Eine NIS2 D&O Versicherung schützt Geschäftsführer nur eingeschränkt, weil viele Policen bei Cyberangriffen eine Deckungslücke zwischen persönlicher Haftung, Cyber-Ausschluss und § 103 VVG lassen. Genau darin liegt das Risiko: Während NIS2 die Leitungsverantwortung verschärft und im deutschen Umsetzungsrahmen Bußgelder bis 10 Mio. EUR vorsieht, prüfen Versicherer strenger, ob ein Vorwurf noch fahrlässig oder schon wissentlich pflichtwidrig war.
Die entscheidende Frage lautet deshalb nicht, ob irgendeine D&O-Police vorhanden ist, sondern ob sie NIS2-bezogene Pflichtverletzungen der Geschäftsleitung tatsächlich erfasst. Gemäß Art. 20 der Richtlinie (EU) 2022/2555 müssen Leitungsorgane Cybersicherheitsmaßnahmen billigen, deren Umsetzung überwachen und Schulungen absolvieren. Im deutschen Umsetzungsdiskurs wurde die persönliche Verantwortlichkeit lange mit dem Verweis auf § 38 BSIG-E beschrieben. Für Geschäftsführer bedeutet das praktisch: Mehr dokumentierte Pflichten, mehr Angriffspunkte für Regress und mehr Streit darüber, ob die D&O oder die Cyber-Versicherung zuständig ist.
Wenn Sie zuerst den Haftungsrahmen verstehen möchten, lesen Sie ergänzend die Beiträge zu NIS2 Haftung für Geschäftsführer, NIS2 für Geschäftsführer und NIS2 Bußgelder und Strafen. Dieser Artikel konzentriert sich auf die Versicherungsfrage: Schützt Ihre Police bei Cyberangriffen wirklich oder nur scheinbar?
NIS2 und D&O-Versicherung — Schützt Ihre Police bei Cyberangriffen?
Die kurze Antwort lautet: Oft nur teilweise. Eine D&O-Versicherung schützt Geschäftsführer grundsätzlich gegen persönliche Haftungsansprüche wegen Pflichtverletzungen, aber sie ersetzt keine Cyber-Versicherung und deckt auch keine technischen Eigenschäden des Unternehmens. Genau deshalb entsteht bei NIS2-Verstößen schnell ein gefährlicher Zwischenraum: Der Angriff ist technisch, der Vorwurf gegen die Geschäftsleitung ist organisatorisch, und die Police zieht an mehreren Stellen Grenzen.
Im klassischen Verständnis springt die D&O ein, wenn die Gesellschaft oder ein Dritter dem Geschäftsführer vorwirft, seine Organpflichten verletzt zu haben. Nach einem Cyberangriff kann das etwa bedeuten, dass keine angemessene Sicherheitsorganisation eingerichtet wurde, bekannte Schwachstellen nicht priorisiert wurden oder das Management Warnungen der IT ignoriert hat. Dann geht es nicht um den Serverausfall selbst, sondern um den Vermögensschaden aus einer behaupteten Pflichtverletzung. Genau an dieser Stelle wirkt die D&O grundsätzlich.
Das Problem beginnt bei der Abgrenzung. Viele Versicherer argumentieren, dass ein Fall, der auf Malware, Datenabfluss, Betriebsunterbrechung oder einen Sicherheitsvorfall zurückgeht, primär in die Cyber-Police gehört. Fehlt dort die passende Deckung oder wurden Obliegenheiten verletzt, bleibt die D&O häufig der letzte Anker. Gleichzeitig enthalten viele D&O-Policen Cyber-, Daten- oder Technologieausschlüsse. Dadurch entsteht die typische Deckungslücke: Die Cyber-Versicherung verweist auf mangelnde Compliance, die D&O verweist auf den Cyber-Bezug.
