Höchste Zeit, zu handeln
Die EU-Richtlinie „Network and Information Security Directive 2“, kurz NIS2, wurde unlängst in deutsches nationales Recht überführt; das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit 6. Dezember 2025 in Kraft. Damit sind nicht mehr nur Unternehmen der kritischen Infrastruktur (KRITIS) gesetzlich verpflichtet, sich umfassend vor Cyber-Angriffen zu schützen. Weitaus mehr Unternehmen müssen jetzt nachweislich für eine umfassende Cyber-Resilienz sorgen.
Dafür ist es auch höchste Zeit: Laut einer Studie des Branchenverbands BITKOM bescherten Cyberangriffe, Spionage und Sabotage der deutschen Wirtschaft einen Rekordschaden von 289,2 Milliarden Euro; 202,4 Milliarden Euro entfielen direkt auf Cyber-Attacken. Betroffen davon waren 87 Prozent der Unternehmen, vermutlich vor allem durch Angriffe aus Russland und China. Die Verschlüsselung von Daten mit Ransomware zur Erpressung von Lösegeldern spielte hier die prominente Rolle.
Ein massiv ausgeweiteter Anwendungsbereich
Von der neuen Gesetzeslage sind in Deutschland nach aktuellen Schätzungen zirka 30.000 Unternehmen betroffen. Unterschieden wird dabei primär zwischen Unternehmen „besonders wichtiger“ und „wichtiger“ Sektoren:
- Besonders wichtige Sektoren: Energie, Verkehr, Finanzwesen, Gesundheitswesen, Wasser, digitale Infrastruktur, IT-Service-Management, Weltraum und Betreiber kritischer Anlagen.
- Wichtige Sektoren: produzierendes Gewerbe (zum Beispiel Elektronik, Medizinprodukte, Maschinenbau, Automotive), Chemie, Lebensmittel, digitale Dienste, Abfallwirtschaft, Forschung, Post- und Kurierdienste.
Grundsätzlich fallen bereits Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Bilanzsumme von mehr als 10 Mio. Euro unter die Richtlinie. Betroffene Unternehmen müssen sich eigenverantwortlich im BSI-Portal (Bundesamt für Sicherheit in der Informationstechnik) registrieren.
Die Kernanforderungen: Mehr als nur Firewall
NIS 2 definiert Cybersicherheit nicht mehr als reine IT-Aufgabe, sondern als zentrale Compliance-Verpflichtung der Unternehmensführung. Betroffene Unternehmen müssen ein ganzheitliches Management-System rund um das Thema Cyber-Sicherheit implementieren.
Zu ihren Pflichten gehören Risikomanagement-Maßnahmen, etwa die Risikoanalyse, Notfallpläne, ein Backup-Konzept und die Absicherung im Rahmen der Lieferkette. Verpflichtend ist zudem, dass Sicherheitsvorfälle innerhalb strenger Fristen an das BSI gemeldet werden. Eine erste Meldung muss etwa bereits innerhalb von 24 Stunden nach einem erkannten Angriff erfolgen, weitere sind gestaffelt gefordert.
Verstoßen Unternehmen besonders wichtiger Sektoren gegen diese Pflichten, drohen ihnen Bußgelder bis zu 10 Mio. Euro oder 2 Prozent ihres Jahresumsatzes; bei Unternehmen wichtiger Sektoren können die Bußgelder bis zu 7 Mio. Euro oder 1,4 Prozent ihres Umsatzes betragen.
Folgen für das Risiko- und Versicherungsmanagement
Um für ein angemessenes Risiko-Management zu sorgen, müssen Unternehmen ihre Cyber-Risiken nicht nur identifizieren, sondern auch quantifizieren, also finanziell bewerten. Sie sehen so, mit welchen potenziellen finanziellen Verlusten sie trotz aller Sicherheitsmaßnahmen rechnen sollten. Dieses Restrisiko können sie mit einer Cyber-Versicherung auf einen geeigneten Versicherer übertragen.
Ein weiterer wichtiger Punkt: Geschäftsführer und Vorstände haften persönlich für die Umsetzung der Sicherheitsmaßnahmen und können bei Fahrlässigkeit oder bewusstem Fehlverhalten haftbar gemacht werden. Entsprechende D&O-Versicherungen sollten deshalb dringend dahingehend überprüft werden, ob die vereinbarten Deckungssummen für eventuelle Bußgelder oder Verteidigungskosten ausreichen.
Schnell und einfach auf die sichere Seite kommen
Insgesamt bedeuten die neuen regulatorischen bzw. gesetzlichen Anforderungen für viele Unternehmen, dass sie ihr Risiko- und Versicherungsmanagement mit Blick auf ihre Cyber-Sicherheit gründlich überprüfen und eventuell neu ausrichten müssen. So vermeiden sie nicht nur drohende Bußgelder. Sie können damit vor allem die Gefahr direkter finanzieller Verluste durch Cyber-Angriffe reduzieren. Willis, ein Geschäftsbereich von WTW, bietet dabei einen Weg, allen Anforderungen effizient und zielsicher gerecht zu werden.
