Mit dem NIS2-Umsetzungsgesetz wurde Cybersicherheit zur gesetzlichen Pflicht und gleichzeitig zur Haftungsfalle. Für Versicherungsmakler verändert sich damit das Risikoprofil ihrer Kunden grundlegend. Wer jetzt nicht aufklärt, riskiert selbst zum Ersatzversicherer zu werden, warnt John Braun, Head of Distribution bei Baobab Insurance.
Seit dem Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025 hat sich das Anforderungsprofil an die Informationssicherheit im deutschen Mittelstand grundlegend gewandelt. Cybersicherheit ist keine isolierte IT-Aufgabe mehr, sondern wird als zentrale Komponente der Unternehmensführung und der finanziellen Resilienz bewertet. In diesem regulatorischen Gefüge rückt die Haftungssituation des Versicherungsmaklers in den Fokus: Als zentrale Beratungsinstanz ist er verpflichtet, auf die Übereinstimmung von gesetzlichen Anforderungen und Versicherungsschutz hinzuweisen.
Das Ende der Freiwilligkeit: IT-Sicherheit als gesetzliche Kernpflicht
Lange Zeit war es eine technische Nebenaufgabe, die digitale Infrastruktur abzusichern. Das neue BSI-Gesetz (BSIG), das im Rahmen der NIS2-Richtlinie in Kraft tritt, macht Cybersicherheit nun zu einer gesetzlich verankerten Kernpflicht der Unternehmensführung. Der Fokus verschiebt sich von einer reinen Schadensreaktion zu einem proaktiven Risikomanagement. So legt § 30 BSIG verbindliche technische Mindestanforderungen als neuen „Stand der Technik“ fest, darunter flächendeckende Mehr-Faktor-Authentifizierung sowie Konzepte zur Datensicherung und Notfallwiederherstellung. Ergänzend gelten strikte Meldepflichten: Bei schwerwiegenden Vorfällen muss das BSI innerhalb von 24 Stunden informiert werden. Besonders brisant: Nach § 38 BSIG haftet die Geschäftsführung persönlich und unmittelbar, wenn diese Pflichten nicht erfüllt werden.
Die NIS2- Regulierung betrifft auch Makler
Unmittelbar betroffen sind nun auch kleine und mittlere Unternehmen (KMUs). Also Unternehmen ab 50 Mitarbeitenden oder mit einem Jahresumsatz und einer Bilanzsumme von über 10 Millionen Euro – sofern sie in einem der 18 Sektoren tätig sind, etwa in der Energie- und Wasserversorgung, im Gesundheitswesen oder in der Lebensmittelwirtschaft. Doch die tatsächliche Reichweite geht deutlich darüber hinaus.
Durch die gesetzliche Pflicht zur Sicherung der Lieferkette (§ 30 Abs. 2 Nr. 4 BSIG) wirkt die Regulierung als massiver Multiplikator. Betroffene Unternehmen dürfen rechtlich nur noch mit Dienstleistern zusammenarbeiten, die nachweislich die NIS2-Sicherheitsstandards erfüllen. Das führt dazu, dass auch kleinere Zulieferer durch ihre Vertragspartner zur Regeltreue gezwungen werden – bei Nichtbeachtung droht der Ausschluss aus der Lieferkette.
Wichtig für Makler: Auch das Maklerhaus selbst kann geprüft werden. Als Verwalter hochsensibler Daten müssen sie damit rechnen, dass ihre Kunden detaillierte Nachweise zur IT-Sicherheit – insbesondere zu den 10 Mindestanforderungen – einfordern, um ihren gesetzlichen Prüfpflichten nachzukommen. Werden diese nicht erfüllt, droht der Verlust von Mandaten. Unabhängig davon ist es sinnvoll, diese Mindestanforderungen umzusetzen. Sie bilden einen heute erwartbaren Sicherheitsstandard ab und stärken zugleich die Positionierung als professioneller Berater.
Wie ein vierzig Jahre altes Urteil die NIS2 beeinflusst
Obwohl Makler grundsätzlich keine Rechtsberatung leisten dürfen, entsteht eine unmissverständliche Aufklärungspflicht, sobald gesetzliche Neuerungen das Risikoprofil der Mandanten verändern. Das historische Sachwalterurteil verpflichtet sie, das versicherte Risiko ihrer Bestandskunden laufend zu überwachen. Das heißt konkret, wenn sich das Risikoprofil durch neue Richtlinien wie die NIS2 verändert, muss der Makler den Kunden darauf ungefragt hinweisen.
Instandhaltung der Betriebsfähigkeit und Blick auf Bestandsverträge
Zwei Themen sind für den Makler zentral: Im Rahmen der Risikoanalyse sollte der Makler unbedingt prüfen, ob der Kunde seinen Betrieb überhaupt noch rechtmäßig betreiben kann. Denn durch eine NIS2-Betroffenheit erhöht sich das Risiko des Kunden enorm. Erfüllt der Kunde die NIS2-Anforderungen nicht, riskiert er nicht nur Bußgelder, sondern im Ernstfall auch drastische Maßnahmen wie das Verbot der Geschäftsführung (§§ 60-64 BSIG) und einen Betriebsstopp.
Hinzu kommt, dass Makler Bestandsverträge umgehend überprüfen sollten. Die NIS2 hat die technischen Anforderungen verschärft, ohne dass eine einzige Bedingungszeile in der Versicherung geändert wurde. Da fast alle Policen die „Einhaltung aller gesetzlichen Sicherheitsvorschriften“ als Obliegenheit fordern, wird die neue NIS2 nun zur faktischen Deckungsvoraussetzung. Der Kunde zahlt zwar Prämien, doch die Police bietet aufgrund mangelhafter Einhaltung der Richtlinie keine Deckung – ein Umstand, auf den der Makler im Rahmen seiner bedarfsgerechten Aufklärung unbedingt hinweisen muss.
Wichtiger Hinweis: Das Prüfen der Bestandsverträge betrifft sich nicht nur auf Cyberpolicen, sondern auch alle weiteren Versicherungen wie D&O oder Haftpflicht.
Was bedeutet das für die Maklerhaftung?
Die ausgelassene Beratung zur NIS2-Compliance wird für den Makler zu einem existenziellen Haftungsrisiko. Was als bloße „Obliegenheitsverletzung“ des Kunden beginnt, kann für den Makler schnell in Eigenhaftung nach seiner Schadenersatzpflicht (§ 63 VVG) enden. Unterlässt er den Mandanten proaktiv auf das veränderte Risikoprofil und die Gefährdung des Versicherungsschutzes hinzuweisen, wird die Kausalitätskette im Schadensfall fatal: Lehnt der Versicherer die Regulierung eines Ransomware-Angriffs ab, weil die NIS2-Mindeststandards nicht erfüllt waren, rückt die Dokumentationspflicht des Maklers in den Fokus. Fehlt der Nachweis der Aufklärung, droht dem Makler die Rolle des „Ersatzversicherers“. In diesem Fall muss das Maklerhaus den Kunden finanziell so stellen, als hätte die Versicherung geleistet – von IT-Forensik über Systemwiederherstellung bis zu massiven Ertragsausfällen. Bei Großschäden in Millionenhöhe kann dies die Deckungssumme der eigenen Vermögensschadenhaftpflicht übersteigen und die Existenz des Maklerbetriebs gefährden.
Konkrete Handlungstipps für die Praxis
Um die eigene Haftung zu sichern und Mandanten wirksam zu schützen, sollten Maklerhäuser jetzt folgende Schritte einleiten:
- Bestandsanalyse: Alle Kunden erfassen, die direkt unter die NIS2 fallen oder als Zulieferer indirekt betroffen sind.
- Proaktive Aufklärung: Kunden schriftlich über die geänderte Rechtslage und die Auswirkungen auf den Versicherungsschutz informieren – inklusive Hinweis, dass eine Cyberpolice allein die NIS2-Konformität nicht ersetzt.
- Wording-Check: Klauseln zu „wissentlichen Pflichtverletzungen“ und „gesetzlichen Vorschriften“ in den Bestandsverträgen prüfen.
- Rechtssichere Dokumentation: Jede Beratung und jeden Hinweis zu den neuen Sicherheitsanforderungen lückenlos festhalten, um sich gegen mögliche Regressforderungen abzusichern.
Positionierung als professioneller Makler stärken
Mit dem Inkrafttreten von NIS2 ist die Zeit des Abwartens und der Freiwilligkeit vorbei. Makler sind aktiv gefordert, denn die Regulierung wirkt als massiver Multiplikator. Nur wer daher jetzt als fachkundiger Berater voranschreitet, sichert das Fortbestehen seiner Mandanten – und damit auch die Zukunftsfähigkeit des eigenen Maklerhauses.