Digitalforum Gesundheit 2026: KI-Pflichten, NIS-2 und DiGA im Praxischeck

Am 7. Mai 2026 diskutierten in den Design Offices Berlin Experten aus Gesundheitswesen, Recht und Politik die drängendsten Regulierungsfragen des Jahres. Das Leitthema des 6. Digitalforums Gesundheit lautete: „Souverän und sicher – Das deutsche Gesundheitswesen auf dem Weg zum digitalen Champion." Drei Themen dominierten den Tag: die Hochrisiko-Frist im EU AI Act, die NIS-2-Pflichten für Kliniken und Praxen, und die Integration von Digitalen Gesundheitsanwendungen in die Regelversorgung [1].

EU AI Act: Der 2. August rückt näher

Knapp drei Monate vor dem Stichtag ist der Druck spürbar. Ab dem 2. August 2026 müssen Betreiber sogenannter Hochrisiko-KI-Systeme nachweisen, dass sie die Anforderungen des europäischen KI-Gesetzes erfüllen. Im Gesundheitswesen gilt das vor allem für diagnostische KI – Systeme also, die direkt an Befundung, Risikoeinschätzung oder Therapieentscheidungen beteiligt sind [3].

Was konkret gefordert wird, klingt technisch, hat aber praktische Konsequenzen: Konformitätsbewertung abschließen, technische Dokumentation vervollständigen, das System in der EU-Datenbank für Hochrisiko-KI registrieren und einen menschlichen Überwachungsprozess einrichten – also festlegen, wann und wie ein Arzt oder eine Pflegekraft die KI-Entscheidung überprüft. Dazu kommt eine 15-Tage-Meldefrist bei schwerwiegenden Vorfällen [3].

Nicht jede KI-Funktion in einer Gesundheits-App fällt unter Hochrisiko. Erinnerungen, Vitaldaten-Tracking oder Informationsangebote bleiben in der Regel unberührt. Problematisch werden Systeme, die Symptome interpretieren, Erkrankungen vorhersagen oder Therapieempfehlungen ausgeben. Für DiGAs als Klasse-I- oder Klasse-IIa-Medizinprodukte gilt ohnehin eine verlängerte Frist bis August 2027 – die Konformitätsarbeit sollte aber jetzt beginnen [3][5].

NIS-2: Die Registrierungspflicht ist bereits gelaufen

Während die AI-Act-Frist noch bevorsteht, ist die NIS-2-Umsetzung formal bereits in Kraft. Das nationale Umsetzungsgesetz gilt seit dem 6. Dezember 2025, die Registrierungspflicht im BSI-Portal endete am 6. März 2026 [4]. Wer das verpasst hat, haftet. Und die Haftung trifft nicht nur das Unternehmen – sie trifft die Geschäftsleitung persönlich.

Nahezu alle deutschen Krankenhäuser fallen unter NIS-2, mindestens als „wichtige Einrichtungen". Wer 30.000 oder mehr vollstationäre Fälle pro Jahr behandelt, gilt zusätzlich als Betreiber kritischer Anlagen und unterliegt einer doppelten Regulierungsschicht [4]. Zehn Risikomanagement-Maßnahmen müssen umgesetzt, Sicherheitsvorfälle müssen binnen 24 Stunden an das BSI gemeldet werden. Alle drei Jahre ist ein externer Nachweis fällig.

Auch der ambulante Bereich rückt in den Fokus. Arztpraxen mit digitaler Infrastruktur, Telemedizin-Plattformen und Pflegeeinrichtungen sind zwar häufig unterhalb der NIS-2-Schwellenwerte – aber angesichts steigender Ransomware-Angriffe auf den Gesundheitssektor behandeln viele Einrichtungen IT-Sicherheit inzwischen als Qualitätsmerkmal, nicht nur als Compliance-Pflicht [1].

DiGA: Tiefer in die Regelversorgung

Die dritte große Debatte betrifft Digitale Gesundheitsanwendungen. Das Digital-Gesetz (DigiG) sieht vor, DiGAs enger in reguläre Versorgungsprozesse einzubinden – also weniger als Zusatzangebot, mehr als Bestandteil des Behandlungspfads. Konkret heißt das: DiGAs sollen künftig stärker in Praxissoftware integriert und in Entlassmanagement-Prozessen berücksichtigt werden [1].

Das ist politisch ambitioniert. In der Praxis kämpfen viele DiGA-Anbieter noch mit Verordnungszahlen, die weit hinter dem Potenzial zurückbleiben. Der Markt hat sich seit 2024 konsolidiert – mehrere Anwendungen wurden aus dem BfArM-Verzeichnis genommen, weil Hersteller die Nachweisanforderungen nicht erfüllen konnten oder den wirtschaftlichen Aufwand scheuten. Die Einbettung in Versorgungsstrukturen könnte helfen, das Adoption-Problem zu lösen: Wenn Ärzte DiGAs direkt aus ihrer Praxissoftware heraus verordnen können, sinkt die Hürde erheblich. Internationale Vergleiche zeigen, dass Verordnungsquoten dort am höchsten sind, wo die App nicht gesucht, sondern empfohlen wird [2].

Gleichzeitig steigen die Qualitätsanforderungen weiter. Die Kombination aus EU AI Act, NIS-2 und strikteren DiGA-Nachweispflichten bedeutet: Wer im digitalen Gesundheitsmarkt bestehen will, muss Sicherheit und Evidenz nicht mehr als Nebenbedingung, sondern als Kernkompetenz verstehen. Das ist die Botschaft, die Berlin an diesem Donnerstag in die Branche sendete.

Für Patienten und Versicherte bedeutet das: Digitale Gesundheitsanwendungen werden mittelfristig selbstverständlicher Bestandteil der GKV-Versorgung – mit dem gleichen Anspruch an Evidenz, Datenschutz und Qualität wie jede andere Behandlung. Auf bestes.com sind aktuell mehr als 1.300 digitale Gesundheitsservices gelistet, darunter alle dauerhaft zugelassenen DiGAs im BfArM-Verzeichnis mit Verordnungsvoraussetzungen, Kosten und App-Bewertungen.

Das Signal des Tages

Das Digitalforum Gesundheit ist keine Messe, sondern ein Fachkongress mit bewusst engem Fokus. Die Zusammensetzung aus Klinik-IT-Leitern, Datenschutzexperten, DiGA-Herstellern und Regulierungsexperten macht den Charakter deutlich: Es geht nicht um Zukunftsvisionen, sondern um die konkreten Fragen des laufenden Jahres. Was tritt wann in Kraft? Was ist wirklich Hochrisiko? Wie funktioniert NIS-2 in einer Praxis mit acht Mitarbeitern?

Die Antwort des Tages war nüchtern und pragmatisch: Digitalisierung im Gesundheitswesen funktioniert langfristig nur dann, wenn Sicherheit von Anfang an mitgedacht wird – nicht als Bremse, sondern als Grundlage. Wer das jetzt umsetzt, hat einen Vorteil. Wer wartet, zahlt später.

FAQ

Gilt der EU AI Act für alle Gesundheits-Apps?
Nein. Nur KI-Systeme mit diagnostischer oder therapeutischer Funktion gelten als Hochrisiko. Informations-Apps, Erinnerungsfunktionen und reine Tracking-Tools fallen in der Regel nicht darunter.

Wer ist von NIS-2 im Gesundheitswesen betroffen?
Nahezu alle Krankenhäuser, viele Pflegeeinrichtungen und Gesundheits-IT-Anbieter ab bestimmten Größenschwellen. Die Registrierung im BSI-Portal war bis 6. März 2026 Pflicht.

Was ändert sich für DiGA-Nutzer?
DiGAs sollen künftig stärker in Praxisabläufe integriert werden. Verordnungen könnten direkt aus der Praxissoftware erfolgen. Die Qualitätsanforderungen – Evidenz, Datenschutz, Nutzbarkeit – steigen weiter.