Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 CyberversicherungCyberversicherung GeschäftsführerNIS2 D&OCyberversicherung Pflichten

NIS2 Cyberversicherung — Was Geschäftsführer wissen müssen

NIS2-Compliance wird zur Voraussetzung für Cyberversicherungen. Erfahren Sie, was Policen abdecken und wo Geschäftsführer persönlich haften.

Veröffentlicht: 21. März 2026Letzte Aktualisierung: 21. März 202614 Min. Lesezeit

NIS2 Cyberversicherung — Was Geschäftsführer wissen müssen

Letzte Aktualisierung: 21. März 2026

Die NIS2-Richtlinie schreibt keine Cyberversicherung vor, doch die verschärften Haftungsregeln und Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes machen eine Cyberpolice für betroffene Unternehmen faktisch unverzichtbar. Für Geschäftsführer ist NIS2 Cyberversicherung deshalb 2026 keine optionale Einkaufsidee mehr, sondern Teil der Risikosteuerung: Ein einzelner Cybervorfall verursacht bei KMU schnell Schäden im Bereich von 200.000 EUR und mehr, während Versicherer gleichzeitig strengere Sicherheitsnachweise verlangen.

Die kurze Antwort lautet deshalb: Sie brauchen wegen NIS2 nicht zwingend eine Cyberversicherung, aber ohne belastbare Cyberversicherung und ohne belastbare Sicherheitsorganisation steigt Ihr unternehmerisches und persönliches Risiko deutlich. NIS2 verschiebt die Diskussion weg von der Frage, ob eine Police „nice to have“ ist, hin zur Frage, ob Ihr Unternehmen überhaupt noch zu vertretbaren Bedingungen versicherbar ist. Wenn Sie den Haftungsrahmen zuerst einordnen möchten, lesen Sie ergänzend den Beitrag zur Geschäftsführer-Haftung bei Cyberangriffen, den Überblick IT-Sicherheit für Geschäftsführer und die operative NIS2 Incident-Response-Plan-Anleitung.

Für die Praxis ist wichtig, drei Dinge sauber zu trennen. Erstens: NIS2 ist ein Compliance-Regime, keine Versicherungspflicht. Zweitens: Cyberversicherer nutzen NIS2-Maßnahmen zunehmend als Underwriting- und Schadensmaßstab. Drittens: Geschäftsführer tragen nicht nur ein Unternehmensrisiko, sondern auch ein eigenes Organhaftungs- und D&O-Risiko, wenn erkennbare Cyberpflichten organisatorisch nicht beherrscht werden. Genau an dieser Schnittstelle entscheidet sich 2026, ob eine Cyber-Police echten Schutz bietet oder nur teure Scheinsicherheit.

Warum NIS2-Compliance Voraussetzung für Cyberversicherungen wird

NIS2-Compliance wird 2026 zur praktischen Voraussetzung für Cyberversicherungen, weil Versicherer aus unbestimmten Sicherheitsversprechen konkrete Prüfpunkte machen. Die Richtlinie (EU) 2022/2555 verlangt in Art. 20 eine stärkere Verantwortung der Leitungsorgane und in Art. 21 konkrete Maßnahmen zum Cyber-Risikomanagement. Für Versicherer ist das attraktiv, weil sie damit nicht mehr nur abstrakt nach „angemessenem Sicherheitsniveau“ fragen müssen, sondern nach klaren Elementen wie Backup-Management, Incident Handling, Zugriffskontrolle, Lieferkettenmanagement oder Schulungsnachweisen.

Der Markt bewegt sich deshalb in drei Stufen. Zuerst tauchten NIS2-bezogene Fragen in Anträgen und Renewal-Fragebögen auf. Danach wurden diese Fragen zu harten Underwriting-Kriterien. Jetzt beginnt die dritte Phase: Im Schadenfall wird geprüft, ob die im Antrag behaupteten Maßnahmen tatsächlich umgesetzt, dokumentiert und gelebt wurden. Die Police wird damit enger an reale Governance gekoppelt.

