24.2.2026 – Die NIS-2-Richtlinie ist kein bloßes IT-Thema, sondern auch ein existenzieller Haftungsprüfstein für Versicherungsmakler. Während viele Unternehmen NIS-2 noch als ferne regulatorische Hürde betrachten, tickt für Vermittler bereits die Uhr. Als Sachwalter ihrer Mandanten stehen sie in der Pflicht, die Brücke zwischen regulatorischen Anforderungen und wirksamem Versicherungsschutz zu schlagen. Unterbleibt dies, droht ein gefährlicher Dominoeffekt für Kunden und Makler gleichermaßen, meint John Braun von Baobab Insurance in seinem Gastbeitrag.

Die NIS-2-Richtlinie markiert einen fundamentalen Wechsel: weg von der reaktiven Schadensabwehr, hin zum proaktiven, systemischen Risikomanagement. Das Ziel ist ein EU-weit harmonisiertes Sicherheitsniveau, das keine Schwachstellen in kritischen Infrastrukturen duldet.

Denn mit der Regulierung verschärfen sich die Anforderungen massiv. So müssen Unternehmen nicht nur technisch aufrüsten, sondern ihre gesamte Organisation auf ein neues Melde- und Überwachungsniveau heben. Immerhin drohen bei Verstößen neben empfindlichen Bußgeldern vor allem eine persönliche Haftung der Geschäftsführung.

Wenn der „Stand der Technik“ Gesetz wird

John Braun (Bild: Baobab Insurance)

Das neue BSI-Gesetz (§ 30 BSIG) definiert im Rahmen der NIS-2 zehn technische und organisatorische Maßnahmen (TOMs) als Fundament der digitalen Betriebsfähigkeit. Diese Anforderungen dienen dazu, Unternehmen gegen die gesamte Bandbreite moderner Cyberbedrohungen zu wappnen.

Das Spektrum reicht dabei von der initialen Risikoanalyse über eine strikte Zugriffsverwaltung bis hin zum obligatorischen Einsatz der Multi-Faktor-Authentifizierung (MFA).

Hinzu kommt ein dreistufiges Meldeverfahren: Eine erste Frühwarnung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss innerhalb von 24 Stunden ergehen, gefolgt von einer detaillierten Analyse nach 72 Stunden und einem Abschlussbericht nach einem Monat.

Die eigentliche Sprengkraft liegt jedoch in § 38 BSIG: Die Geschäftsführung ist verpflichtet, die Maßnahmen aktiv zu überwachen und regelmäßig an Schulungen teilzunehmen. Werden diese Pflichten schuldhaft verletzt, haftet die Leitungsebene gegenüber dem eigenen Unternehmen unmittelbar mit dem Privatvermögen – ein Regressverzicht ist gesetzlich ausgeschlossen.

Der Dominoeffekt der NIS-2

Entscheidend ist zudem, dass NIS-2 weit über die 18 primär definierten Sektoren hinausgeht. Zwar sind unmittelbar nur Firmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz sowie Bilanzsumme betroffen. Doch über die gesetzliche Pflicht, die Lieferkette zu sichern, wird die Regulierung zum Kaskadeneffekt.

So müssen regulierte Unternehmen die Sicherheit ihrer Partner garantieren. Das bedeutet, dass die zehn Mindeststandards auch von Zulieferern eingehalten werden müssen. Anders gesagt: Wer mit einem „unsicheren“ Dienstleister kooperiert, riskiert eine Haftung wegen Organisationsverschuldens.

In der Konsequenz werden NIS-2-Standards so zum festen Bestandteil von Einkaufsbedingungen. Das betrifft auch Versicherungsmakler, da sie als Dienstleister Zugriff auf hochsensible Kundendaten haben und somit Teil der Lieferkette sind. Im Umkehrschluss heißt das: Nur wer den eigenen Maklerbetrieb nach den zehn Mindeststandards bestellt, bleibt im Jahr 2026 als professioneller Partner am Markt bestehen.

Notwendigkeit der sofortigen Risikoanalyse

Obwohl Makler keine Rechtsberatung leisten dürfen, ergibt sich aus dem historischen Sachwalterurteil von 1985 eine unmissverständliche Überwachungspflicht. Sobald gesetzliche Neuerungen das Risikoprofil der Mandanten fundamental verändern – wie es bei der NIS-2 der Fall ist –, muss der Makler proaktiv handeln.

Der erste, kritische Schritt ist also eine sofortige Risikoanalyse des eigenen Bestands. Makler müssen jetzt identifizieren, welche Mandanten unter die verschärften Kriterien fallen. Dabei geht es nicht nur um die 18 Primärsektoren, sondern vor allem um die Identifikation der Kunden, die als Zulieferer in kritische Lieferketten eingebunden sind. Nur wer hier genau analysiert, kann seiner Aufklärungspflicht nachkommen, bevor ein Schaden eintritt.

