AssCompact suche
Home
Steuern & Recht
1. Juni 2024
NIS 2 treibt die Cyber-, D&O- und IT-Haftpflichtversicherung

NIS 2 treibt die Cyber-, D&O- und IT-Haftpflichtversicherung

Die NIS-2-Richtlinie stellt viele Firmen vor neue Herausforderungen. Angesichts der sich wandelnden Landschaft der Cybersicherheit analysiert die Markel Insurance SE die Auswirkungen dieser Gesetzgebung auf die Cyber- und die D&O-Versicherung sowie die IT-Haftpflichtversicherung.

Ein Artikel von Ivan Kecojevic, Underwriter Cyber bei der Markel Insurance SE, und Marius Dressel, Underwriter Tailormade Solutions bei der Markel Insurance SE

Die NIS-2-Richtlinie („Network and Information Security (NIS) Directive“) erweitert die Anforderungen an Cyber­sicherheit und soll die Cyberresilienz innerhalb der EU stärken. Im Vergleich zum Vorgänger, der NIS-1-Richtlinie, hat sich der Kreis der betroffenen Firmen deutlich vergrößert. Die strengeren Anforderungen und die größere Reichweite der NIS-2-Richtlinie werden zu einer erhöhten Nachfrage nach Cyberversicherungen führen. Unternehmen suchen nach Lösungen, um potenzielle finanzielle Verluste durch Cyberangriffe und Einhaltung regulatorischer Anforderungen abzusichern. Dies wird zu einer Anpassung der Policen führen und stellt somit einen Beratungsanlass für Versicherungsmakler dar, um spezifische Anforderungen der NIS-2-Richtlinie abzudecken.

Fünf Maßnahmen im Fokus

Die Unternehmen müssen konkrete Schritte einleiten, um die Anforderungen zu erfüllen. Dabei sollte besonderes Augenmerk auf nachfolgende Maßnahmen gelegt werden:

1. Erweitertes Cyberrisikomanagement

Unternehmen sollten ein umfassendes Risiko­managementsystem etablieren, das regelmäßige Risikoanalysen und die Implementierung geeigneter Sicherheitsmaßnahmen umfasst.

2. Incident Handling
  • Einrichtungen müssen Verfahren und Pläne für den Umgang mit Cybersicherheitsvorfällen eta­blieren. Dazu gehören die frühzeitige Erkennung von Vorfällen, die schnelle Reaktion darauf und die Wiederherstellung der Systeme und Dienste. Unternehmen müssen über ein geschultes Incident-Response-Team verfügen, das bei einem
  • Sicherheitsvorfall aktiviert werden kann.
3. Business Continuity Management
  • Unternehmen müssen Pläne für die Aufrechterhaltung ihrer Geschäftstätigkeit im Falle eines Cyberangriffs oder anderer Sicherheitsvorfälle entwickeln. Dazu gehört die Implementierung von Backup- und Wiederherstellungsverfahren, die sicherstellen, dass kritische Geschäftsprozesse und Daten auch bei Eintreten eines Vorfalls verfügbar bleiben.
4. Multi-Faktor-Authentifizierung
  • Die Verwendung von Multi-Faktor-Authentifizierung (MFA) oder kontinuierlichen Authentifizierungslösungen wird vorgeschrieben, um den Zugang zu Systemen und Daten zu sichern.
5. Gesicherte Kommunikation
  • Unternehmen sollten Lösungen für gesicherte Sprach-, Video- und Textkommunikation implementieren, um die Vertraulichkeit und Integrität der übertragenen Informationen zu gewährleisten. Das hat auch zuletzt die abgehörte Konferenz der Bundeswehr im Zusammenhang mit dem Taurus-Lenkkörper gezeigt.
Neue Regelung eröffnet Potenziale

Die NIS-2-Richtlinie stellt für die Cyberversicherungsbranche eine Herausforderung und Chance dar. Versicherer müssen ihre Policen und Dienstleistungen anpassen, um den zusätzlichen Verpflichtungen der Unternehmen gerecht zu werden. Gleichzeitig bietet sich die Möglichkeit, neue Kunden zu gewinnen und bestehenden Kunden einen erweiterten Schutz zu offerieren. Die Rolle der Cyberversicherung als Teil einer umfassenden Risikosteuerungsstrategie wird immer relevanter und entwickelt sich somit auch final zu einem der relevantesten Faktoren im Risikomanagement der europäischen Wirtschaft.

Perspektive der D&O-Versicherung auf die NIS-2-Richtlinie

Die NIS-2-Richtlinie wirkt sich positiv auf die Cybersicherheit aus, da sie Unternehmen verpflichtet, angemessene Maßnahmen zum Schutz von Netzwerken und Informationssystemen zu ergreifen. Dies bedeutet aber auch eine erhöhte Verantwortung der Organmitglieder.

