Cyberversicherung und NIS-2: Was Versicherer jetzt fordern

Cyberversicherungen sind ein zweischneidiges Schwert. Einerseits können sie den Unterschied machen zwischen einem überlebten Vorfall und der Insolvenz. Andererseits sind sie kein Ersatz für Sicherheit – und die Versicherer werden immer genauer hinschauen. Mit NIS-2 verschärft sich das nochmal.

Warum Versicherer sich für NIS-2 interessieren

Versicherer haben ein Problem: Wie bewertet man Cyberrisiken? Anders als bei Feuerversicherungen, wo Jahrzehnte an Schadenstatistiken existieren, ist Cyber noch relativ jung und die Bedrohungslage ändert sich ständig.

NIS-2 kommt da gelegen. Die Richtlinie definiert Mindestanforderungen – gesetzlich festgelegt, branchenspezifisch, prüfbar. Das ist genau das, was Versicherer für ihre Risikoeinschätzung brauchen. Viele integrieren NIS-2-Kriterien bereits in ihre Fragebögen und Underwriting-Prozesse.

Wenn Sie unter NIS-2 fallen und die Anforderungen nicht erfüllen, wird das Konsequenzen haben. Der Versicherer kann argumentieren, dass der Schaden bei Einhaltung gesetzlicher Pflichten vermeidbar gewesen wäre. “Obliegenheitsverletzung” nennt sich das, und es kann zur Leistungskürzung oder -verweigerung führen. Falsche Angaben im Antrag zur Compliance können zur Anfechtung führen. Und wenn Ihre Mängel bekannt werden, drohen Prämienerhöhung oder Kündigung.

Was Versicherer heute schon verlangen

Die meisten Cyberversicherer setzen bereits bestimmte Sicherheitsstandards voraus. Multi-Faktor-Authentifizierung für Remote-Zugriffe und privilegierte Accounts – ohne MFA bekommen Sie heute kaum noch eine Police. Regelmäßige Datensicherung mit Offline-Backups. Aktueller Endpoint-Schutz. Patch-Management. Netzwerksegmentierung.

Dazu organisatorische Maßnahmen: Dokumentierte Sicherheitsrichtlinien, ein Incident-Response-Plan, Mitarbeiter-Awareness-Schulungen, ein Zugriffskontrollkonzept.

Und Prozesse: Regelmäßige Schwachstellen-Scans, Penetrationstests, Risikobewertungen.

Das alles kommt Ihnen bekannt vor? Sollte es – das sind im Wesentlichen die NIS-2-Anforderungen. Die Übereinstimmung ist kein Zufall.

Der Trend geht übrigens nur in eine Richtung: höhere Anforderungen. 2020 bis 2021 reichte Basis-Sicherheit oft aus. 2022 bis 2023 wurden MFA und Backup Pflicht. 2024 bis 2025 werden umfassende Sicherheitskonzepte erwartet. Und ab jetzt wird NIS-2-Compliance zum Standard.

NIS-2-Compliance als Vorteil

Wer nachweislich NIS-2-compliant ist, kann davon profitieren. Bessere Konditionen, weil das Risiko für den Versicherer niedriger ist. Höhere Deckungssummen, weil der Versicherer bereit ist, mehr zu versichern. Schnelleres Underwriting, weil weniger Rückfragen nötig sind. Und eine stabilere Beziehung, weil Versicherer gut aufgestellte Kunden bevorzugen.

Das funktioniert auch andersrum: Wenn Sie nicht compliant sind, werden die Prämien höher, die Deckungssummen niedriger, und der Underwriting-Prozess zäher.

Was im Schadenfall passiert

Ein Cyberangriff tritt ein. Sie melden den Schaden. Der Versicherer beginnt zu prüfen. Drei Fragen stellen sich: Waren die vereinbarten Sicherheitsmaßnahmen implementiert? Wurden gesetzliche Pflichten eingehalten? Hat das Unternehmen angemessen reagiert?

Wenn NIS-2-Anforderungen nicht erfüllt waren und das zum Schaden beigetragen hat, droht Kürzung der Versicherungsleistung. Bei grober Fahrlässigkeit kann die Leistung komplett verweigert werden. Und möglicherweise kommen Regressforderungen.

Stellen Sie sich vor: Sie werden Opfer eines Ransomware-Angriffs. Der Schaden beträgt zwei Millionen Euro. Aber Sie hatten keine MFA, obwohl die Versicherung das voraussetzt und NIS-2 das fordert. Der Versicherer kürzt die Leistung um 50 Prozent. Statt zwei Millionen bekommen Sie eine Million – den Rest zahlen Sie selbst.

Das ist kein theoretisches Szenario. Das passiert.

Was Sie tun sollten

Prüfen Sie Ihre bestehende Police. Welche Sicherheitsstandards sind vereinbart? Gibt es Obliegenheiten zur Einhaltung gesetzlicher Vorgaben? Wie sind die Leistungsausschlüsse formuliert?

Machen Sie eine ehrliche Bestandsaufnahme. Erfüllen Sie die NIS-2-Anforderungen wirklich? Stimmen Ihre Angaben im Versicherungsantrag mit der Realität überein? Wo gibt es Lücken?

Schließen Sie diese Lücken – auch wenn Sie nicht unter NIS-2 fallen. Die Anforderungen entsprechen dem, was Versicherer erwarten. MFA einführen, Backups sichern, Incident Response vorbereiten, Mitarbeiter schulen – das ist ohnehin sinnvoll.

Halten Sie Nachweise bereit. Sicherheitskonzepte, Schulungsnachweise, Penetrationstest-Berichte, Zertifizierungen, BSI-Registrierungsbestätigung. Wenn der Versicherer fragt, wollen Sie nicht erst suchen müssen.

Und kommunizieren Sie offen mit Ihrem Versicherer. Informieren Sie proaktiv über Ihre NIS-2-Betroffenheit, über umgesetzte Maßnahmen, über erkannte und behobene Schwachstellen. Transparenz schafft Vertrauen und vermeidet böse Überraschungen im Schadenfall.

Wenn Sie Lücken haben

Kurzfristig: Den Versicherer informieren, wenn die Mängel relevant sind. Sofortmaßnahmen für kritische Lücken. Dokumentieren, was Sie tun und planen.

Mittelfristig: Systematisch die NIS-2-Anforderungen umsetzen. Regelmäßig über den Fortschritt berichten. Bei Bedarf die Versicherungsdeckung anpassen.

Langfristig: Kontinuierlich verbessern. Regelmäßige Audits. An sich ändernde Standards anpassen.

Das Fazit

Die Zeiten, in denen man eine Cyberversicherung abschließen konnte, ohne nachweisen zu müssen, dass man sich um Sicherheit kümmert, sind vorbei. NIS-2 wird zum de-facto-Mindeststandard, an dem Versicherer ihre Kunden messen.

Das bedeutet: NIS-2-Compliance ist nicht nur eine regulatorische Pflicht, sondern auch eine Voraussetzung für umfassenden Versicherungsschutz. Wer die Anforderungen erfüllt, profitiert von besseren Konditionen. Wer sie nicht erfüllt, riskiert im Schadenfall den Versicherungsschutz zu verlieren – zusätzlich zu den regulatorischen Sanktionen und den Schäden durch den Angriff selbst.

Investieren Sie in Cybersicherheit. Es zahlt sich mehrfach aus: weniger Angriffe, besserer Versicherungsschutz, keine Bußgelder. Das ist ein ziemlich guter Deal.