Senat bringt Healthcare Cybersecurity Act 2026 voran: Wichtige Bestimmungen
Wichtige Erkenntnisse
- Historische parteiübergreifende Abstimmung bringt Gesetz voran. Der Senate HELP Committee hat mit 22:1 für den Health Care Cybersecurity and Resiliency Act gestimmt und damit ein starkes Signal für verbindliche gesetzliche Vorgaben gesetzt.
- Verpflichtende Cybersecurity-Kontrollen erforderlich. HIPAA-regulierte Organisationen müssen gemäß dem neuen Gesetz MFA, Verschlüsselung von PHI, Penetrationstests und Ausrichtung an NIST-Frameworks umsetzen.
- Safe Harbor fördert proaktive Compliance. Organisationen, die 12 Monate anerkannte Sicherheitspraktiken vor einem Vorfall nachweisen, profitieren von reduzierten Strafmaßnahmen.
- Strengere Meldepflichten bei Datenschutzverstößen und Fördermittel für ländliche Regionen. Organisationen müssen die Anzahl betroffener Personen in Patientenbenachrichtigungen angeben, was das Risiko von Klagen erhöht. Gleichzeitig richten sich Bundeszuschüsse an unterversorgte Anbieter.
Am 26. Februar 2026 hat der Senate Health, Education, Labor, and Pensions (HELP) Committee mit 22:1 Stimmen für den Health Care Cybersecurity and Resiliency Act gestimmt. Das Gesetz wird von HELP Committee Chair Bill Cassidy (R-LA), Mark Warner (D-VA), John Cornyn (R-TX) und Maggie Hassan (D-NH) unterstützt. Lediglich Senator Rand Paul (R-KY) stimmte dagegen.
Dieses Abstimmungsergebnis ist bemerkenswert. In einem Kongress, in dem parteiübergreifende Einigkeit selten ist, signalisiert eine 22:1-Abstimmung echten politischen Rückenwind. Hier geht es nicht um Symbolpolitik – dieses Gesetz hat Substanz und wird von Abgeordneten beider Parteien getragen, die die Change Healthcare-Katastrophe miterlebt haben und den Status quo nicht länger hinnehmen wollen.
Wird das Gesetz verabschiedet, wäre dies die bedeutendste Reform der Cybersecurity im Gesundheitswesen seit dem HITECH Act von 2009. Nach 17 Jahren schrittweiser Empfehlungen und freiwilliger Frameworks stehen nun verbindliche Vorgaben bevor.
Eine vollständige Checkliste der HIPAA-Compliance-Anforderungen
Jetzt lesen
5 Wichtige Erkenntnisse
1. Der Senate HELP Committee hat mit 22:1 für ein wegweisendes Cybersecurity-Gesetz im Gesundheitswesen gestimmt.
Der parteienübergreifende Health Care Cybersecurity and Resiliency Act, unterstützt von den Senatoren Cassidy, Warner, Cornyn und Hassan, schreibt MFA, Verschlüsselung von geschützten Gesundheitsdaten, Penetrationstests und Ausrichtung an NIST-Frameworks für alle HIPAA-regulierten Organisationen vor. Senator Rand Paul war der einzige Gegenstimme.
2. Ein formalisierter Safe Harbor schafft einen direkten finanziellen Anreiz, jetzt mit der Compliance zu beginnen.
Das Gesetz reduziert Strafmaßnahmen für Organisationen, die 12 oder mehr aufeinanderfolgende Monate anerkannte Cybersecurity-Praktiken vor einem Vorfall nachweisen. Die Safe-Harbor-Frist beginnt mit der Dokumentation der Compliance – sofortige Investitionen sind daher strategisch sinnvoll, unabhängig vom endgültigen Zeitplan der Verabschiedung.
3. Verschärfte Meldepflichten bei Datenschutzverstößen erhöhen das Risiko von Sammelklagen erheblich.
HIPAA-regulierte Organisationen müssen nun die Anzahl der betroffenen Personen in Benachrichtigungen an Patienten angeben – nicht nur in Berichten an die HHS. Klägeranwälte werden diese Zahlen in Sammelklagen nutzen. Organisationen sollten ihre Incident-Response-Pläne jetzt anpassen, um eine schnelle Bestimmung des Umfangs zu ermöglichen.
4. Ein Bundesförderprogramm richtet sich gezielt an ländliche und unterversorgte Anbieter.
Das Gesetz sieht Zuschüsse für ländliche Krankenhäuser, Kliniken, Krebszentren, Einrichtungen des Indian Health Service und akademische Gesundheitszentren vor – und begegnet damit der Kritik an den Kosten der geplanten HIPAA Security Rule-Änderung. Ländliche Anbieter sollten Branchenverbände einbinden und Förderanträge vorbereiten.
5. Bei Verabschiedung ist dies die bedeutendste Reform der Cybersecurity im Gesundheitswesen seit dem HITECH Act von 2009.
Der Change Healthcare Ransomware-Angriff 2024 – mit etwa 190 Millionen betroffenen Personen – wurde immer wieder als Auslöser genannt. Nach 17 Jahren schrittweiser freiwilliger Empfehlungen kommen nun verbindliche Vorgaben. Die Richtung ist klar, unabhängig davon, welcher Gesetzesweg zuerst zum Ziel führt.
Der Weckruf durch Change Healthcare
Dieses Gesetz entstand nicht im luftleeren Raum. Der Change Healthcare Ransomware-Angriff im Februar 2024 war der größte Datenschutzverstoß im US-Gesundheitswesen und betraf letztlich rund 190 Millionen Menschen – mehr als die Hälfte der US-Bevölkerung.
Der Angriff führte zu Störungen im Apothekenbetrieb, verzögerte Versicherungsabrechnungen und zwang Gesundheitsdienstleister landesweit wochenlang zu manuellen Prozessen. Der finanzielle Schaden ging in die Milliarden. Die Ursache war bekannt: unzureichende Zugriffskontrollen, fehlende Multifaktor-Authentifizierung und mangelnde Netzwerksegmentierung.
Senatoren verwiesen während des Gesetzgebungsverfahrens immer wieder auf Change Healthcare. Die Botschaft war eindeutig: Die aktuelle HIPAA Security Rule – seit 2003 weitgehend unverändert – stammt aus einer anderen Zeit. Sie entstand vor Ransomware als Geschäftsmodell, Cloud-first-Infrastrukturen, Telemedizin im großen Stil und KI-gestützten klinischen Tools.
Was das Gesetz tatsächlich verlangt
Der Health Care Cybersecurity and Resiliency Act führt für HIPAA-regulierte Organisationen mehrere neue Anforderungen ein.
Verpflichtende Mindeststandards für Cybersecurity. Das Gesetz verlangt von HIPAA-regulierten Organisationen und deren Geschäftspartnern die Implementierung von MFA für alle Systeme mit Zugriff auf PHI, Verschlüsselung von PHI im ruhenden Zustand und während der Übertragung, regelmäßige Penetrationstests sowie die Ausrichtung an NIST-Frameworks. Dies sind keine Empfehlungen mehr, sondern verbindliche Vorgaben. Für Organisationen, die diese Kontrollen bereits umgesetzt haben, ist das eine Bestätigung. Für viele andere ist es eine Compliance-Frist, die sofortiges Handeln erfordert.
Safe Harbor für proaktive Sicherheit. Eine der wichtigsten Regelungen ist der formalisierte Safe Harbor, der Strafmaßnahmen für Organisationen reduziert, die mindestens 12 Monate vor einem Vorfall anerkannte Cybersecurity-Praktiken nachweisen können. Bei einem Datenschutzverstoß und nachgewiesener kontinuierlicher Compliance drohen geringere Strafen im HHS-Verfahren. Das ist ein konkreter finanzieller Anreiz, jetzt mit der Compliance zu starten.
Erweiterte Meldepflichten bei Datenschutzverstößen. Das Gesetz verlangt, dass Organisationen die Anzahl der betroffenen Personen in Benachrichtigungen an die Betroffenen angeben – nicht nur in Berichten an die HHS. 50.000 Menschen mitzuteilen, dass sie Teil eines Verstoßes mit 50.000 Betroffenen sind, unterscheidet sich deutlich davon, keine Zahlen zu nennen. Klägeranwälte werden diese Zahlen in Sammelklagen nutzen. Organisationen sollten mit erhöhter Klagebereitschaft rechnen und ihre Incident-Response-Pläne entsprechend anpassen.