Hinzu kommt § 103 VVG. Danach ist der Versicherer bei vorsätzlich und widerrechtlich herbeigeführten Schäden leistungsfrei. In D&O-Fällen wird diese Norm zwar nicht automatisch ausgelöst, aber sie beeinflusst die Diskussion über wissentliche Pflichtverletzungen massiv. Wenn dem Geschäftsführer vorgeworfen wird, bekannte Risiken bewusst ignoriert, Patches systematisch aufgeschoben oder gesetzliche Meldepflichten sehenden Auges verletzt zu haben, verschiebt sich die Auseinandersetzung von der bloßen Fehlentscheidung zur Frage nach Wissentlichkeit. Genau das macht NIS2 für die D&O so relevant.
Für die Praxis heißt das: Eine vorhandene Police ist kein Nachweis für belastbaren Haftungsschutz. Sie brauchen vielmehr einen Wortlaut, der Cyber-Risiken nicht pauschal verdrängt, Regressfälle realistisch erfasst und Verteidigungskosten im regulatorischen Umfeld trägt. Sonst schützt die D&O nur auf dem Papier, nicht im Streitfall.
Warum NIS2 das D&O-Risiko verändert
NIS2 verändert das D&O-Risiko, weil aus allgemeiner IT-Verantwortung konkretisierte Leitungs- und Überwachungspflichten werden. Art. 20 Abs. 1 der Richtlinie (EU) 2022/2555 verpflichtet Leitungsorgane, Maßnahmen des Risikomanagements im Bereich Cybersicherheit zu billigen und deren Umsetzung zu überwachen. Art. 20 Abs. 2 verlangt darüber hinaus Schulungen für Leitungsorgane. Was früher als delegierbare IT-Frage erschien, wird damit ausdrücklich zur Geschäftsleitungsaufgabe.
Im deutschen Umsetzungsrahmen wurde diese Verschärfung in der Praxis häufig mit dem Verweis auf § 38 BSIG-E beschrieben: hohe Bußgelder, persönliche Verantwortung und ein engerer Zusammenhang zwischen Compliance-Mängeln und Organhaftung. Unabhängig davon, ob im Einzelfall die endgültige Normnummer oder der konkrete Bescheid im Vordergrund steht, ist die Risikologik klar: Neue Pflichten schaffen neue Pflichtverletzungen. Wo neue Pflichten dokumentiert werden müssen, steigt auch das Risiko, dass die Geschäftsleitung später ihre Aufsichts- und Organisationsentscheidungen erklären muss.
Für D&O-Versicherer ist das relevant, weil sich der Vorwurf gegen Geschäftsführer leichter konkretisieren lässt. Vor NIS2 lautete die Behauptung oft allgemein, man habe zu wenig in IT-Sicherheit investiert. Nach NIS2 lässt sich präziser vortragen, dass kein Risikomanagement dokumentiert, keine Schulung besucht, kein Incident-Response-Prozess genehmigt oder die Lieferkette nicht überwacht wurde. Versicherungsrechtlich erhöht das die Wahrscheinlichkeit, dass der Versicherer auf bekannte Pflichtprogramme und auf erkennbare Warnsignale abstellt.
Hinzu kommt die faktische Beweislastverschärfung im Haftungsprozess. Geschäftsführer müssen bei Organisationspflichten regelmäßig darlegen, dass sie ein angemessenes Überwachungssystem eingerichtet, Zuständigkeiten definiert und Kontrollen durchgeführt haben. Wer das nicht dokumentiert hat, argumentiert im Nachhinein mit Erinnerungen statt mit Nachweisen. Genau dort beginnt die Gefahr für die D&O-Deckung: Nicht jeder unbelegte Vortrag überzeugt gegen den Vorwurf, man habe bewusst unzureichend gehandelt.
NIS2 verändert deshalb nicht nur Bußgeldrisiken, sondern auch den Charakter von D&O-Streitigkeiten. Versicherer prüfen heute genauer, ob eine Pflichtverletzung zufällig, fahrlässig oder strukturell war. Dokumentierte Governance kann den Unterschied machen. Fehlt sie, entsteht schnell der Eindruck, dass die Geschäftsleitung Risiken kannte, aber nicht angemessen reagierte. Wenn Sie diesen Haftungsrahmen vertiefen möchten, helfen auch die Beiträge zu NIS2 Geschäftsleitungsschulung als Pflicht und zur NIS2 Checkliste für Unternehmen.