Die Einhaltung aller Verpflichtungen gemäß NIS 2 liegt in der Verantwortung der Geschäftsführer und leitenden Organe. Dies führt zu einer Erhöhung der Pflichten dieser Personen, was wiederum das Risiko von Fehlern und daraus resultierenden Schadensersatzansprüchen des Unternehmens erhöht.

Geschäftsleitung in der Pflicht

Es obliegt den Geschäftsführern, dafür zu sorgen, dass im Unternehmen geeignete und angemessene personelle, technische, betriebliche und organisatorische Maßnahmen zur Minimierung von Cyberrisiken getroffen werden. Ebenso ist es deren Pflicht, Schulungen zur IT-Sicherheit für Führungskräfte und andere Mitarbeiter anzubieten. Diese Pflichten können nicht vollständig an Dritte delegiert werden, da die Gesamtverantwortung bei der Geschäftsleitung liegt. Bei Verletzung dieser Pflichten macht sich die Geschäftsleitung gegenüber dem Unternehmen schadensersatzpflichtig.

Muss ein Unternehmen wegen eines Verstoßes gegen NIS 2 eine Geldbuße zahlen, besteht die Möglichkeit, dass es das verantwortliche Organmitglied auf Schadensersatz in Regress nimmt. Ein Verzicht auf die Geltendmachung entsprechender Schadensersatzansprüche seitens des Unternehmens ist nicht möglich, auch ein diesbezüglicher Vergleich ist unzulässig.

Die Verletzung von Cybersicherheitspflichten erhöht somit die Haftungsrisiken für das Management, die über eine D&O-Versicherung abgesichert werden können. Es ist daher von entscheidender Bedeutung, dass die Geschäftsleitung diese Pflichten ernst nimmt und angemessene Maßnahmen zur Erfüllung ihrer Pflichten ergreift, um das Unternehmen vor Risiken zu schützen und potenzielle Haftungsansprüche zu vermeiden.

Auswirkung auf Vermögens­schaden- und Betriebshaftpflicht für IT- und Telekommunikationsbranche

Die neue Richtlinie betrifft primär Unternehmen in kritischen Sektoren, hat dadurch aber auch spezifische Implikationen für IT-Dienstleister und Berater, da sie oft das Rückgrat der IT-­Sicherheit für Unternehmen bilden. Die IT-Firmen müssen nun mit verschärften Anforderungen an die Cyber­sicherheit ihrer Kunden rechnen. Dies hat zur Folge, dass diese möglicherweise Sicherheitsprotokolle und -infrastrukturen überdenken und verstärken müssen, um Compliance zu gewährleisten. Solche Veränderungen wirken sich direkt auf die IT-Haftpflichtversicherungsbranche aus. Diese muss sicherstellen, dass ihre Produkte und Dienstleistungen den neuen Risiken und Anforderungen gerecht werden. Die Zusammenarbeit zwischen IT-Unternehmen, Versicherern und Maklern ist hier entscheidend, um eine ausreichende Deckung im Rahmen der IT-Haftpflichtversicherung zu gewährleisten. Nur auf diese Weise ist ein bestmöglicher Schutz erzielbar.

Diesen Beitrag lesen Sie auch in AssCompact 05/2024 und in unserem ePaper.

Bild: © Roman – stock.adobe.com

 
Ein Artikel von
Ivan Kecojevic
Marius Dressel
  • Anmelden, um Kommentare verfassen zu können

Ähnliche News

Vertrieb
blau direkt verzeichnet Rekordumsatz für 2023
In ihrer Pressekonferenz hat die blau direkt-Gruppe die Zahlen für das Jahr 2023 bekannt gegeben. Demnach liegt das Umsatzwachstum deutlich über dem Niveau des Marktes, wie das Unternehmen mitteilt. Der neue Rekordumsatz des Lübecker Technologieanbieters beträgt 193 Mio. Euro. weiterlesen
Vertrieb
Moderner Vertrieb: Intuition war gestern?!
Steffen Ritter ist Geschäftsführer des Instituts Ritter. Außerdem ist er Autor, Trainer, Redner und Mitinitiator des Jungmakler Awards. Für AssCompact gibt er Maklern in seiner monatlich erscheinenden Kolumne praktische Tipps, um besondere und alltägliche Herausforderungen zu meistern. weiterlesen
Management & Wissen
DKM-News: Ökonom Jens Südekum zu Gast in der Speaker’s Corner
Wird der Staat zum Konjunkturrisiko? Mit dieser Frage beschäftigt sich der namhafte Wirtschaftswissenschaftler Prof. Dr. Jens Südekum in seinem Vortrag in der Speaker’s Corner auf der DKM 2024, die in diesem Jahr am 29. und 30.10.2024 in Dortmund stattfindet. weiterlesen