Für Geschäftsführer ist das die eigentliche Veränderung. Früher konnte Cyberversicherung in vielen KMU noch wie ein Finanzprodukt behandelt werden: Man beantwortete den Fragebogen, schloss eine Deckung ab und hoffte, dass im Ernstfall alles funktioniert. 2026 reicht das nicht mehr. Wenn Sie nicht erklären können, wie Risikoanalysen beschlossen, Mindestmaßnahmen überwacht, Lieferanten geprüft und Vorfälle eskaliert werden, wirkt das nicht wie ein technischer Schönheitsfehler, sondern wie ein mangelhaftes Kontrollsystem.

NIS2 ist deshalb auch kein rein technisches Thema. Versicherer spiegeln mit ihren Fragen genau das wider, was die Geschäftsleitung nach NIS2 ohnehin organisieren muss. Das betrifft insbesondere:

  1. formalisierte Risikoanalyse,
  2. Business Continuity und getestete Wiederanlaufpläne,
  3. dokumentierte Incident-Response-Prozesse,
  4. sichere Identitäts- und Zugriffssteuerung,
  5. Steuerung kritischer Dienstleister und Lieferketten,
  6. Management-Beteiligung und Schulungsnachweise.

Wer diese Punkte belastbar abbildet, verbessert nicht nur seine regulatorische Position, sondern auch seine Versicherbarkeit. Wer sie nicht abbildet, erlebt meist dasselbe Muster: Rückfragen im Antrag, Prämienzuschläge, Sublimits, Ausschlüsse oder eine vollständige Ablehnung.

Marktübersicht — NIS2 Versicherung und Cyberversicherungen in Deutschland 2026

Der deutsche Markt für Cyberversicherungen wächst weiter, wird aber gleichzeitig selektiver. Die Research-Basis verweist für 2024 auf ein Prämienvolumen von rund 723 Mio. EUR in Deutschland bei einer Schadenquote von 86 %. Für Geschäftsführer ist diese Kombination entscheidend: Ein wachsender Markt bedeutet nicht automatisch leichten Zugang, sondern häufig härtere Risikoselektion, weil Versicherer ihre Verlustquote kontrollieren müssen.

Die Marktübersicht 2026 lässt sich nüchtern so zusammenfassen. Große Versicherer und Spezialanbieter sind weiterhin aktiv, aber der Zugang zu guten Bedingungen hängt stärker als früher vom Sicherheitsprofil ab. Das gilt besonders für Unternehmen, die in NIS2-nahen Branchen tätig sind, kritische Lieferketten steuern, viele Standorte anbinden oder stark digitalisierte Betriebsprozesse haben. Gerade bei mittelständischen Produktions-, Logistik-, Gesundheits- oder IT-Dienstleistungsunternehmen prüfen Underwriter inzwischen deutlich tiefer.

Typisch ist dabei keine standardisierte „NIS2-Police“, sondern eine normale Cyberversicherung mit verschärften Prüfparametern. Die Police bleibt ein Versicherungsvertrag nach VVG und konkreten AVB. Neu ist, dass Versicherer NIS2 als Orientierungsrahmen für das Sicherheitsniveau verwenden. Dadurch unterscheiden sich Angebote 2026 oft weniger über Werbeversprechen und stärker über Deckungstiefe, Ausschlüsse, Sublimits, Selbstbehalte und die Qualität der Obliegenheiten.

