Chief AI Officer 2026: Echte Rolle oder der nächste C-Level-Titel?
Tobias Massow
⏱ 9 Min. Lesezeit Der Chief AI Officer ist die am häufigsten angekündigte und am seltensten ...
Zum Beitrag
6 Min. Lesezeit
EHDS, ePA, NIS2: Drei Regulierungen, die bis 2029 das digitale Gesundheitswesen grundlegend verändern. Und drei Regulierungen, deren Umsetzung in vielen Kliniken bei derselben Person landen wird: dem CIO. Wer diese Dreifachbelastung nicht strategisch orchestriert, verliert nicht nur Compliance – sondern den Gestaltungsspielraum für die nächsten fünf Jahre.
Das Wichtigste in Kürze
- ePA: 40% im Pilotbetrieb, Abschläge ab 2026. Bis zu 2% Digitalisierungsabschlag pro Abrechnungsfall für Kliniken, die nicht fristgerecht digitalisieren (DKI Blitzumfrage, März 2026).
- EHDS: Patientendaten EU-weit austauschbar bis 2029. Die Verordnung ist seit März 2025 in Kraft. HL7 FHIR wird zum verbindlichen Interoperabilitätsstandard.
- NIS2: Meldepflichten seit Dezember 2025. Kliniken und MedTech-Hersteller ab 50 Mitarbeitern müssen Cybervorfälle innerhalb von 24 Stunden melden. Keine Übergangsfrist.
- Budget-Realität: KHZG ausgeschöpft. Die 4,3 Milliarden Euro Fördermittel sind verteilt. Was jetzt kommt, muss aus dem operativen Budget finanziert werden.
- Der strategische CIO orchestriert, statt zu reagieren. Wer ePA, EHDS und NIS2 als drei separate Projekte behandelt, wird scheitern. Die Synergien liegen in gemeinsamen Architekturen.
Drei Regulierungen, ein Zeitfenster
Die Gleichzeitigkeit ist kein Zufall. Europa digitalisiert sein Gesundheitswesen im Zeitraffer, und Deutschland muss aufholen. Der Digital-Health-Index der Bertelsmann Stiftung platziert Deutschland auf Platz 16 von 17 OECD-Ländern. Die drei Regulierungen sind der Versuch, diesen Rückstand durch verbindliche Vorgaben zu erzwingen.
Für den CIO eines mittelgrossen Krankenhauses (400-800 Betten) bedeutet das: Ein IT-Budget, das nicht gewachsen ist. Ein Team, das nicht grösser geworden ist. Und drei regulatorische Grossbaustellen, die alle vor 2029 abgeschlossen sein müssen. Die ePA-Pilotierung läuft bereits, der EHDS setzt Interoperabilitätsstandards voraus, und NIS2 verlangt Cybersecurity-Strukturen, die die meisten Kliniken nicht haben.
2026
ePA-Abschläge + NIS2
2027
AI Act Hochrisiko
2029
EHDS Primärnutzung
ePA: Die technische Basis, die noch nicht steht
Die DKI-Blitzumfrage vom März 2026 zeigt: 40% der Kliniken sind im Pilotbetrieb, 90% haben die technische Implementierung begonnen. Aber 43% erwarten den krankenhausweiten Einsatz erst ab Q3 2026. Gleichzeitig greifen seit Januar die Digitalisierungsabschläge: bis zu 2% pro Abrechnungsfall, wenn fünf digitale Pflichtdienste nicht beauftragt sind.
Für den CIO ist die ePA kein abgeschlossenes Projekt. Sie ist der Grundstein, auf dem EHDS und NIS2 aufbauen. Wer heute die ePA-Integration in sein KIS abschliesst, muss morgen dieselben Schnittstellen für den grenzüberschreitenden EHDS-Datenaustausch öffnen. Und übermorgen sicherstellen, dass diese Schnittstellen NIS2-konform abgesichert sind. Die drei Regulierungen sind keine Parallelspuren. Sie sind Schichten desselben Systems.
EHDS: Interoperabilität wird Pflicht
Der Europäische Gesundheitsdatenraum setzt voraus, dass Patientendaten in strukturierten, interoperablen Formaten vorliegen. HL7 FHIR wird zum verbindlichen Standard. Bis März 2029 müssen Patientenzusammenfassungen und E-Rezepte grenzüberschreitend abrufbar sein. Bis 2031 kommen Bildgebung und Entlassbriefe hinzu.
Die strategische Frage für den CIO: Investiere ich jetzt in ein KIS-Upgrade, das nur ePA kann, oder in eine FHIR-basierte Architektur, die ePA und EHDS gleichzeitig bedient? Die kurzfristig günstigere Lösung (ePA-Patch) wird mittelfristig teurer, weil sie 2028 erneut umgebaut werden muss. Die FHIR-first-Strategie kostet mehr upfront, spart aber den zweiten Umbau.
