AssCompact suche
Home
Steuern & Recht
1. Juni 2024
NIS 2 treibt die Cyber-, D&O- und IT-Haftpflichtversicherung
NIS 2 treibt die Cyber-, D&O- und IT-Haftpflichtversicherung

NIS 2 treibt die Cyber-, D&O- und IT-Haftpflichtversicherung

Die NIS-2-Richtlinie stellt viele Firmen vor neue Herausforderungen. Angesichts der sich wandelnden Landschaft der Cybersicherheit analysiert die Markel Insurance SE die Auswirkungen dieser Gesetzgebung auf die Cyber- und die D&O-Versicherung sowie die IT-Haftpflichtversicherung.

Ein Artikel von Ivan Kecojevic, Underwriter Cyber bei der Markel Insurance SE, und Marius Dressel, Underwriter Tailormade Solutions bei der Markel Insurance SE

Die NIS-2-Richtlinie („Network and Information Security (NIS) Directive“) erweitert die Anforderungen an Cyber­sicherheit und soll die Cyberresilienz innerhalb der EU stärken. Im Vergleich zum Vorgänger, der NIS-1-Richtlinie, hat sich der Kreis der betroffenen Firmen deutlich vergrößert. Die strengeren Anforderungen und die größere Reichweite der NIS-2-Richtlinie werden zu einer erhöhten Nachfrage nach Cyberversicherungen führen. Unternehmen suchen nach Lösungen, um potenzielle finanzielle Verluste durch Cyberangriffe und Einhaltung regulatorischer Anforderungen abzusichern. Dies wird zu einer Anpassung der Policen führen und stellt somit einen Beratungsanlass für Versicherungsmakler dar, um spezifische Anforderungen der NIS-2-Richtlinie abzudecken.

Fünf Maßnahmen im Fokus

Die Unternehmen müssen konkrete Schritte einleiten, um die Anforderungen zu erfüllen. Dabei sollte besonderes Augenmerk auf nachfolgende Maßnahmen gelegt werden:

1. Erweitertes Cyberrisikomanagement

Unternehmen sollten ein umfassendes Risiko­managementsystem etablieren, das regelmäßige Risikoanalysen und die Implementierung geeigneter Sicherheitsmaßnahmen umfasst.

2. Incident Handling
  • Einrichtungen müssen Verfahren und Pläne für den Umgang mit Cybersicherheitsvorfällen eta­blieren. Dazu gehören die frühzeitige Erkennung von Vorfällen, die schnelle Reaktion darauf und die Wiederherstellung der Systeme und Dienste. Unternehmen müssen über ein geschultes Incident-Response-Team verfügen, das bei einem
  • Sicherheitsvorfall aktiviert werden kann.
3. Business Continuity Management
  • Unternehmen müssen Pläne für die Aufrechterhaltung ihrer Geschäftstätigkeit im Falle eines Cyberangriffs oder anderer Sicherheitsvorfälle entwickeln. Dazu gehört die Implementierung von Backup- und Wiederherstellungsverfahren, die sicherstellen, dass kritische Geschäftsprozesse und Daten auch bei Eintreten eines Vorfalls verfügbar bleiben.
4. Multi-Faktor-Authentifizierung
  • Die Verwendung von Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierungslösungen wird vorgeschrieben, um den Zugang zu Systemen und Daten zu sichern.
5. Gesicherte Kommunikation
  • Unternehmen sollten Lösungen für gesicherte Sprach-, Video- und Textkommunikation implementieren, um die Vertraulichkeit und Integrität der übertragenen Informationen zu gewährleisten. Das hat auch zuletzt die abgehörte Konferenz der Bundeswehr im Zusammenhang mit dem Taurus-Lenkkörper gezeigt.
Neue Regelung eröffnet Potenziale

Die NIS-2-Richtlinie stellt für die Cyberversicherungsbranche eine Herausforderung und Chance dar. Versicherer müssen ihre Policen und Dienstleistungen anpassen, um den zusätzlichen Verpflichtungen der Unternehmen gerecht zu werden. Gleichzeitig bietet sich die Möglichkeit, neue Kunden zu gewinnen und bestehenden Kunden einen erweiterten Schutz zu offerieren. Die Rolle der Cyberversicherung als Teil einer umfassenden Risikosteuerungsstrategie wird immer relevanter und entwickelt sich somit auch final zu einem der relevantesten Faktoren im Risikomanagement der europäischen Wirtschaft.

Perspektive der D&O-Versicherung auf die NIS-2-Richtlinie

Die NIS-2-Richtlinie wirkt sich positiv auf die Cybersicherheit aus, da sie Unternehmen verpflichtet, angemessene Maßnahmen zum Schutz von Netzwerken und Informationssystemen zu ergreifen. Dies bedeutet aber auch eine erhöhte Verantwortung der Organmitglieder.

Die Einhaltung aller Verpflichtungen gemäß NIS 2 liegt in der Verantwortung der Geschäftsführer und leitenden Organe. Dies führt zu einer Erhöhung der Pflichten dieser Personen, was wiederum das Risiko von Fehlern und daraus resultierenden Schadensersatzansprüchen des Unternehmens erhöht.

Geschäftsleitung in der Pflicht

Es obliegt den Geschäftsführern, dafür zu sorgen, dass im Unternehmen geeignete und angemessene personelle, technische, betriebliche und organisatorische Maßnahmen zur Minimierung von Cyberrisiken getroffen werden. Ebenso ist es deren Pflicht, Schulungen zur IT-Sicherheit für Führungskräfte und andere Mitarbeiter anzubieten. Diese Pflichten können nicht vollständig an Dritte delegiert werden, da die Gesamtverantwortung bei der Geschäftsleitung liegt. Bei Verletzung dieser Pflichten macht sich die Geschäftsleitung gegenüber dem Unternehmen schadensersatzpflichtig.

Muss ein Unternehmen wegen eines Verstoßes gegen NIS 2 eine Geldbuße zahlen, besteht die Möglichkeit, dass es das verantwortliche Organmitglied auf Schadensersatz in Regress nimmt. Ein Verzicht auf die Geltendmachung entsprechender Schadensersatzansprüche seitens des Unternehmens ist nicht möglich, auch ein diesbezüglicher Vergleich ist unzulässig.

Die Verletzung von Cybersicherheitspflichten erhöht somit die Haftungsrisiken für das Management, die über eine D&O-Versicherung abgesichert werden können. Es ist daher von entscheidender Bedeutung, dass die Geschäftsleitung diese Pflichten ernst nimmt und angemessene Maßnahmen zur Erfüllung ihrer Pflichten ergreift, um das Unternehmen vor Risiken zu schützen und potenzielle Haftungsansprüche zu vermeiden.

Auswirkung auf Vermögens­schaden- und Betriebshaftpflicht für IT- und Telekommunikationsbranche

Die neue Richtlinie betrifft primär Unternehmen in kritischen Sektoren, hat dadurch aber auch spezifische Implikationen für IT-Dienstleister und Berater, da sie oft das Rückgrat der IT-­Sicherheit für Unternehmen bilden. Die IT-Firmen müssen nun mit verschärften Anforderungen an die Cyber­sicherheit ihrer Kunden rechnen. Dies hat zur Folge, dass diese möglicherweise Sicherheitsprotokolle und -infrastrukturen überdenken und verstärken müssen, um Compliance zu gewährleisten. Solche Veränderungen wirken sich direkt auf die IT-Haftpflichtversicherungsbranche aus. Diese muss sicherstellen, dass ihre Produkte und Dienstleistungen den neuen Risiken und Anforderungen gerecht werden. Die Zusammenarbeit zwischen IT-Unternehmen, Versicherern und Maklern ist hier entscheidend, um eine ausreichende Deckung im Rahmen der IT-Haftpflichtversicherung zu gewährleisten. Nur auf diese Weise ist ein bestmöglicher Schutz erzielbar.

Diesen Beitrag lesen Sie auch in AssCompact 05/2024 und in unserem ePaper.

Bild: © Roman – stock.adobe.com

 
Ein Artikel von
Ivan Kecojevic
Marius Dressel
  • Anmelden, um Kommentare verfassen zu können

Ähnliche News

Management & Wissen
Digital Insurance Podcast: Business Analysts und Testmanager
Im aktuellen Digital Insurance Podcast spricht Digitalexperte Jonas Piela mit Alexander Hauser. Es geht um Herausforderungen, agile Ansätze und die Rolle eines Business Analysten im IT-Projekt wie beispielsweise bei der Implementierung von Standardsoftware bei einem Mittelständler. weiterlesen
Assekuranz
100 Tage im Amt: Interview mit Dr. Philipp Lechner
Seit dem Sommer ist Dr. Philipp Lechner Vorstandsmitglied beim Badischen Gemeinde-Versicherungs-Verbands sowie der BGV-Versicherung AG. Was hat er sich für seine Zeit im Amt vorgenommen? Wo sieht er die Zukunft des Vertriebs? Und wie geht der Versicherer mit dem Fachkräftemangel um? weiterlesen
Vertrieb
Fonds Finanz kooperiert mit Technologieprovider investify TECH
Um angebundenen Investmentberatern eine digitale Vermögensverwaltungsplattform bereitstellen zu können, arbeitet die Fonds Finanz mit dem Technologie- und Regulatorikprovider investify TEC zusammen. Der Start ist im Frühjahr 2025 geplant. weiterlesen