes­behörde (i. d. R. Innen­ministerium) und ggf. der Aufsichts­behörde nach § 75c SGB V; (c) Information betroffener Patienten nach DSGVO Art. 34, falls personen­bezogene Daten kompromittiert wurden. Versäumte Meldungen werden mit Bußgeld bis 2 Mio. € geahndet, bei NIS-2-Überlapp bis 10 Mio. € oder 2 % Konzern­umsatz.

  • Wie integriert sich autonomer Perimeterschutz in den Klinikbetrieb?

    Quarero-Roboter patrouillieren das Frei­gelände autonom, klassifizieren Detektionen per KI in Echtzeit und übergeben Eskalationen an die Klinik-Notrufzentrale (NSL nach DIN EN 50518) oder an die Pforte. Lade­zyklen sind außerhalb der Stoßzeiten geplant; die Patrouillen­routen meiden bewusst Hubschrauber­landeplatz und Rettungs­dienst­zufahrt während aktiver Anflüge. Inbetrieb­nahme inkl. Vermessung dauert 48 Stunden, vollständige Audit­trail-Dokumentation entsteht ab dem ersten Betriebstag — direkt verwertbar für die nächste B3S-Re-Auditierung.

Call now+49 711 656 267 63Free quote · 24 hCalculate price →