„Die grosse Herausforderung ist es, Daten aus verschiedenen Sektoren technisch und regulatorisch zusammenzuführen.“ – Sebastian C. Semler, Geschäftsführer TMF e.V. (National Digital Health Symposium, 2025)
NIS2: Cybersecurity wird Vorstandspflicht
Das NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Kliniken und MedTech-Hersteller ab 50 Mitarbeitern sind als „wichtige Einrichtungen“ eingestuft. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Wer sich nicht registriert hat, verstösst bereits gegen geltendes Recht.
Die Anforderungen sind substanziell: ein dokumentiertes IT-Risikomanagement inklusive Lieferkettenbewertung, Meldepflicht bei Cybervorfällen innerhalb von 24 Stunden, persönliche Schulung der Geschäftsführung in Cybersicherheit und ein Informationssystem für betroffene Patienten. Bussgeld bei Verstoss: bis zu 10 Millionen Euro.
Für den CIO heisst das: Cybersecurity ist nicht mehr sein Hobby-Thema, das er neben dem Tagesgeschäft betreibt. Es ist eine Vorstandspflicht mit persönlicher Haftung der Geschäftsführung. Die TI-Störung vom Februar 2026, als ein Rauchmelder-Alarm in Frankfurt die gesamte Telematikinfrastruktur für acht Stunden lahmlegte, zeigt: Die Angriffsfläche wächst mit jeder neuen digitalen Schnittstelle.
Die Orchestrierungs-Strategie: Synergien statt Silos
Der strategische CIO behandelt ePA, EHDS und NIS2 nicht als drei Projekte, sondern als ein Architekturprogramm mit drei Compliance-Layern. Die Synergien sind erheblich:
Gemeinsame Datenschicht: FHIR als einheitliches Format bedient sowohl die ePA-Anbindung als auch den EHDS-Datenaustausch. Ein Format, zwei Regulierungen.
Gemeinsames Risikomanagement: NIS2 verlangt IT-Risikomanagement. Der AI Act (ab 2027) verlangt KI-spezifisches Risikomanagement. Beide lassen sich in einem Framework nach ISO 27001 integrieren, das gleichzeitig die MDR-Anforderungen für vernetzte Medizinprodukte abdeckt.
Gemeinsame Infrastruktur: Die sichere Anbindung an die Telematikinfrastruktur (ePA), die EHDS-Gateways und die NIS2-Meldesysteme können auf derselben Netzwerkarchitektur aufbauen. Wer drei separate Infrastrukturen baut, verdreifacht Kosten und Komplexität.
Das KHZG hat 4,3 Milliarden Euro bereitgestellt, aber die Mittel sind verteilt. Was jetzt kommt – EHDS-Compliance, NIS2-Implementierung, KI-Governance – muss aus dem operativen Budget finanziert werden. Für den CIO ist das ein starkes Argument für die Orchestrierungs-Strategie: Ein integriertes Programm ist nicht nur technisch eleganter, sondern 30 bis 40% günstiger als drei parallele Einzelprojekte.
Häufige Fragen
Was sind die wichtigsten Fristen für Healthcare-CIOs?
2026: ePA-Digitalisierungsabschläge + NIS2 Registrierung (bereits fällig). 2027: AI Act Hochrisiko-Anforderungen (August). 2029: EHDS Primärnutzung – Patientenzusammenfassungen EU-weit austauschbar. 2031: EHDS Bildgebung und Entlassbriefe.
Können Kliniken die drei Regulierungen in einem Programm umsetzen?
Ja, und sie sollten. FHIR als gemeinsames Datenformat bedient ePA und EHDS gleichzeitig. Ein integriertes Risikomanagement nach ISO 27001 deckt NIS2, AI Act und MDR ab. Die Infrastruktur für TI-Anbindung, EHDS-Gateways und Meldesysteme kann gemeinsam aufgebaut werden.
Was passiert bei NIS2-Verstoss?
Bussgelder bis zu 10 Millionen Euro. Die Geschäftsführung haftet persönlich für die Einhaltung. Cybervorfälle müssen innerhalb von 24 Stunden gemeldet werden. Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz ohne Übergangsfrist.
Wo steht Deutschland im internationalen Vergleich?
Platz 16 von 17 im Digital-Health-Index der Bertelsmann Stiftung. Nur 43% der deutschen Institutionen sind laut Black Book Research an den nationalen Spine angebunden (EU-Durchschnitt: 58%, Finnland: 97%).
Lesetipps der Redaktion
Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5726794)