Typische Ausschlussklauseln in D&O-Policen
Die heikelsten D&O-Probleme liegen selten in der Überschrift der Police, sondern im Kleingedruckten der Ausschlüsse. Gerade bei Cybervorfällen entscheidet nicht das Produktetikett, sondern die Frage, welcher Schaden gegen wen mit welchem Trigger geltend gemacht wird. Drei Ausschlussgruppen sind bei NIS2 besonders relevant: wissentliche Pflichtverletzung, Cyber-Ausschlüsse und Bußgeld-Ausschlüsse.
| Ausschlussklausel | Typische Wirkung | Relevanz für NIS2 |
|---|---|---|
| Wissentliche Pflichtverletzung | Kein Schutz bei bewusstem Verstoß gegen bekannte Pflichten | Kritisch bei ignorierten Warnungen, fehlender Meldeentscheidung oder bewusst unterlassenen Maßnahmen |
| Cyber-Ausschluss | Ansprüche mit IT-, Daten- oder Sicherheitsbezug werden aus der D&O verdrängt | Problematisch, wenn Organhaftung direkt aus einem Cybervorfall folgt |
| Bußgeld-Ausschluss | Öffentliche Sanktionen und Geldbußen sind nicht oder nur sehr begrenzt gedeckt | Relevant bei BSIG-/Aufsichtsverfahren und Verwaltungssanktionen |
| Bekanntheitsklausel | Bereits bekannte Umstände sind vom Versicherungsschutz ausgenommen | Gefährlich, wenn Schwachstellen, Audits oder Warnungen vor Vertragsbeginn vorlagen |
| Obliegenheitsverletzung | Verletzte Anzeige-, Mitwirkungs- oder Informationspflichten gefährden Deckung | Relevant bei verspäteter Schadenmeldung oder unvollständiger Kommunikation |
Die erste große Hürde ist die wissentliche Pflichtverletzung. D&O-Versicherer schließen regelmäßig aus, wenn ein Organmitglied Pflichten nicht nur fahrlässig verletzt, sondern wissentlich gegen klare Anforderungen gehandelt hat. In der NIS2-Praxis kann das schnell diskutiert werden, wenn Protokolle zeigen, dass offene Risiken bekannt waren und trotzdem weder Budget, noch Zuständigkeiten, noch Kontrollen beschlossen wurden. Nicht jede Fehlentscheidung ist wissentlich. Aber je genauer die Pflicht definiert ist, desto leichter wird der Vorwurf.
Die zweite Hürde ist der Cyber-Ausschluss. Viele Policen arbeiten mit weiten Formulierungen wie Ansprüchen „im Zusammenhang mit“ elektronischen Daten, Sicherheitsverletzungen, IT-Ausfällen oder unbefugtem Zugriff. Für Geschäftsführer ist das gefährlich, weil fast jeder NIS2-Fall auf einen solchen Zusammenhang zurückgeführt werden kann. Der Versicherer muss dann gar nicht bestreiten, dass ein Organhaftungsanspruch vorliegt. Es genügt oft der Hinweis, dass die Ursache im Cyberereignis liegt.
Die dritte Hürde sind Bußgeld-Ausschlüsse. Öffentliche Sanktionen dienen der Ahndung und Prävention. Deshalb sind sie in Deutschland regelmäßig nicht versicherbar oder nur unter engen Bedingungen diskutierbar. Realistisch versicherbar sind eher Verteidigungskosten im Aufsichtsverfahren, nicht aber die eigentliche Sanktion. Geschäftsführer sollten daher nie davon ausgehen, dass eine D&O ein NIS2-Bußgeld „übernimmt“.
Besonders wichtig ist auch die Schnittstelle zu § 81 VVG und § 103 VVG. Während § 81 VVG grobe Fahrlässigkeit betrifft und in vielen Versicherungssparten zu Kürzungen führen kann, markiert § 103 VVG die Grenze bei vorsätzlicher Schadensherbeiführung. Im D&O-Streit werden diese Maßstäbe nicht mechanisch angewandt, aber sie prägen die Bewertung, ob aus dokumentierter Untätigkeit bereits ein nicht versicherbarer Kernvorwurf wird.