Die praktische Marktlogik sieht meist so aus:

MarktsegmentTypischer FokusNIS2-RelevanzPraktische Folge
Standard-KMU-PolicenGrundschutz für Eigenschäden und HaftpflichtFragen zu MFA, Backups, Patchen, Schulungoft versicherbar, aber mit Grenzen und Standardausschlüssen
Mittelstands-Policen mit höherer DeckungBetriebsunterbrechung, Lieferkette, Krisenmanagementtiefere Prüfung von Incident Response, Lieferanten und Governancestärkere Differenzierung bei Preis und Bedingungen
Branchennahe SpeziallösungenKRITIS-nahe oder besonders sensible SektorenNIS2-Maßnahmen praktisch als Baselinehäufig umfangreiche Fragebögen und höhere Dokumentationsanforderungen
D&O-nahe ErgänzungenOrganhaftung, Verteidigungskosten, Management-Risikorelevant bei Aufsicht, Regress und internen PflichtverstößenCyber- und D&O-Deckung müssen aufeinander abgestimmt werden

Wichtig ist: Öffentliche Listenpreise sagen im Cybermarkt wenig aus. Zwei Unternehmen mit ähnlichem Umsatz können völlig unterschiedliche Konditionen erhalten, wenn eines saubere MFA, getestete Backups und dokumentierte Lieferantenprüfungen nachweisen kann und das andere nicht. Die Qualität des internen Sicherheits- und Nachweissystems wirkt 2026 stärker auf die Prämie als manche klassische Bilanzkennzahl.

Wenn Sie den Markt als Geschäftsführer bewerten, sollten Sie deshalb nicht fragen: „Welcher Versicherer ist der billigste?“ Die bessere Frage lautet: „Welcher Versicherer bietet bei unserem Reifegrad die verlässlichste Deckung ohne gefährliche Lücken?“ Genau diese Perspektive fehlt in vielen Einkaufsgesprächen.

Prämienentwicklung und NIS2-Einfluss auf Kosten: Was kostet eine Cyberversicherung für NIS2?

Die Frage „Was kostet eine Cyberversicherung für NIS2?“ lässt sich nur risikobasiert beantworten. Für viele KMU liegt die Jahresprämie weiterhin grob zwischen 2.000 und 12.000 EUR, bei kritischen Branchen, höherer Digitalisierung, internationalen Abhängigkeiten oder schwachen Kontrollen aber schnell deutlich darüber. NIS2 beeinflusst diese Kosten nicht über eine staatliche Prämienvorgabe, sondern über den Reifegrad, den Versicherer im Underwriting erwarten.

2026 steigen die Kosten vor allem dann, wenn Unternehmen in einem von drei Bereichen schwach sind. Erstens bei Identitäts- und Zugriffsschutz, insbesondere fehlender Mehrfaktor-Authentifizierung. Zweitens bei Resilienzmaßnahmen wie Backups, Restore-Tests und Business Continuity. Drittens bei Governance und Dokumentation, also dann, wenn Maßnahmen behauptet, aber nicht belastbar belegt werden können.

Die Prämienlogik folgt dabei einem einfachen Muster:

  1. Gute technische Basis plus gute Dokumentation führt eher zu stabilen oder verhandelbaren Konditionen.
  2. Gute Technik ohne Nachweise führt zu Misstrauen und zu Rückfragen.
  3. Schwache Technik mit schwacher Dokumentation führt zu Zuschlägen, Sublimits oder Ablehnung.

NIS2 verschärft diesen Effekt, weil Versicherer immer häufiger nach genau den Kontrollen fragen, die Art. 21 der Richtlinie als Mindestmaßnahmen kennt. Wer bei Risikoanalyse, Incident Handling, Lieferkettensteuerung oder Schulung nur pauschale Aussagen liefern kann, wirkt im Antrag 2026 wie ein unausgereiftes Risiko. Das verteuert die Police selbst dann, wenn es noch keinen Schadenfall gab.

Besonders relevant ist die Trennung zwischen Prämie und Gesamtbelastung. Eine scheinbar günstige Police kann wirtschaftlich schlecht sein, wenn sie hohe Selbstbehalte, enge Sublimits oder strenge Ausschlüsse enthält. Umgekehrt kann eine teurere Police sinnvoll sein, wenn sie im Ernstfall Forensik, Wiederherstellung, Betriebsunterbrechung, Krisenkommunikation und externe Rechtsberatung tatsächlich in belastbarer Höhe trägt.

Für Geschäftsführer lohnt deshalb ein nüchterner Kostenvergleich:

UnternehmensprofilTypische PrämienlageNIS2-EinflussHäufiger Fehler
kleines KMU mit guter Basissicherheiteher unteres bis mittleres Preissegmentgute Nachweise stabilisieren Angebotnur auf Preis statt auf Obliegenheiten schauen
mittelständisches Unternehmen mit komplexer ITmittleres bis gehobenes SegmentGovernance, Lieferkette und Wiederanlauf entscheiden starkBusiness Continuity nicht sauber nachweisen
NIS2-nahes Unternehmen mit Aufsichtsdruckgehobenes bis spezialisiertes SegmentManagement-Kontrolle und Dokumentation werden zentralD&O und Cyber getrennt verhandeln

Die eigentliche NIS2-Kostenwirkung ist also indirekt, aber real. NIS2 macht aus Sicherheitsreife einen sichtbaren Preisfaktor. Unternehmen mit guter Reife profitieren nicht automatisch von billigen Prämien, aber sie haben deutlich bessere Chancen auf tragfähige Angebote. Unternehmen mit Lücken zahlen dagegen nicht nur mehr, sondern tragen ein höheres Risiko, im Schadenfall über ihre Pflichten zu streiten.

Was Cyber-Policen abdecken — und was nicht

Cyber-Policen decken primär finanzielle Folgen einer Informationssicherheitsverletzung ab, nicht die Prävention selbst. Nach den GDV-Musterbedingungen stehen Verfügbarkeit, Integrität und Vertraulichkeit elektronischer Daten und IT-Systeme im Mittelpunkt. Für Geschäftsführer ist deshalb wichtig zu verstehen, dass die Police eine zweite Verteidigungslinie ist: Sie ersetzt kein Sicherheitsprogramm, sondern springt ein, wenn trotz Sicherheitsmaßnahmen ein relevanter Vorfall eintritt.

Typische Deckungsbausteine sind:

  1. Forensik und technische Incident Response,
  2. Datenwiederherstellung und Wiederanlauf,
  3. Betriebsunterbrechung,
  4. Krisenkommunikation und Benachrichtigung,
  5. externe Rechts- und Spezialberatung,
  6. Haftpflichtansprüche Dritter nach einem Vorfall.

In vielen Fällen ist nicht der Lösegeldaspekt wirtschaftlich am größten, sondern die Summe aus Ausfall, externer Hilfe, Wiederherstellung und Kommunikationsaufwand. Genau deshalb ist eine Police mit starker Eigenschadendeckung für digital abhängige Unternehmen oft wertvoller als eine Police mit symbolischen Marketingbausteinen.

Ebenso wichtig ist die Negativseite. Cyberversicherungen decken regelmäßig nicht oder nur eingeschränkt:

  1. vorsätzliche Pflichtverletzungen,
  2. bekannte und offenkundig ungepatchte Schwachstellen,
  3. Krieg oder staatlich zugerechnete Cyberangriffe,
  4. reine Aufwendungen, um erst Compliance herzustellen,
  5. viele Bußgelder selbst,
  6. Schäden außerhalb vereinbarter Bausteine oder Sublimits.

Bei NIS2 wird diese Grenze besonders relevant. Viele Geschäftsführer fragen, ob eine Cyberversicherung NIS2-Bußgelder abdeckt. Die ehrliche Antwort lautet fast immer: nein, jedenfalls nicht in verlässlicher Weise. Was eher abgesichert sein kann, sind Verteidigungskosten, Expertisen, Krisenkommunikation oder bestimmte Haftpflichtfolgen. Das eigentliche Bußgeld bleibt meist unversicherbar oder rechtlich und vertraglich stark umstritten.

Sie sollten die Deckungsfrage deshalb immer mit einer Schadenslogik verbinden. Fragen Sie nicht nur „Ist Ransomware versichert?“, sondern: Welche Bausteine zahlen bei Ransomware? Welche Sublimits gelten? Was ist Voraussetzung für Betriebsunterbrechung? Muss ein Backup funktionsfähig und getestet gewesen sein? Genau dort trennt sich brauchbarer Schutz von teurer Illusion.

NIS2-Compliance als Versicherungsbedingung (Obliegenheiten)

NIS2-Compliance wird 2026 immer häufiger über Obliegenheiten in die Cyberversicherung übersetzt. Obliegenheiten sind vertragliche Pflichten des Versicherungsnehmers. Werden sie verletzt, kann der Versicherer je nach Lage Leistungen kürzen oder verweigern. Die Rechtsgrundlage liegt im Zusammenspiel aus VVG und den konkreten Versicherungsbedingungen. Für die Praxis zählt vor allem: Obliegenheiten sind der Punkt, an dem aus einer theoretisch vorhandenen Police ein praktisches Problem werden kann.

Die gängigen Cyber-Obliegenheiten decken sich inzwischen weitgehend mit dem, was NIS2 unter angemessenem Risikomanagement versteht. Typische Punkte sind:

ObliegenheitWas Versicherer 2026 sehen wollenRisiko bei Verstoß
MFA und ZugriffskontrolleMFA für kritische Konten, keine geteilten Admin-ZugängeAblehnung oder Kürzung bei kompromittierten Zugängen
Backup-Managementregelmäßige, getrennte und getestete BackupsStreit über Wiederherstellung und Ransomware-Schäden
Patch- und Schwachstellenmanagementzeitnahe Bearbeitung kritischer LückenVorwurf grober Nachlässigkeit oder Pflichtverletzung
Incident ResponseNotfallplan, Zuständigkeiten, schnelle MeldungKürzung wegen verspäteter oder chaotischer Reaktion
LieferkettenmanagementPrüfung kritischer Dienstleister und VerträgeAusschlüsse oder Rückfragen bei Drittparteivorfällen
Schulung und Awarenessdokumentierte Schulungen von Mitarbeitenden und Leitungschlechtere Konditionen, Mitverursachungsdiskussion

Für Geschäftsführer ist die Dokumentation der entscheidende Punkt. Eine Maßnahme, die intern „eigentlich existiert“, aber nicht nachgewiesen werden kann, hilft im Underwriting oder im Schadenfall nur begrenzt. Genau deshalb wird aus NIS2-Compliance ein Versicherungsfaktor: Die Richtlinie fordert nicht bloß gute Absichten, sondern nachvollziehbare Organisation.

Das bekannte Urteil des LG Tübingen vom 26. Mai 2023 ist dabei ein wichtiger Referenzpunkt. Das Gericht hat gezeigt, dass Versicherer nicht beliebig mit vagen „Branchenstandards“ operieren können. Gleichzeitig hat der Markt daraus gelernt und arbeitet nun mit präziseren Fragen und präziseren Obliegenheiten. Für Unternehmen ist das ambivalent: Einerseits sind pauschale Ablehnungen schwerer. Andererseits ist es auch schwerer geworden, sich hinter unbestimmten Formeln zu verstecken.

Praktisch sollten Sie daher jede Cyberversicherung wie einen Compliance-Test lesen. Wenn eine Police zentrale Kontrollen voraussetzt, die Sie noch nicht belastbar erfüllen, ist das kein rein versicherungstechnisches Problem. Es ist ein Governance-Defizit. Genau dort helfen vor dem Vertragsabschluss eine strukturierte NIS2 Incident-Response-Plan-Anleitung und der Beitrag zur NIS2 Cyberhygiene und Schulung oft mehr als jede Preisverhandlung.

