NIS‑2: Aus­wir­kun­gen auf Cyber‑ und D&O‑Versicherungen

Wie das BSI-Gesetz den Ver­si­che­rungs­schutz beeinflusst

Mit der Umset­zung der NIS‑2‑Richtlinie (EU) 2022/2555 durch die umfas­sen­de Novel­lie­rung des BSI‑Gesetzes (BSIG) stei­gen die gesetz­li­chen Anfor­de­run­gen an die Cyber­si­cher­heit und das Risi­ko­ma­nage­ment für vie­le Unter­neh­men deut­lich. Die­se regu­la­to­ri­sche Ver­dich­tung bleibt nicht ohne Fol­gen für den Ver­si­che­rungs­markt. Das gilt ins­be­son­de­re für Cyber‑ und D&O‑Versicherungen.

NIS‑2: Kon­kre­ti­sier­te Pflich­ten für Unter­neh­men und Geschäftsleitungen

Beson­ders wich­ti­ge und wich­ti­ge Ein­rich­tun­gen müs­sen nach § 30 BSIG geeig­ne­te, ver­hält­nis­mä­ßi­ge und wirk­sa­me tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ergrei­fen, um IT‑Störungen zu ver­mei­den und Sicher­heits­vor­fäl­le wirk­sam zu beherr­schen. Der gesetz­li­che Maß­nah­men­ka­ta­log umfasst u. a. Incident‑Response, Business‑Continuity‑Management, Lieferketten‑Sicherheit, Schu­lun­gen sowie den Ein­satz von Multi‑Faktor‑Authentifizierung.

Die Ver­ant­wor­tung für Umset­zung, Über­wa­chung und Doku­men­ta­ti­on die­ser Maß­nah­men liegt aus­drück­lich bei der Geschäfts­lei­tung (§ 38 BSIG). Zudem sind Geschäfts­lei­ter ver­pflich­tet, regel­mä­ßig an Schu­lun­gen teil­zu­neh­men, um aus­rei­chen­de Kennt­nis­se im Risi­ko­ma­nage­ment sicherzustellen.

Unmit­tel­ba­re Aus­wir­kun­gen auf Cyberversicherungen

Cyber­ver­si­che­rer berück­sich­ti­gen die NIS‑2‑Compliance bereits zuneh­mend im Rah­men von Antrags‑ und Risi­ko­fra­gen. Unzu­tref­fen­de oder unvoll­stän­di­ge Anga­ben kön­nen nach § 19 Abs. 2 VVG zum Rück­tritt des Ver­si­che­rers und zu einem rück­wir­ken­den Weg­fall des Ver­si­che­rungs­schut­zes füh­ren. Dar­über hin­aus wer­den die NIS‑2‑Anforderungen – teil­wei­se ergänzt um wei­ter­ge­hen­de Sicher­heits­an­for­de­run­gen – regel­mä­ßig als ver­trag­li­che Oblie­gen­hei­ten aus­ge­stal­tet. Wer­den die­se Oblie­gen­hei­ten grob fahr­läs­sig ver­letzt, dro­hen Leis­tungs­kür­zun­gen oder Leis­tungs­frei­heit des Ver­si­che­rers (§ 28 VVG). Zen­tra­le Bedeu­tung kommt daher einer belast­ba­ren Klä­rung der NIS-2-Betroffenheit, der Prü­fung der Ver­si­che­rungs­ver­trä­ge sowie der Doku­men­ta­ti­on der umge­setz­ten Maß­nah­men zu.

Mit­tel­ba­re Aus­wir­kun­gen auf D&O‑Versicherungen

Durch die kon­kre­ti­sier­ten Pflich­ten nach § 38 BSIG steigt das per­sön­li­che Haf­tungs­ri­si­ko von Geschäfts­lei­tern. Unter­neh­men kön­nen nach Cyber­vor­fäl­len leich­ter Pflicht­ver­let­zun­gen begrün­den und Regress­an­sprü­che gel­tend machen. In der Fol­ge kön­nen auch bei D&O‑Versicherungen Deckungs­ein­wän­de grei­fen. Unter­neh­men und Geschäfts­lei­ter soll­ten daher ihre Pflich­ten nach dem BSI-Gesetz erfül­len und zudem prü­fen, ob und inwie­weit die bestehen­den Ver­si­che­rungs­be­din­gun­gen die neu­en Compliance-Risiken abdecken.

reusch­law unter­stützt Unter­neh­men und Geschäfts­lei­tun­gen dabei, die mit NIS‑2 ver­bun­de­nen Ver­si­che­rungs­the­men zu adres­sie­ren. Wir beglei­ten die NIS-2-Betroffenheitsanalyse, bera­ten bei der rechts­si­che­ren Umset­zung der Anfor­de­run­gen und stel­len eine rechts­si­che­re Doku­men­ta­ti­on der erfor­der­li­chen Maß­nah­men sicher. Zudem prü­fen wir Cyber‑ und D&O‑Versicherungsverträge mit Blick auf Oblie­gen­hei­ten und mög­li­che Deckungs­lü­cken. Bei Cyber­an­grif­fen und der Abwick­lung von Ver­si­che­rungs­fäl­len unter­stüt­zen wir in allen Phasen.

reusch­law One­pager NIS‑2: Aus­wir­kun­gen auf Cyber- und D&O Versicherungen