D&O-Versicherung vs. Cyber-Versicherung — Was deckt was?
D&O-Versicherung und Cyber-Versicherung sind keine Alternativen, sondern komplementäre Bausteine. Die D&O schützt die handelnde Person, die Cyber-Versicherung schützt primär das Unternehmen und den technischen Krisenverlauf. Wer beide Policen nicht aufeinander abstimmt, hat oft zwei Verträge, aber keinen durchgehenden Schutz.
| Thema | D&O-Versicherung | Cyber-Versicherung |
|---|---|---|
| Geschütztes Interesse | Persönliche Haftung von Geschäftsführern, Vorständen, Organmitgliedern | Eigenschäden und bestimmte Haftpflichtschäden des Unternehmens |
| Typischer Auslöser | Vorwurf einer Pflichtverletzung, Innenregress, Managerhaftung | Sicherheitsvorfall, Datenverlust, Ransomware, Betriebsunterbrechung |
| Typische Kosten | Abwehrkosten, Vergleich, Vermögensschadenersatz | Forensik, Incident Response, Wiederherstellung, Benachrichtigung, PR |
| Bußgelder | Meist ausgeschlossen oder nur Verteidigungskosten | Meist ebenfalls nicht versicherbar |
| Technische Krisenkosten | Regelmäßig nicht Kern der Deckung | Kernbestandteil der Deckung |
| Regress gegen Geschäftsführer | Typischer D&O-Fall | Regelmäßig kein Schwerpunkt |
| Bedeutung von NIS2-Nachweisen | Wichtig zur Abwehr des Pflichtverletzungsvorwurfs | Wichtig für Underwriting und Obliegenheiten |
Diese Trennung ist in der Praxis entscheidend. Wenn ein Ransomware-Angriff die Produktion lahmlegt, übernimmt die Cyber-Versicherung typischerweise Forensik, Krisenkommunikation, Datenwiederherstellung und Betriebsunterbrechung, soweit die Police das vorsieht. Wenn die Gesellschaft anschließend fragt, warum der Geschäftsführer trotz bekannter Risiken keine Maßnahmen freigegeben hat, beginnt ein anderer Fall: Dann geht es um persönliche Organhaftung und damit um die D&O.
Probleme entstehen bei Mischschäden. Ein und derselbe Vorfall kann technische Kosten, Lieferverzug, Datenschutzansprüche, Reputationsschäden und Innenregress auslösen. Die Cyber-Police deckt dann vielleicht den äußeren Krisenring, aber nicht den persönlichen Haftungsvorwurf. Die D&O trägt möglicherweise Abwehrkosten, verweist aber bei IT-bezogenen Kausalitäten auf Ausschlüsse. Genau deshalb sollte jede Geschäftsleitung ein Deckungsmapping pro Szenario erstellen.
Für die NIS2-Praxis empfiehlt sich eine zweite Tabelle als Deckungscheck:
| Prüffrage | D&O prüfen | Cyber prüfen |
|---|---|---|
| Sind Cyber-, Daten- oder Technologieausschlüsse weit formuliert? | Ja | Nein, dafür Obliegenheiten prüfen |
| Sind Verteidigungskosten in Aufsichtsverfahren eingeschlossen? | Ja | Optional |
| Gibt es klare Anforderungen an MFA, Patching, Backups, Meldefristen? | Mittelbar | Ja, regelmäßig ausdrücklich |
| Werden Innenregress und Organhaftung sauber erfasst? | Ja | Selten |
| Ist dokumentierte NIS2-Compliance Voraussetzung für günstiges Underwriting? | Zunehmend ja | Deutlich ja |
Die Konsequenz ist eindeutig: Eine D&O ohne Cyber-Police lässt die operative Krise offen. Eine Cyber-Police ohne D&O lässt die persönliche Leitungsverantwortung offen. Erst das Zusammenspiel beider Policen mit sauberer NIS2-Dokumentation reduziert die Deckungslücke spürbar.
Wann die D&O bei NIS2-Verstößen NICHT greift
Die D&O greift bei NIS2-Verstößen regelmäßig nicht, wenn der Fall entweder unter einen klaren Ausschluss fällt oder der Versicherer den Vorwurf als bewusstes Organisationsversagen einordnet. Entscheidend ist dabei nicht nur, was nach dem Angriff passiert, sondern was schon davor bekannt, beschlossen oder unterlassen wurde.
Ein typisches Szenario sind fehlende Sicherheitsupdates und offene Schwachstellen. Wenn dem Management mehrfach gemeldet wurde, dass kritische Systeme nicht gepatcht sind, und die Geschäftsleitung dennoch weder priorisiert noch dokumentiert reagiert hat, wird der Versicherer genau prüfen, ob noch einfache Fahrlässigkeit vorliegt. Das Urteil des LG Tübingen vom 26.05.2023 zeigt zwar, dass Versicherer fehlende Updates nicht pauschal als grobe Fahrlässigkeit behandeln können. Für D&O-Fälle bleibt jedoch relevant, ob aus der Gesamtlage ein wissentliches Ignorieren erkennbarer Risiken abgeleitet werden kann.
Ein zweites Szenario ist fehlende Schulung der Leitungsebene. Art. 20 Abs. 2 der Richtlinie (EU) 2022/2555 verlangt Schulungen für Leitungsorgane. Wenn Geschäftsführer weder selbst geschult sind noch ein Programm für das Management nachweisen können, wird aus einem Cyberangriff schnell ein Governance-Vorwurf. Dann stellt sich nicht mehr nur die Frage, warum ein Angriff gelang, sondern warum die Geschäftsleitung die gesetzlichen Pflichten nicht ernsthaft umgesetzt hat. Wer diesen Punkt vertiefen will, sollte die NIS2 Geschäftsleitungsschulung als Pflicht mitdenken.
Ein drittes Szenario ist die ignorierte Meldepflicht. Werden erhebliche Vorfälle zu spät oder unvollständig gemeldet, kann das nicht nur aufsichtsrechtliche Folgen haben, sondern auch versicherungsrechtliche Probleme auslösen. Die Cyber-Police verlangt oft schnelle Schadenmeldung und Mitwirkung. Die D&O prüft parallel, ob die verspätete Reaktion Ausdruck eines strukturellen Organisationsmangels ist. In solchen Fällen drohen doppelte Einwände: Obliegenheitsverletzung auf der einen Seite, wissentliche Pflichtverletzung auf der anderen.
Ein viertes Szenario sind fehlende Nachweise zur Lieferkettensicherheit. NIS2 verlangt risikobezogene Maßnahmen entlang der Lieferkette. Wenn das Unternehmen kritische Dienstleister nicht bewertet, keine Mindestanforderungen vertraglich absichert und keine Nachweise vorhalten kann, verschärft das sowohl das Underwriting als auch die spätere Schadenprüfung. Bei einem Lieferkettenvorfall kann dann argumentiert werden, dass die Geschäftsleitung erkennbare Mindeststandards nie etabliert hat.
Kurz gesagt: Die D&O schützt nicht gegen jede schlechte Lage, sondern gegen bestimmte Haftungsansprüche unter bestimmten Voraussetzungen. Wer Patches, Schulung, Vorfallmeldung und Governance nicht dokumentiert, überlässt dem Versicherer zu viel Interpretationsspielraum.
5 Handlungsempfehlungen für Geschäftsführer
Geschäftsführer sollten ihre NIS2 D&O Versicherung nicht abstrakt, sondern an realen Schadensszenarien prüfen. Entscheidend ist, ob Innenregress, Verteidigungskosten, Cyber-Ausschlüsse und die Schnittstelle zur Cyber-Police sauber geregelt sind. Die folgenden fünf Maßnahmen reduzieren die Deckungslücke am wirksamsten:
- Prüfen Sie Ihre D&O-Police auf Cyber-, Daten- und Wissentlichkeitsausschlüsse. Verlangen Sie eine schriftliche Einordnung, welche NIS2-bezogenen Organhaftungsfälle tatsächlich gedeckt sind.
