NIS2: Folgen finden zu wenig Beachtung!

NIS2 im Jahr 2026: Der Anwendungsbereich ist größer, als viele denken

Der Gastbeitrag „Verschärfte Cybersicherheitsanforderungen: „Abwarten ist für Makler keine Option“ auf DAS INVESTMENT setzt den richtigen Ton: Der Autor John Braun beschreibt NIS2 als „Chefsache“ – und warnt, dass Unternehmen ohne zügige Umsetzung ihren Versicherungsschutz gefährden können. John Braun leitet als Head of Distribution bei Baobab Insurance, einem digitalen Assekuradeur technischer Risiken, den Maklervertrieb. Seine Einschätzung ist gut begründet. Seit Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes im Dezember 2025 gelten die verschärften Anforderungen verbindlich. Es fallen rund 29.500 Unternehmen aus 18 Sektoren ganz direkt unter die verschärften EU-weiten Richtlinien, schreibt John in seinem Artikel.

Doch wer sich vertieft mit der Materie beschäftigt, erkennt schnell: Der eigentliche Sprengsatz liegt im Anwendungsbereich der europäischen Richtlinie.

Von KRITIS zur Breitenregulierung

Die europäische Richtlinie (EU) 2022/2555 (NIS-2) erweitert den Kreis der verpflichteten Unternehmen erheblich. Anders als die Vorgängerregelung beschränkt sie sich nicht mehr primär auf klassische Betreiber Kritischer Infrastrukturen. Vielmehr erfasst sie eine Vielzahl wirtschaftlicher Sektoren – von Energie, Verkehr und Bankwesen über Gesundheitswesen und digitale Infrastruktur bis hin zu Abfallwirtschaft, Produktion, Lebensmittelindustrie, Post- und Kurierdiensten sowie Forschungseinrichtungen.

Der vollständige und verbindliche Gesetzestext einschließlich der beiden zentralen Sektorlisten in Anhang I („hohe Kritikalität“) und Anhang II („sonstige kritische Sektoren“) ist barrierefrei über die offizielle EU-Rechtsdatenbank abrufbar:

👉 Richtlinie (EU) 2022/2555 (NIS-2)

Betroffen sind im Kern folgende Unternehmen:

1️⃣ Besonders wichtige Einrichtungen

  • Energie
  • Verkehr
  • Banken
  • Gesundheitswesen
  • Trinkwasser
  • Digitale Infrastruktur

2️⃣ Wichtige Einrichtungen

  • IT-Dienstleister
  • Rechenzentren
  • Cloud-Anbieter
  • Entsorgungsunternehmen
  • Teile der Industrie
  • Lebensmittelproduktion

NIS2 verlangt unter anderem:

  • Risikomanagement für IT-Sicherheit
  • Incident-Response-Konzepte
  • Meldepflicht bei Sicherheitsvorfällen (innerhalb von 24 Stunden Erstmeldung!)
  • Lieferketten-Sicherheit
  • Business-Continuity-Management
  • Schulungen der Geschäftsleitung

John Braun beschreibt in seinem Artikel insbesondere die „MFA-Lücke“ im Mittelstand. Die Richtlinie definiert zehn technische Mindestmaßnahmen nach dem Stand der Technik – darunter Risikoanalysen, belastbares Backup-Management und vor allem die verpflichtende Nutzung von Multi-Faktor-Authentifizierung (MFA).

Während Großunternehmen diese Anforderungen meist bereits umgesetzt haben, zeigt sich im KMU-Bereich laut interner Analyse ein deutliches Defizit: 52 Prozent der Unternehmen mit bis zu zehn Millionen Euro Umsatz setzen keine MFA ein. Selbst bei Betrieben mit bis zu 50 Millionen Euro Umsatz liegt der Anteil noch bei rund 46 Prozent.