Diese Analyse ist auch deshalb so dringlich, weil die NIS-2 die technischen Anforderungen massiv verschärft hat, ohne dass eine einzige Bedingungszeile in den Versicherungsverträgen geändert wurde. Da fast alle Policen die „Einhaltung aller gesetzlichen Sicherheitsvorschriften“ als Obliegenheit fordern, wird die NIS-2-Compliance zur faktischen Deckungsvoraussetzung.

Ohne eine sofortige Risikoanalyse durch den Makler droht ein fatales Szenario: Der Mandant zahlt zwar Prämien, steht aber aufgrund mangelhafter Einhaltung der Richtlinie im Schadenfall ohne Deckung da. Ein solches Beratungsversäumnis führt die Haftungskette direkt zurück zum Maklerhaus.

Überprüfung aller Bestandsverträge

Die Prüfung beschränkt sich dabei nicht nur auf die Cyberversicherung. Auch andere Policen wie die D&O-Versicherung sind hiervon betroffen. Mit der NIS-2 muss die Geschäftsführung IT-Sicherheitsmaßnahmen nicht nur genehmigen, sondern deren Umsetzung dauerhaft überwachen – eine Pflicht, die nicht delegierbar ist. Bei schuldhafter Verletzung haften Geschäftsführer persönlich.

Muss ein Unternehmen aufgrund mangelhafter IT-Sicherheit ein Bußgeld zahlen, sind Aufsichtsrat oder Gesellschafterversammlung gesetzlich verpflichtet, den Schaden beim Geschäftsführer einzufordern. Versicherer haben dafür teils verschärfte Bedingungen in der D&O-Police.

Makler sollten daher prüfen, ob Klauseln existieren, die Managementfehler bei Cybervorfällen ausschließen, und ob Abwehrkosten sowie Bußgeldverfahren unter der NIS-2 gedeckt sind. Außerdem gilt es zu klären, ob eine wissentliche Pflichtverletzung durch Missachtung der NIS-2 die Deckung aufhebt.

Dokumentationspflicht des Maklers rückt in den Mittelpunkt

Die unterlassene Beratung zur NIS-2-Compliance kann für Makler schnell zu einem gravierenden Haftungsrisiko werden. Was zunächst als bloße Obliegenheitsverletzung des Mandanten erscheint, kann sich im Ernstfall in Eigenhaftung nach § 63 VVG übersetzen.

Versäumt es der Makler, auf das veränderte Risikoprofil und die drohende Gefährdung des Versicherungsschutzes hinzuweisen, entsteht im Schadensfall eine kritische Kausalitätskette. Lehnt der Versicherer die Regulierung eines Ransomware-Angriffs ab, weil die NIS-2-Mindeststandards nicht erfüllt wurden, rückt die Dokumentationspflicht des Maklers in den Mittelpunkt.

Kann ein Maklerhaus die Aufklärung nicht nachweisen, muss es gegebenenfalls die Rolle des Versicherers einnehmen. Es muss den Mandanten finanziell so stellen, als hätte die Versicherung geleistet – von IT-Forensik über die Wiederherstellung der Systeme bis hin zu erheblichen Ertragsausfällen.

Bei Großschäden in Millionenhöhe kann dies die Deckungssumme der eigenen Vermögensschadenhaftpflicht übersteigen und die Existenz des Maklerbetriebs ernsthaft gefährden.

Strategische Handlungsempfehlung

Um das Maklerhaus und die Mandanten zu schützen, sind daher jetzt folgende Schritte unerlässlich:

Mandanten-Audit: Sofortige Identifikation aller NIS-2-relevanten Kunden und deren Rolle in der Lieferkette.

Transparente Kommunikation: Schriftliche Information über die neue Rechtslage und die potenziellen Auswirkungen auf den Versicherungsschutz.

Wording-Check: Analyse von Bestandsverträgen auf gefährliche Klauseln und Dialog mit Versicherern bezüglich Übergangslösungen für Rollout-Pläne (zum Beispiel MFA).

Lückenlose Dokumentation: Jede Beratung zur NIS-2 dient als entscheidender Schutzschild gegen spätere Haftungsansprüche und muss vom Makler dokumentiert werden.

Makler als strategischer Partner

Die NIS-2-Richtlinie ist weit mehr als eine regulatorische Hürde. Sie ist der finale Weckruf für eine Wende der Cybersicherheit in Europa.

Für Versicherungsmakler endet mit ihr die Ära der reinen Policenvermittlung. In einer Welt, in der IT-Sicherheit zur Existenzfrage und die persönliche Haftung der Geschäftsführung zum Regelfall wird, wandelt sich die Rolle des Maklers somit zum unverzichtbaren Risikomanager.

Wer die Komplexität der neuen Rechtslage dabei proaktiv moderiert, schützt nicht nur seine Mandanten vor dem Deckungsverlust, sondern festigt auch seine eigene Relevanz als strategischer Partner.

John Braun

Der Autor ist Experte für die Absicherung digitaler Unternehmensrisiken und arbeitet als Leiter Maklervertrieb bei der Baobab Insurance GmbH, einem digitalen Assekuradeur technischer Risikens.