Bundesförderprogramm für unterversorgte Anbieter. Das Gesetz sieht gezielte Zuschüsse für Krankenhäuser, Krebszentren, ländliche Gesundheitskliniken, Einrichtungen des Indian Health Service und akademische Gesundheitszentren vor. Zudem wird die HHS beauftragt, spezielle Cybersecurity-Leitlinien für ländliche Einrichtungen zu veröffentlichen – zu Prävention, Resilienzplanung und Koordination mit Bundesbehörden.
ASPR als Sector Risk Management Agency. Das Gesetz bestimmt die Administration for Strategic Preparedness and Response zur Sector Risk Management Agency für das Gesundheitswesen und verpflichtet die HHS, einen Cybersecurity-Incident-Response-Plan in Abstimmung mit der CISA zu entwickeln. Damit wird die bundesweite Verantwortung für Cybersecurity im Gesundheitswesen klar geregelt.
Regulatorische Konvergenz: Dieses Gesetz steht nicht allein
Der Health Care Cybersecurity and Resiliency Act läuft parallel zur geplanten Überarbeitung der HIPAA Security Rule, die in den letzten Wochen der Biden-Administration vorgeschlagen wurde und bis Mai 2026 entschieden werden soll. Die geplante Security Rule würde MFA, Verschlüsselung, 72-Stunden-Meldepflicht an die HHS und jährliche Penetrationstests verpflichtend machen – Anforderungen, die sich weitgehend mit dem Gesetz überschneiden.
Das Gesetz stößt auf weniger Widerstand aus der Branche als die Security Rule, da es Fördermittel vorsieht und nicht mit denselben Kostenschätzungen verbunden ist. Sollte die Security Rule politisch scheitern, könnte dieses Gesetz zum Hauptinstrument für Cybersecurity-Reformen im Gesundheitswesen werden.
Strategische Empfehlung für HIPAA-Compliance-Teams: Ob die Anforderungen per Gesetz, Verordnung oder beidem kommen – MFA, Verschlüsselung, Penetrationstests und erweiterte Meldepflichten werden verpflichtend. Der einzige Unterschied ist der Zeitplan. Organisationen, die jetzt mit Gap-Analysen beginnen, sind unabhängig vom weiteren Verlauf vorbereitet.
Was HIPAA-regulierte Organisationen jetzt tun sollten
Das Gesetz muss noch im Senat und Repräsentantenhaus verabschiedet werden, bevor es dem Präsidenten vorgelegt wird. Doch die 22:1-Abstimmung im Ausschuss und die parallele Security Rule machen die Richtung eindeutig.
Beginnen Sie mit MFA. Falls Ihre Organisation noch keine Multifaktor-Authentifizierung für alle Systeme mit PHI-Zugriff eingeführt hat, ist das der wichtigste erste Schritt. MFA ist die am häufigsten in Durchsetzungsmaßnahmen genannte Kontrolle und schützt direkt vor Angriffen wie bei Change Healthcare. Die Einführung von MFA im gesamten Unternehmen erfordert Planung, Tests und Change Management – starten Sie jetzt, nicht erst nach der endgültigen Verabschiedung.
Dokumentieren Sie alles für den Safe Harbor. Die Safe-Harbor-Regelung belohnt Organisationen, die 12 Monate anerkannte Sicherheitspraktiken nachweisen können. Diese Frist sollte bereits laufen. Wird Ihre Organisation in 18 Monaten geprüft oder ist betroffen, sollten Sie bereits über 12 Monate dokumentierte Compliance verfügen. Kontinuierliche Dokumentation macht aus einem Datenschutzverstoß einen beherrschbaren Vorfall.
Aktualisieren Sie die Prozesse zur Benachrichtigung bei Datenschutzverstößen. Die Pflicht, die Anzahl der Betroffenen in Benachrichtigungen anzugeben, verändert die rechtliche Risikobewertung. Passen Sie Ihren Incident-Response-Plan an, um eine schnelle Bestimmung des Umfangs zu ermöglichen, stimmen Sie sich mit der Rechtsabteilung zum Risiko von Sammelklagen ab und stellen Sie sicher, dass Ihre Forensik genaue Zahlen liefern kann.
Ländliche Anbieter: Nutzen Sie das Förderprogramm. Wenn Sie ein ländliches Krankenhaus, eine Klinik oder IHS-Einrichtung sind, nehmen Sie jetzt Kontakt zu Branchenverbänden auf, die das Förderprogramm begleiten. Bundeszuschüsse erfordern Antragsbereitschaft – Organisationen, die vorausplanen, können schneller reagieren, wenn Mittel verfügbar werden.
Was Kiteworks-Kunden wissen sollten
Jede zentrale Anforderung des Health Care Cybersecurity and Resiliency Act wird bereits durch die Kiteworks Private Data Network für Organisationen im Gesundheitswesen abgedeckt.
MFA und Enterprise-Authentifizierung. Kiteworks bietet MFA über RADIUS, PIV/CAC, OTP und Integration von Drittanbieter-Zwei-Faktor-Authentifizierung (2FA) sowie Single Sign-on über SAML, OAuth, LDAP und Azure AD – und erfüllt damit die MFA-Vorgabe des Gesetzes direkt.
Verschlüsselung mit FIPS-validierten Modulen. PHI wird mit doppelter AES-256-Verschlüsselung auf Datei- und Festplattenebene und FIPS 140-2-validierten Modulen geschützt. Kundengesteuerte Verschlüsselungsschlüssel gewährleisten, dass Organisationen die Kontrolle über ihre Daten behalten – und erfüllen die Verschlüsselungsanforderungen des Gesetzes auf höchstem Niveau.
NIST-Framework-Ausrichtung und Defense-in-Depth. Die gehärtete virtuelle Appliance-Architektur – mit integriertem WAF, Netzwerk-Firewall und Intrusion Detection – entspricht den NIST-Framework-Anforderungen und bietet den zero trust-Datenschutz, den das Gesetz vorsieht.
Bereitschaft für Benachrichtigungen bei Datenschutzverstößen. Das konsolidierte Audit-Log von Kiteworks erfasst jede Datenbewegung in Echtzeit ohne Drosselung und liefert die forensischen Nachweise, um den Umfang eines Vorfalls schnell zu bestimmen und die Zahl der Betroffenen exakt zu melden. Vorgefertigte HIPAA-Compliance-Dashboards verkürzen die Audit-Vorbereitung von Wochen auf Stunden.
Safe-Harbor-Dokumentation. Die kontinuierliche Compliance-Dokumentation von Kiteworks schafft den 12-monatigen Nachweis anerkannter Sicherheitspraktiken, den das Gesetz fordert. Eine Policy Engine für Secure Email, sicheres Filesharing, SFTP, Managed File Transfer und Web-Formulare gewährleistet konsistente, überprüfbare Kontrollen.
Die Compliance-Uhr läuft bereits
Der Health Care Cybersecurity and Resiliency Act ist das deutlichste Signal, dass Cybersecurity im Gesundheitswesen von freiwilligen Leitlinien zu verbindlichen Vorgaben wechselt. Die 22:1-Abstimmung, die parteiübergreifende Unterstützung und der Weckruf durch Change Healthcare zeigen klar die Richtung.
Es geht nicht mehr darum, ob die Anforderungen verschärft werden – sie werden es. Die Frage ist, ob Ihre Organisation vorausgeht – Compliance dokumentiert, den Safe Harbor nutzt und Risiken reduziert – oder erst nach Inkrafttreten der Regeln aufholt. Wer jetzt handelt, vermeidet nicht nur Strafen, sondern baut eine Sicherheitsarchitektur auf, die den nächsten Change-Healthcare-Vorfall verhindert.
Erfahren Sie mehr darüber, wie Sie die PHI Ihrer Patienten gemäß dem Health Care Cybersecurity and Resiliency Act schützen können – vereinbaren Sie noch heute eine individuelle Demo.
Häufig gestellte Fragen
Das Gesetz schreibt MFA, Verschlüsselung von PHI im ruhenden Zustand und während der Übertragung, Penetrationstests und Ausrichtung an NIST-Frameworks für alle HIPAA-regulierten Organisationen vor. Diese werden zu verbindlichen Mindeststandards – keine Empfehlungen mehr. Das Gesetz verschärft zudem die Meldepflichten und sieht Fördermittel für unterversorgte Anbieter vor.
Der Safe Harbor reduziert Strafmaßnahmen für Organisationen, die 12 Monate anerkannte Cybersecurity-Praktiken vor einem Vorfall nachweisen können. Dokumentieren Sie Ihre Sicherheitskontrollen jetzt – die 12-Monats-Frist sollte bereits laufen. Der Safe Harbor belohnt proaktive Investitionen, nicht reaktive HIPAA-Compliance.
Der Change Healthcare Ransomware-Angriff 2024 legte Daten von rund 190 Millionen Menschen offen und wurde immer wieder als Auslöser genannt. Der zentrale Punkt: Der Vorfall zeigte, dass die bestehende HIPAA Security Rule – seit 2003 kaum verändert – modernen Bedrohungen nicht mehr gewachsen ist.
Die neuen Regeln verlangen von HIPAA-regulierten Organisationen, die Anzahl der Betroffenen in Benachrichtigungen an Patienten anzugeben. Klägeranwälte erhalten dadurch konkrete Zahlen für Sammelklagen, was das Risiko nach Datenschutzverstößen deutlich erhöht. Passen Sie Ihren Incident-Response-Plan an und priorisieren Sie eine schnelle Umfangsbestimmung.
Das Gesetz sieht ein Bundesförderprogramm für ländliche Krankenhäuser, Krebszentren, Gesundheitskliniken, Einrichtungen des Indian Health Service und akademische Gesundheitszentren vor. Die Zuschüsse finanzieren Prävention, Incident Response und Mitarbeiterschulungen. Binden Sie Branchenverbände ein und bereiten Sie Förderanträge vor.
Sowohl das Gesetz als auch das geplante HIPAA Security Rule-Update schreiben MFA, Verschlüsselung und Penetrationstests vor. Das Gesetz enthält Fördermittel und stößt auf weniger Widerstand. Beginnen Sie jetzt mit der Compliance – die Anforderungen gleichen sich, unabhängig davon, welcher Weg zuerst abgeschlossen wird.
Führen Sie eine Gap-Analyse zu MFA für alle Systeme mit PHI-Zugriff, Verschlüsselung im ruhenden Zustand und während der Übertragung, Penetrationstest-Fähigkeiten und NIST-Framework-Ausrichtung durch. Die Dokumentation der Sicherheitspraktiken startet die 12-monatige Safe-Harbor-Frist und positioniert Ihre Organisation für reduzierte Strafen im Falle eines Vorfalls.
Ja – das Gesetz gilt sowohl für regulierte Organisationen als auch für Geschäftspartner, die PHI verarbeiten. Prüfen Sie, ob alle Partner dieselben Standards für MFA, Verschlüsselung und Audit-Logging erfüllen. Das Private Data Network von Kiteworks gewährleistet konsistente Kontrollen bei allen Datenbewegungen mit Drittanbietern.
Weitere Ressourcen
- Blogbeitrag
5 Beste Lösungen für sicheres Filesharing in Unternehmen - Blogbeitrag
So teilen Sie Dateien sicher - Video
Kiteworks Snackable Bytes: Sicheres Filesharing - Blogbeitrag
12 Wesentliche Anforderungen an sichere Filesharing-Software - Blogbeitrag
Die sichersten Filesharing-Optionen für Unternehmen & Compliance
Häufig gestellte Fragen
Das Gesetz schreibt MFA für alle Systeme mit PHI-Zugriff, Verschlüsselung von geschützten Gesundheitsdaten im ruhenden Zustand und während der Übertragung, regelmäßige Penetrationstests und Ausrichtung an NIST-Cybersecurity-Frameworks vor. Diese Kontrollen werden von freiwilligen Empfehlungen zu verbindlichen Vorgaben für regulierte Organisationen und Geschäftspartner.
Organisationen, die mindestens 12 Monate anerkannte Cybersecurity-Praktiken vor einem Vorfall nachweisen, profitieren von reduzierten Strafmaßnahmen. Die Compliance-Dokumentation sollte sofort beginnen, um die Safe-Harbor-Frist zu starten und die Position bei künftigen HHS-Prüfungen zu stärken.
Der Angriff legte Daten von rund 190 Millionen Menschen offen, störte Apotheken- und Abrechnungsprozesse landesweit und machte gravierende Lücken in der bestehenden HIPAA Security Rule deutlich. Gesetzgeber nannten ihn wiederholt als Beleg dafür, dass freiwillige Frameworks modernen Ransomware-Bedrohungen nicht mehr genügen.
Organisationen sollten Gap-Analysen zu MFA, Verschlüsselung und Penetrationstests durchführen; die Dokumentation der Sicherheitspraktiken beginnen, um die 12-monatige Safe-Harbor-Frist zu aktivieren; Incident-Response-Pläne für eine schnelle Bestimmung des Umfangs bei Datenschutzverstößen aktualisieren und Fördermöglichkeiten prüfen, wenn sie ländliche oder unterversorgte Anbieter sind.