Die NIS2-Richtlinie etabliert einen verbindlichen Katalog von zehn technischen und organisatorischen Maßnahmen (TOMs), die von der Geschäftsleitung umzusetzen und zu überwachen sind. Aus Sicht der Cyberversicherer lassen sich diese in Maßnahmen unterteilen, die bereits etablierter Marktstandard und Teil der Deckungsvoraussetzung waren, und solche, die für viele Unternehmen neu sind. Klar ist in allen Fällen: Wer heute die zehn TOMs missachtet, riskiert weit mehr als NIS2-Bußgelder. Es droht im Ernstfall die vollständige Leistungsfreiheit der Cyberversicherung.

Anzeige

Keine Überraschung: die etablierten Standards

Ein signifikanter Teil der NIS2-Anforderungen deckt sich mit den Kontrollen, die Cyberversicherer bereits seit Jahren zur Bedingung für die Versicherbarkeit gemacht haben. Für Unternehmen mit einer modernen Police sind sie daher kein Neuland. So bildet etwa die Risikoanalyse (TOM 1) das Fundament jeder IT-Sicherheit und wird im Antragsprozess routinemäßig abgefragt; die NIS2 transformiert diese Dokumentationspflicht nun endgültig: von einer reinen Versicherungsfrage in eine gesetzliche Pflicht. Ähnlich verhält es sich mit dem Bereich der Datensicherung (TOM 3). Zur Abwehr von Ransomware-Angriffen setzt er längst den Einsatz offline gespeicherter oder unveränderlicher Sicherungskopien voraus.

Auch technische Kernaspekte der Systempflege und Zugriffssicherung sind längst Marktstandard: Das professionelle Einspielen von Sicherheitsaktualisierungen (TOM 5) sowie strikte Vorgaben für Kennwörter und die Trennung von Administratorkonten (TOM 9) fordern Versicherer schon lange als grundlegende Obliegenheiten. Ebenso gehören kryptografische Verfahren (TOM 8), wie die Verschlüsselung mobiler Endgeräte und Fernzugriffe, zu den etablierten Anforderungen. Das Gesetz verlangt zwar in diesen Bereichen nun eine höhere prozessuale Tiefe und lückenlose schriftliche Konzepte. Für gut aufgestellte Unternehmen ist die technische Basis jedoch keine Überraschung, da sie bereits heute die Voraussetzung für einen wirksamen Versicherungsschutz bildet.

Neue Aufwände und erhöhte Kürzungsgefahr

Wirklich neu ist, dass die NIS2 Anforderungen einführt, die die Prozesse für viele Unternehmen verändern – insbesondere im Mittelstand. Dazu gehört beispielsweise Sensibilisierung und Dokumentation. Unternehmen müssen ein Incident-Management mit klaren Rollen und regelmäßigen Übungen vorweisen (TOM 2) sowie die kritische 24-Stunden-Meldefrist an das Bundesamt für Sicherheit in der Informationstechnik (BSI) einhalten. Dabei muss die Ursachenanalyse ein integraler Teil der Rettung sein, um den Zielkonflikt zwischen schneller Wiederherstellung und der von Versicherern geforderten Beweissicherung aufzulösen.

Ergänzend werden technische Funktionsnachweise wie jährliche Penetrationstests und Wiederherstellungstests für Backups zur Pflicht (TOM 6). Da Versicherer zudem meist voraussetzen, dass Unternehmen kritische Lücken innerhalb von 14 bis 30 Tagen (Mean-Time-to-Patch) schließen, ist eine präzise Dokumentation essenziell. Nur so erhalten sie den vollen Versicherungsschutz. 
Die neue gesetzliche Schulungspflicht für Belegschaft und Geschäftsführung (TOM 7) lässt sich dabei oft ohne großen Mehraufwand erfüllen. Viele Versicherer bieten interaktive Awareness-Schulungen und Phishing-Simulationen bereits als kostenfreien Service zur Risikominimierung an.

Die wohl kritischsten Hürden der NIS2-Umsetzung sind die Sicherheit der Lieferkette (TOM 4) und die flächendeckende Einführung der Multifaktor-Authentifizierung (MFA), siehe TOM 10. Die Sicherung der Lieferkette ist dabei eine zentrale Herausforderung: Unternehmen dürfen die IT-Sicherheit ihrer Zulieferer und Dienstleister nicht nur punktuell abfragen, sondern müssen sie systematisch bewerten und vertraglich binden.

Parallel dazu wandelt sich die MFA von einer einst verhandelbaren Risikofrage zum Mindeststandard. Die Realität offenbart jedoch eine Umsetzungslücke: Analysen der Baobab-Cyberexperten zeigen, dass 52 % der Unternehmen bis 10 Millionen Euro Umsatz und auch 46 % der Firmen bis 50 Millionen Euro Umsatz bisher keinerlei MFA-Schutz nutzen. Da das Gesetz keine Übergangsfristen vorsieht, riskieren diese Betriebe den Verlust ihres Versicherungsschutzes – sofern sie nicht umgehend einen belegbaren und dokumentierten Rollout starten, um den Vorwurf der Wissentlichkeit zu entkräften.

Obliegenheiten und Kausalität

Durch Standardklauseln in Cyberpolicen werden die gesetzlichen NIS2-Vorgaben zu harten vertraglichen Obliegenheiten. Während einfache Fehler meist gedeckt sind, führt grobe Fahrlässigkeit zu Leistungskürzungen; bei bewusster Missachtung dokumentierter Mängel droht sogar der totale Deckungsverlust. Schützend wirkt hier der Grundsatz der Zumutbarkeit: Ein belegbar gestarteter Einführungsprozess entkräftet den Vorwurf der wissentlichen Pflichtverletzung und sichert die Regulierung während der Übergangsphase. 
Als letzte Verteidigungslinie bleibt der Kausalitätsgegenbeweis. Hier muss das Unternehmen nachweisen, dass der Regelverstoß den konkreten Schaden weder verursacht noch vergrößert hat. Während ein fehlender Wiederherstellungsplan bei einem reinen Datenabfluss ohne Betriebsunterbrechung oft folgenlos bleibt, ist die Kausalität bei einer fehlenden MFA-Sicherung nach einem Identitätsdiebstahl unmittelbar gegeben und führt zum vollständigen Verlust der Versicherungsleistung.

Warten lohnt sich nicht

Aus Sicht der Cyberversicherer bilden die zehn TOMs schon lange das notwendige Fundament der IT-Sicherheit. Während Großunternehmen diese Standards meist erfüllen, bedeuten sie für den Mittelstand einen Aufwand – an dem jedoch kein Weg vorbeiführt. Da die persönliche Haftung der Geschäftsführung zum schärfsten Instrument der Aufsichtsbehörden geworden ist, ist eine lückenlose Dokumentation die einzige wirksame Strategie zur Haftungsvermeidung. NIS2 sollte dennoch als Chance begriffen werden: Proaktive Regeltreue schützt vor Sanktionen, festigt die Rolle in der digitalen Lieferkette und sichert langfristig stabilere Konditionen am Versicherungsmarkt.