- Verhandeln Sie unklare Ausschlüsse und Prioritätsklauseln nach. Weite Formulierungen wie „im Zusammenhang mit Cyberereignissen“ sollten präzisiert werden, damit persönliche Regressfälle nicht reflexhaft herausfallen.
- Ergänzen Sie die D&O durch eine belastbare Cyber-Versicherung. Nur so sind Forensik, Wiederherstellung, Betriebsunterbrechung und Krisenkosten sauber adressiert.
- Erfüllen Sie NIS2 nachweisbar. Protokolle, Schulungsnachweise, Risikoentscheidungen, Patch-Management und Vorfallprozesse verbessern nicht nur Compliance, sondern auch Ihre Verteidigungsposition gegenüber dem Versicherer.
- Bringen Sie NIS2-Compliance aktiv in die nächste Vertragserneuerung ein. Gute Dokumentation kann das Underwriting verbessern, Zuschläge vermeiden und Diskussionen über Selbstbehalte oder Ausschlüsse entschärfen.
Die wichtigste Management-Regel lautet daher: Kaufen Sie keine Ruhe, sondern prüfbare Deckung. Wer jetzt die Verknüpfung aus NIS2 für Geschäftsführer, NIS2 Bußgelder und Strafen, NIS2 Checkliste und der operativen Umsetzung herstellt, senkt sein persönliches Haftungsrisiko deutlich. Wenn Sie Ihre Governance-Basis dokumentierbar aufbauen möchten, können Sie direkt Jetzt NIS2-Schulung starten.
FAQ (Schema-relevant)
Deckt meine D&O-Versicherung NIS2-Verstöße ab?
Nicht automatisch. Die D&O-Versicherung deckt vor allem die persönliche Inanspruchnahme von Geschäftsführern wegen behaupteter Pflichtverletzungen. Ob ein NIS2-Verstoß darunterfällt, hängt vom genauen Vorwurf, vom Police-Wortlaut und von Ausschlüssen für Cyber oder wissentliche Pflichtverletzungen ab. Bußgelder selbst sind regelmäßig nicht gedeckt.
Was ist der Unterschied zwischen D&O- und Cyber-Versicherung?
Die D&O schützt Organmitglieder gegen persönliche Haftungsansprüche. Die Cyber-Versicherung schützt das Unternehmen gegen technische Krisenkosten und bestimmte Haftpflichtfolgen nach einem Sicherheitsvorfall. Beide Policen ergänzen sich, decken aber unterschiedliche Ebenen desselben Vorfalls.
Wann greift die D&O-Versicherung bei Cyberangriffen nicht?
Sie greift häufig nicht bei weiten Cyber-Ausschlüssen, bei wissentlichen Pflichtverletzungen, bei bereits bekannten Risiken vor Vertragsschluss oder wenn es eigentlich um operative Eigenschäden des Unternehmens geht. Auch verspätete Meldungen und mangelnde Mitwirkung können die Deckung zusätzlich belasten.
Brauche ich als Geschäftsführer eine separate Cyber-Versicherung?
In der Praxis ja. Ohne Cyber-Versicherung bleiben Forensik, Wiederherstellung, Krisenkommunikation und Betriebsunterbrechung oft offen. Ohne D&O bleiben persönliche Regress- und Organhaftungsrisiken offen. NIS2 macht beide Bausteine wichtiger, nicht austauschbar.
Wie wirkt sich NIS2-Compliance auf meine D&O-Prämie aus?
Dokumentierte NIS2-Compliance verbessert meist die Verhandlungsposition im Underwriting. Versicherer sehen Schulungen, Risikomanagement und nachweisbare Governance als Risikominderung. Fehlende Nachweise führen eher zu Zuschlägen, engeren Ausschlüssen oder höheren Selbstbehalten.
Kann die D&O-Versicherung NIS2-Bußgelder abdecken?
Darauf sollten Sie nicht setzen. Öffentliche Sanktionen dienen der Prävention und Ahndung und sind deshalb regelmäßig nicht oder nur sehr eingeschränkt versicherbar. Realistischer ist eine Diskussion über Verteidigungskosten im Verfahren, nicht über die Bußgeldzahlung selbst.
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung oder individuelle Deckungsprüfung.