Persönliche GF-Haftung und D&O-Versicherung

Die persönlich haftungsrelevante Frage lautet nicht, ob Geschäftsführer jedes Cyberereignis verhindern müssen. Sie lautet, ob sie erkennbare Cyberrisiken organisatorisch angemessen gesteuert haben. Genau hier laufen allgemeine Organpflichten, NIS2 und Versicherungsfragen zusammen. Wenn das Unternehmen nach einem schweren Vorfall Regress prüft, interessieren nicht nur technische Details, sondern Management-Entscheidungen: Wurden Risiken bewertet? Wurde Budget bereitgestellt? Wurden Maßnahmen überwacht? Wurden Schulungen angeordnet? Wurde das Thema auf Leitungsebene ernsthaft geführt?

NIS2 verschärft diesen Blick, weil Leitungsorgane ausdrücklich Maßnahmen billigen, deren Umsetzung überwachen und selbst Schulungen absolvieren sollen. Damit wird aus Cybersecurity endgültig ein Board-Thema. Für Geschäftsführer bedeutet das: Selbst wenn das Bußgeld zunächst das Unternehmen trifft, kann ein behördlich oder intern festgestellter Organisationsmangel den späteren Regress gegen die Geschäftsleitung erleichtern.

Hier kommt die D&O-Versicherung ins Spiel, aber nur begrenzt. D&O ist keine Ersatz-Cyberversicherung und auch kein Freibrief für dokumentierte Untätigkeit. Typischerweise deckt D&O fahrlässige Pflichtverletzungen, Verteidigungskosten und bestimmte Innen- oder Außenansprüche. Häufig nicht oder nur problematisch gedeckt sind:

  1. vorsätzliche oder wissentlich pflichtwidrige Untätigkeit,
  2. reine Bußgelder,
  3. Risiken, die ausdrücklich aus Cyber- oder Sicherheitsobliegenheiten herausgeschnitten sind,
  4. Konstellationen, in denen die Police nicht auf das reale Organhaftungsprofil abgestimmt wurde.

Für Geschäftsführer ist die gefährlichste Lücke deshalb die Schnittstelle zwischen Cyber-Police und D&O. Die Cyberversicherung zahlt nicht jede Haftung der Leitungsebene. Die D&O zahlt nicht jeden Cyber-Konflikt. Wer beide Policen getrennt und ohne Abstimmung einkauft, riskiert eine Deckungslücke genau dort, wo der Schaden am teuersten wird.

Wenn Sie die Organperspektive vertiefen möchten, sind die Beiträge zur Geschäftsführer-Haftung bei Cyberangriffen und zur IT-Sicherheit für Geschäftsführer die wichtigsten Ergänzungen. Die betriebswirtschaftliche Kernaussage bleibt: Je besser Management-Aufsicht, Schulungsnachweise und Entscheidungspfad dokumentiert sind, desto besser ist die Verteidigungsposition gegenüber Versicherern, Behörden und der eigenen Gesellschaft.

Checkliste: Cyberversicherung NIS2-konform abschließen

Eine Cyberversicherung lässt sich 2026 nur dann sinnvoll abschließen, wenn Sie Versicherungsfragebogen, Sicherheitsrealität und Management-Nachweise zusammen betrachten. Die folgende Checkliste fokussiert genau diese Schnittstelle:

  1. Prüfen Sie zuerst, ob Ihr Unternehmen in den NIS2-Anwendungsbereich fällt oder faktisch nach NIS2-Maßstäben bewertet wird.
  2. Dokumentieren Sie eine aktuelle Cyber-Risikoanalyse mit Prioritäten, Verantwortlichen und Freigaben.
  3. Stellen Sie sicher, dass MFA für kritische Konten, VPN, Admin-Zugänge und Cloud-Dienste wirklich aktiv ist.
  4. Belegen Sie regelmäßige, getrennte und getestete Backups inklusive Restore-Protokollen.
  5. Halten Sie Incident-Response-Plan, Meldewege, Rufbereitschaft und Krisenrollen schriftlich fest.
  6. Prüfen Sie kritische Dienstleister, Fernwartungszugriffe und Lieferantenverträge auf Sicherheitsanforderungen.
  7. Sammeln Sie Schulungsnachweise für Mitarbeitende und Leitungsorgane.
  8. Gleichen Sie Antragstexte und reale Praxis ab, damit keine geschönte Selbstauskunft entsteht.
  9. Prüfen Sie Selbstbehalte, Sublimits, Ausschlüsse und Meldefristen im Detail.
  10. Stimmen Sie Cyber-Police und D&O-Deckung ausdrücklich aufeinander ab.

Für viele Unternehmen ist genau diese Vorarbeit wertvoller als der schnelle Vertragsabschluss. Eine Police, die auf ungenauen Antworten beruht, kann im Ernstfall mehr Streit als Schutz erzeugen. Sinnvoll ist deshalb, vor der Ausschreibung erst das eigene Reifeprofil ehrlich zu bewerten und dann den Versicherungsschutz darauf aufzubauen.

Wer NIS2-Pflichten, Management-Schulung und Nachweise parallel strukturieren will, sollte außerdem die NIS2-Schulung als Governance-Baustein einbeziehen. Versicherbarkeit und Compliance hängen 2026 enger zusammen, als viele Unternehmen annehmen.

Häufig gestellte Fragen (FAQ)

Ist eine Cyberversicherung nach NIS2 Pflicht?

Nein. NIS2 verlangt keine allgemeine Pflicht zum Abschluss einer Cyberversicherung. Praktisch wird sie für viele betroffene Unternehmen aber deutlich wichtiger, weil Bußgeld-, Ausfall- und Haftungsrisiken steigen und Versicherer dieselben Sicherheitsmaßnahmen abfragen, die NIS2 ohnehin verlangt.

Was kostet eine Cyberversicherung für NIS2?

Für viele KMU liegt die Jahresprämie grob zwischen 2.000 und 12.000 EUR. Höhere Umsätze, sensible Branchen, schwache Sicherheitsreife oder komplexe Lieferketten können die Kosten jedoch deutlich erhöhen.

Welche NIS2-Maßnahmen fordert die Cyberversicherung?

Typischerweise MFA, Backup-Management, Patch- und Schwachstellenmanagement, Incident Response, Zugriffskontrolle, Lieferkettenmanagement, Schulungen und Dokumentation. Inhaltlich entspricht das weitgehend den Mindestmaßnahmen aus Art. 21 NIS2.

Deckt die Cyberversicherung NIS2-Bußgelder ab?

Meist nicht. Häufig versicherbar sind eher Verteidigungskosten, Forensik, Krisenkommunikation oder einzelne Haftpflichtfolgen. Das eigentliche Bußgeld bleibt in vielen Policen ausgeschlossen oder rechtlich nur sehr eingeschränkt versicherbar.

Brauche ich vollständige NIS2-Compliance für eine Cyberversicherung?

Nicht zwingend in Form eines förmlichen Zertifikats oder Audits. In der Praxis müssen Sie aber die maßgeblichen NIS2-Kontrollen und Nachweise immer häufiger vorlegen, um überhaupt belastbare Bedingungen zu erhalten.

Reicht eine D&O-Versicherung für Geschäftsführer aus?

Nein. D&O kann Organhaftungsrisiken teilweise abfedern, ersetzt aber keine Cyberversicherung und keine saubere Cyber-Governance. Besonders riskant sind Lücken zwischen D&O-Bedingungen und Cyber-Obliegenheiten.

Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine individuelle Rechts- oder Versicherungsberatung. Konkrete Deckungs- und Haftungsfragen sollten Sie mit Versicherer, Makler und spezialisiertem Rechtsrat prüfen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →