Seit Inkrafttreten der NIS-2 sorgen sich viele Unternehmen um drohende Bußgelder. Dabei übersehen sie die weitaus gefährlichere Falle, nämlich den schleichenden Verlust ihres Versicherungsschutzes. 
So offenbart die Analyse der NIS-2-Mindeststandards und der Versicherungsbedingungen (AVB) eine kritische Schnittmenge: Gesetzliche Vorgaben wandeln sich durch Verweisklauseln geräuschlos zu harten vertraglichen Obliegenheiten. Geschäftsführer, die diese missachten, riskieren neben Millionenbußgeldern die vollständige Leistungsfreiheit ihrer Cyberversicherer. In der „Stunde Null“ eines Angriffs steht das Unternehmen somit ohne finanziellen Rückhalt da. Durch den erweiterten Anwendungsbereich der NIS-2-Regulierung trifft dieses Risiko nun auch den gesamten Mittelstand.
Vor diesem Hintergrund sollten Makler ihre Kunden auf einige zentrale vertragliche und rechtliche Aspekte hinweisen:

Anzeige

Gesetzliche Pflichten werden zu Versicherungsobliegenheiten

Den neuen Risikokern für Unternehmen bildet dabei die Schnittstelle zwischen der NIS-2-Regulierung des BSI-Gesetzes (BSIG) und dem Versicherungsvertragsrecht (VVG) . Durch § 30 Abs. 2 BSIG erfährt der bisher oft vage „Stand der Technik“ eine verbindliche gesetzliche Definition.

Weitaus kritischer ist jedoch die Standardklausel zur Einhaltung gesetzlicher und behördlicher Vorschriften. Da die NIS-2-Vorgaben explizit dem Schutz von IT-Systemen dienen, fallen sie nahtlos unter diese Klausel. Das bedeutet: Die NIS-2-Anforderungen sind seit dem 6. Dezember 2025 zu harten vertraglichen Obliegenheiten geworden. Ein Verstoß berechtigt den Versicherer gemäß § 28 VVG zur signifikanten Leistungskürzung oder zur vollständigen Leistungsfreiheit.

Zehn Mindestanforderungen: Der Filter der Versicherbarkeit

Aus diesem Grund definiert Artikel 21 der NIS-2-Regulierung zehn Risikomanagementmaßnahmen, die ab sofort den Rahmen für den Versicherungsschutz bilden. In der Praxis wirken diese wie ein Filter:

  • Zentrale Handlungsfelder: Die Anforderungen umfassen das gesamte Spektrum moderner digitaler Risikosteuerung – von Risikoanalysen und Incident Management über zur Multi-Faktor-Authentifizierung (MFA) bis hin zur Sicherung der Lieferkette.
  • Die Eskalationsstufen: Werden diese Standards missachtet, droht nicht nur der Verlust der Leistungsansprüche. Es steht der Vorwurf des Organisationsverschuldens im Raum. Was früher als einfache Fahrlässigkeit durchging, wird heute als strukturelles Versagen der Führung gewertet. Dokumentierte Mängel, die aus Budgetgründen nicht behoben wurden, führen direkt in den Ausschluss wegen „wissentlichen Abweichens“ – hier zahlt der Versicherer im Ernstfall keinen Cent.

Die 24-Stunden-Falle: Meldekaskaden im operativen Konflikt

Ein massives Spannungsfeld offenbart sich zudem bei den Meldepflichten. Im Fall eines Cybervorfalls implementiert NIS-2 ein straffes, dreistufiges Verfahren (24 Stunden Frühwarnung / 72 Stunden Folgebericht / 30 Tage Abschlussbericht). Dieser getaktete Zeitplan muss mit der unverzüglichen Anzeigeobliegenheit der Versicherung synchronisiert werden.

Entscheidend ist, dass in der chaotischen „Stunde Null“ eines Angriffs kein Prioritätenstreit entstehen darf: Während das BSIG schnelles Handeln fordert, um die Versorgung zu sichern, ist die forensische Beweissicherung grundlegend für die spätere Regulierung. Der entscheidende Erfolgsfaktor ist hierbei, die Forensik untrennbar in den Maßnahmenplan zur Wiederherstellung einzubetten. Nur wer die Ursachenanalyse und Beweissicherung als integralen Teil der Systemrettung begreift, erfüllt sowohl die gesetzlichen als auch die versicherungsvertraglichen Pflichten.

Die Lieferkette als unterschätztes Haftpflichtrisiko

Ein oft übersehener Aspekt ist darüber hinaus die Pflicht, die Lieferkette abzusichern. Unternehmen müssen die Resilienz ihrer Zulieferer ab sofort aktiv prüfen und vertraglich fixieren. Für Cyberversicherer ist dies ein Hebel zur Schadensbegrenzung: Erfolgt ein Cyberangriff über die Schnittstelle eines ungeprüften Dienstleisters, rückt die Sorgfaltspflicht bei der Anbieterauswahl in den Fokus. In der Logik des Versicherers erhöht es die Gefahr, unsichere Drittsysteme einzubinden. 
Ohne lückenlose Dokumentation dieser Prüfprozesse droht Unternehmen ein massives Risiko, wenn ihre Lieferketten angegriffen werden: Der Versicherer kann es ablehnen, Schadensersatzforderungen Dritter zu übernehmen. Sollten Kunden das Unternehmen für ihre Betriebsausfälle haftbar machen, könnte im Ernstfall der schützende Haftpflichtbaustein der Cyberpolice entfallen.

Der juristische Nachgang: Kausalitätsgegenbeweis und Organhaftung

Die volle Komplexität entfaltet sich schließlich in der Forensik. Decken Untersuchungen strukturelle Mängel auf, werden diese nun als manifeste Gesetzesverstöße gewertet.

  • Der Kausalitätsgegenbeweis: Die einzige rechtliche Grundlage des Kunden ist § 28 Abs. 3 VVG. Er muss beweisen, dass die Pflichtverletzung, z. B. fehlende MFA, gar nicht ursächlich für den konkreten Einbruch war.
  • Die D&O-Versicherung: Da Cybersicherheit zur unteilbaren Chefsache (§ 38 BSIG) wird, rückt bei Leistungsfreiheit der Cyberpolice sofort die D&O-Versicherung in den Fokus. Doch Vorsicht: D&O-Versicherer prüfen die IT-Unternehmensführung mittlerweile ebenso rigide. Ein systematisches Ignorieren der NIS-2-Investitionen kann auch hier als wissentliche Pflichtverletzung gewertet werden. Das Managements haftet somit im Zweifel mit dem Privatvermögen, wenn der unternehmenseigene Versicherungsschutz versagt.

Die Versicherung als Sekundäraufsicht

Die NIS-2 ist nun hartes Wirtschaftsrecht. In dieser Realität verschmelzen Gesetz und AVB so stark, dass das BSIG faktisch zum Mitautor der Deckungsvoraussetzungen von Versicherungen wird. Im Ernstfall entscheidet nicht mehr allein die Technik über das Überleben des Unternehmens. Es kommt darauf an, dass IT und Rechtsabteilung in den ersten Stunden nach dem Angriff jeden Schritt exakt aufeinander abstimmen.

Daher ist die Cyberversicherung nicht länger eine ein Instrument, um sich von der Verantwortung freizukaufen. Stattdessen ist sie eine wirtschaftliche Instanz der Sekundäraufsicht. Über den Hebel der Schadenzahlung kontrolliert sie streng und lückenlos, dass Unternehmen die NIS2-Gesetze einhalten. Geschäftsführer, die NIS2-Vorgaben ignorieren, riskieren neben behördlichen Sanktionen und persönlicher Haftung daher auch den Deckungsverlust ihrer Versicherung.