Brisant ist dabei: Übergangsfristen sieht NIS2 nicht vor. Wer die Mindestanforderungen seit Inkrafttreten nicht erfüllt, bewegt sich rechtlich im Risiko. Bei schuldhaften Verstößen haften Geschäftsführer jetzt unmittelbar mit ihrem Privatvermögen. Klassische Haftpflicht- und Cyber-Policen greifen dann oft nicht, da es sich bei NIS2 um ein Gesetz handelt und die Nichteinhaltung von Gesetzen meist unter den Tatbestand „vertragliche Obliegenheitspflichtverletzungen“ fällt. Die Nichtbeachtung gesetzlicher Sicherheitsvorgaben führt in der Regel zur Leistungsfreiheit der Versicherer. D&O-Policen bieten meist bei fahrlässiger Missachtung noch Schutz, während bei vorsätzlichen Verstößen, also beispielsweise bei bewusster Missachtung gesetzlicher Vorgaben, auch hier der Versicherungsschutz oft versagt bleibt. Dabei besteht hier meist Deckung bis zur rechtskräftigen Feststellung des Vorsatzes. Das heißt: Verteidigungskosten können ggf. zunächst übernommen werden.

Schwellenwerte mit praktischer Relevanz

Erfasst sind grundsätzlich mittlere und große Unternehmen innerhalb dieser Sektoren. Maßgeblich sind in der Regel mindestens 50 Beschäftigte sowie mehr als zehn Millionen Euro Jahresumsatz oder Bilanzsumme. Darüber hinaus sieht die Richtlinie Sondertatbestände vor, bei denen Unternehmen unabhängig von ihrer Größe als besonders relevant eingestuft werden können – etwa wegen systemischer Bedeutung oder grenzüberschreitender Auswirkungen.

Beispiele für Unternehmensformen, die nach NIS2 unabhängig von ihrer Größe als besonders relevant eingestuft werden können (Sondertatbestände):

  • Betreiber eines öffentlichen Telekommunikationsnetzes
  • Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • Vertrauensdiensteanbieter (z. B. qualifizierte elektronische Signaturen)
  • Betreiber von DNS-Diensten
  • Top-Level-Domain-Registries
  • Anbieter von Cloud-Computing-Diensten
  • Betreiber von Rechenzentren
  • Anbieter von Content-Delivery-Netzwerken (CDN)
  • Betreiber öffentlicher Verwaltungsplattformen
  • Unternehmen mit zentraler Rolle in der Energie- oder Finanzmarktinfrastruktur

Die vielfach anzutreffende Annahme, „KMU seien ohnehin nicht betroffen“, greift daher deutlich zu kurz.

Zwei Kategorien – unterschiedliche Aufsicht

Neu ist zudem die Einteilung in „wesentliche“ und „wichtige“ Einrichtungen. Diese Unterscheidung wirkt sich unmittelbar auf die Intensität der behördlichen Aufsicht und die Höhe möglicher Sanktionen aus.

Für wesentliche Einrichtungen sieht die Richtlinie Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen sind es bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes – jeweils der höhere Betrag ist maßgeblich.

Hinzu kommen behördliche Eingriffsbefugnisse, die bis hin zu vorübergehenden Managementausschlüssen reichen können.

Governance statt IT-Detail

Besonders relevant für Geschäftsleiter – und damit auch für die Versicherungsberatung – ist die klare Zuweisung von Verantwortung an das Leitungsorgan. Die Unternehmensleitung muss Cybersicherheitsmaßnahmen nicht nur genehmigen, sondern deren Umsetzung fortlaufend überwachen. Damit wird Cybersicherheit endgültig zur Organpflicht. Wer hier strukturelle Defizite duldet oder notwendige Maßnahmen verzögert, riskiert nicht nur Bußgelder, sondern persönliche Haftung.

Darauf weist John Braun in seinem Beitrag ausdrücklich hin. Er warnt, dass Untätigkeit nicht nur regulatorische, sondern auch versicherungsrechtliche Konsequenzen haben kann. Mit NIS2 sind die maßgeblichen Sicherheitsstandards nun gesetzlich verbindlich definiert. Für Makler bedeutet das: Sie müssen unverzüglich prüfen, ob ihre Kunden vom Anwendungsbereich erfasst sind – und ob die gesetzlichen Pflichten tatsächlich umgesetzt werden.

Das Risiko liegt dabei im Kleingedruckten der bestehenden Verträge, wie Braun betont. Viele Cyberpolicen enthalten Klauseln, die die Einhaltung gesetzlicher Sicherheitsvorgaben zur Voraussetzung des Versicherungsschutzes machen. Da NIS2 nun geltendes Recht ist, werden die dort definierten zehn Mindestanforderungen faktisch zur vertraglichen Obliegenheit. Werden sie nicht erfüllt, kann dies im Schadenfall zu Leistungskürzungen oder sogar zum vollständigen Verlust des Versicherungsschutzes führen.

Lieferkette als Haftungsfaktor

Ein weiterer zentraler Punkt ist der Lieferkettenbezug. Unternehmen müssen Sicherheitsanforderungen nicht nur intern umsetzen, sondern auch Risiken in ihrer Zuliefer- und Dienstleisterstruktur berücksichtigen.

Das betrifft ausdrücklich auch externe IT-Dienstleister – und mittelbar weitere Akteure mit Datenzugriff oder kritischer Funktion. Der Anwendungsbereich endet also nicht an der Unternehmensgrenze.

Im Rahmen der Risikoanalyse ist zu prüfen, ob sämtliche Elemente der Lieferkette die in der Richtlinie geforderten technischen und organisatorischen Mindeststandards erfüllen. Erfolgt ein Cyberangriff etwa über die Schnittstelle eines unzureichend abgesicherten Dienstleisters, trifft die Geschäftsleitung die Pflicht, nachzuweisen, dass dieser zuvor ordnungsgemäß geprüft und angemessen überwacht wurde. Kann dieser Nachweis nicht erbracht werden, droht eine persönliche Haftung der Geschäftsführung.

Beispiele für Unternehmensformen, die nicht unmittelbar NIS2-pflichtig, aber indirekt über die Lieferkette betroffen sein können:

  • Managed-Service-Provider (IT-Outsourcing-Dienstleister)
  • IT-Systemhäuser mit Administrator- oder Fernzugriff
  • Softwareentwickler mit Wartungs- oder Updatezugang
  • SaaS-Anbieter mit Zugriff auf Produktivdaten
  • Cloud-Integratoren
  • Rechenzentrums-Zulieferer (z. B. Netzwerktechnik)
  • Cybersecurity-Dienstleister
  • Externe SOC- oder Monitoring-Anbieter
  • Versicherungsmakler mit sensiblen Kundendaten
  • Finanzanlagenvermittler
  • Steuerberater und Wirtschaftsprüfer
  • Lohn- und Gehaltsabrechnungsdienstleister
  • HR- und Payroll-Serviceanbieter
  • Wartungsunternehmen mit Fernzugriff auf Industrieanlagen
  • Spezialzulieferer sicherheitsrelevanter Komponenten
  • Anbieter von Steuerungs- oder Embedded-Software
  • Logistikdienstleister mit digitaler Steuerungsplattform
  • Callcenter mit Zugriff auf Kunden- oder Vertragsdaten
  • Dokumentenmanagement- oder Archivierungsdienstleister
  • CRM- oder ERP-Dienstleister mit Systemzugriff

Gemeinsames Merkmal:
Diese Unternehmen haben häufig

  • privilegierten IT-Zugriff
  • Zugang zu sensiblen Daten oder
  • eine funktionale Schlüsselrolle in Geschäftsprozessen

und geraten deshalb im Rahmen von Lieferkettenprüfungen, Sicherheitsabfragen und Audits in den Fokus NIS2-pflichtiger Unternehmen.

Der Versicherungsmakler als Dienstleister

Für die Makler selbst ist dabei besonders relevant: Auch wenn Maklerunternehmen die gesetzlichen Schwellenwerte häufig nicht unmittelbar erreichen, geraten sie über ihre Rolle als Dienstleister in den Anwendungsbereich mittelbar betroffener Unternehmen. Im Rahmen des Lieferkettenansatzes können sie Gegenstand von Prüfungen und Audits werden. Wer Zugriff auf besonders schützenswerte Kundendaten hat, wird künftig belastbare und dokumentierte Nachweise zur eigenen IT-Sicherheitsorganisation vorlegen müssen. NIS2-pflichtige Unternehmen werden diese Nachweise systematisch einfordern. Wer die geforderten Standards nicht transparent belegen kann, läuft Gefahr, aus der Lieferkette ausgeschlossen zu werden.

Meine Meinung: Makler müssen aktiv werden

Vor diesem Hintergrund wäre es fahrlässig, NIS2 als Randthema zu behandeln. Der Anwendungsbereich ist zu breit, die Schwellenwerte zu praxisnah und die Sanktionen zu erheblich. Makler im Gewerbekundensegment sollten das Thema aktiv ansprechen. Nicht erst im Schadenfall, sondern im Beratungsgespräch. Es geht um drei Kernfragen: Fällt das Unternehmen unter Anhang I oder II? Werden die Schwellenwerte erreicht? Und sind die gesetzlichen Mindestanforderungen dokumentiert umgesetzt?

Wer als Makler eine derart grundlegende regulatorische Änderung im Risikoprofil seines Kunden nicht thematisiert, begibt sich selbst in ein haftungsrelevantes Terrain. Die Beratungspflicht endet nicht bei bestehenden Policen, wenn sich die Rechtslage substanziell verändert.

Unterm Strich markiert NIS2 für Makler einen Rollenwechsel. Sie sind nicht mehr nur Berater betroffener Unternehmen, sondern potenziell selbst Teil der sicherheitsrelevanten Wertschöpfungskette. Auch wenn die meisten Maklerhäuser die gesetzlichen Schwellenwerte nicht unmittelbar erreichen, können sie als datenverarbeitende Dienstleister in Prüf- und Auditprozesse einbezogen werden. Damit entsteht ein zweifacher Handlungsdruck: Einerseits müssen Makler ihre Kunden systematisch auf Betroffenheit und Umsetzungsstand ansprechen. Andererseits sollten sie die eigene IT-Sicherheitsorganisation kritisch überprüfen und dokumentationsfähig aufstellen. Denn NIS2-pflichtige Unternehmen werden Transparenz einfordern – und Geschäftsbeziehungen zunehmend an belastbare Sicherheitsnachweise knüpfen.

Wer hier zögert, riskiert nicht nur Beratungsdefizite, sondern auch die eigene Marktposition.

Auf Seiten zahlreicher Versicherer und ihrer Maklerbetreuer zeigt sich bislang eine erstaunliche Zurückhaltung. In Gesprächen wird deutlich, dass belastbare Informationen, konkrete Handlungsempfehlungen oder eine klare Positionierung zu den versicherungsrechtlichen Auswirkungen von NIS2 vielfach noch fehlen.

Gerade angesichts der möglichen Haftungs- und Deckungsrisiken überrascht diese Informationslücke. Während die regulatorischen Anforderungen bereits gelten, ist die Branche in Teilen noch im Orientierungsmodus. Für Vermittler bedeutet das: Sie können sich derzeit nicht darauf verlassen, dass Impulse automatisch vom Versicherer kommen – vielmehr ist eigene Initiative gefragt.

NIS2 ist kein IT-Trend, sondern geltendes Organisationsrecht. Wer es ignoriert, riskiert Bußgelder, Reputationsschäden und unter Umständen auch Deckungsprobleme. Wer es hingegen aktiv adressiert, stärkt seine Position als strategischer Risikoberater.

Abwarten ist tatsächlich keine Option.

Entdecke mehr von Sachthemen.blog

Melde dich für den Newsletter an, um die neuesten Beiträge per E-Mail zu erhalten.

Published by

Stephan von Heymann

Kommentar verfassen

Entdecke mehr von Sachthemen.blog

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen