Die Schonfrist endete am 6. Dezember 2025: Cybersicherheit ist keine delegierbare IT-Aufgabe mehr, sondern eine gesetzlich verankerte Kernpflicht, die nicht nur die Unternehmensführung betrifft. Obwohl Makler im Zusammenhang mit der NIS2 ebenfalls in einer Aufklärungspflicht stehen, herrscht auch zwei Monate nach Inkrafttreten des Umsetzungsgesetzes in vielen Maklerhäusern noch Unsicherheit.
War digitale Absicherung früher eine Nebenaufgabe, verlangt das neue BSI-Gesetz (BSIG) nun aktives Risikomanagement, statt bloßer Reaktion im Schadensfall. Damit betrifft das Gesetz nicht nur die IT-Abteilung. Auch Makler sind direkt für die Sicherheit der Kundendaten verantwortlich.
Mit der NIS2-Richtlinie wird Cybersicherheit von einer technischen Aufgabe zur existenziellen Pflicht: Im Zentrum steht die persönliche Haftung der Geschäftsführung (Paragraf 38 BSIG). Um Haftungsfallen zu vermeiden, müssen Unternehmen ein aktives Risikomanagement etablieren, das auf zehn Mindestanforderungen basiert – darunter Multi-Faktor-Authentifizierung (MFA), Back-up-Management, Absicherung der Lieferketten und regelmäßige Schulungen.
Ergänzt wird dies durch ein engmaschiges Meldewesen: Firmen müssen Vorfälle innerhalb von 24 Stunden an das BSI melden und nach 72 Stunden detailliert berichten.
Unmittelbar von der NIS2 betroffen sind nun auch Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro in den 18 definierten Sektoren (zum Beispiel Energie, Gesundheitswesen, Abfallwirtschaft oder Lebensmittel). Doch die Reichweite ist größer: Durch die gesetzliche Pflicht zur Sicherung der Lieferkette (Paragraf 30 Absatz 2 Nummer 4 BSIG) wirkt die Regulierung als Katalysator.
Regulierte Unternehmen dürfen zusätzlich nur noch mit Partnern zusammenarbeiten, die nachweislich die zehn Sicherheitsstandards erfüllen. Arbeitet ein Unternehmen mit einem unsicheren Zulieferer zusammen, kann die Geschäftsführung bei einem Cybervorfall wegen Organisationsverschuldens haften. Dies führt dazu, dass NIS2-Standards heute zu einem festen Bestandteil von Einkaufsbedingungen und Dienstleistungsverträgen werden.
Das betrifft auch das Maklerhaus: Denn als Verwalter hochsensibler Kundendaten müssen Makler damit rechnen, dass ihre eigenen Kunden detaillierte Nachweise über die IT-Sicherheit fordern. Wer hier die zehn Mindestanforderungen nicht erfüllt, riskiert den sofortigen Verlust seiner Mandate.
Die NIS2 bringt eine existenzielle Aufklärungspflicht. Zwar dürfen Makler keine Rechtsberatung leisten, doch das Sachwalterurteil verpflichtet sie, Risiken ihrer Bestandskunden laufend zu überwachen. Sobald sich das Risikoprofil durch neue gesetzliche Anforderungen wie die NIS2 verändert, muss der Makler den Kunden ungefragt informieren. Denn durch die Richtlinie steigt nicht nur das Risikoprofil des Kunden erheblich.
Die meisten Versicherungen, wie Cyberpolice und D&O-Versicherung, enthalten Klauseln, die die Einhaltung gesetzlicher und behördlicher Vorschriften voraussetzen. Werden diese Vorschriften nicht erfüllt, kann dies die Deckung aufheben.
Unterlässt der Makler die aktive Beratung, kann das gemäß Schadenersatzpflicht (Paragraf 63 VVG) zur Eigenhaftung führen: Lehnt der Versicherer die Regulierung eines Cyberangriffs wegen fehlender NIS2-Standards ab, rückt die Beratungsdokumentation des Maklers in den Fokus. Ohne lückenlose Dokumentation kann der Makler im Schadensfall selbst für die Kosten haften.
Analysen der Cybersicherheitsexperten von Baobab offenbaren: Bei Unternehmen mit bis zu 10 Millionen Euro Umsatz verfügen 52 Prozent über keinerlei MFA. Selbst bei größeren Mittelständlern mit bis zu 50 Millionen Euro Umsatz verzichten noch immer rund 46 Prozent auf diesen elementaren Schutz.
Für Makler ist dies ein deutliches Warnsignal. Viele Mandanten bewegen sich derzeit unbewusst außerhalb der gesetzlichen Vorgaben. Das Problem dabei: Selbst wenn ein Kunde früher mit seinem Versicherer explizit vereinbart hatte, dass keine MFA erforderlich sei, hat sich die Lage nun grundlegend geändert. Da die MFA nun gemäß gesetzlicher Standard ist, können Versicherer argumentieren, dass die allgemeine Obliegenheit zur „Einhaltung aller gesetzlichen Sicherheitsvorschriften“ nun zwingend auch die MFA umfasst. Wer diese missachtet, riskiert im Ernstfall den vollständigen Verlust des Deckungsschutzes.
Ein sofortiger Verlust des Versicherungsschutzes ist nicht zwangsläufig, da im Versicherungsrecht der Grundsatz der Zumutbarkeit gilt. Die flächendeckende Einführung einer MFA ist ein komplexes IT-Projekt, das mehrere Monate dauern kann. Solange nachweislich daran gearbeitet wird, ist eine Leistungsverweigerung treuwidrig. Problematisch wird es jedoch für Nachzügler: Startet ein Unternehmen zwei Monate nach Inkrafttreten der NIS2 noch kein Umsetzungsprojekt, entfällt die Zumutbarkeit, und der Versicherungsschutz steht auf dem Spiel.
Unternehmen sollten daher umgehend mit der Planung beginnen, Angebote von Dienstleistern einholen und einen klar dokumentierten Projektablauf starten. Denn nur ein nachweislich gestarteter Rollout entkräftet den Vorwurf einer „wissentlichen Pflichtverletzung“.
Auch die Rolle des Cyberversicherers verschiebt sich: Vom Risikoträger hin zu strategischem Partner für digitale Resilienz. Zwar erfüllt eine Cyberversicherung allein keine NIS2-Pflichten. Doch integrieren moderne Anbieter bereits heute Leistungen direkt in ihre Deckungskonzepte, die unmittelbar auf die NIS2-Ziele einzahlen:
Die NIS2-Richtlinie hat das Spielfeld verändert. Nur wer als aktiver Risikoberater Bestandsverträge prüft, Umsetzungslücken schließt und Mandanten aktiv informiert, sichert die Zukunftsfähigkeit seiner Kunden und schützt damit das eigene Maklerhaus vor existenzbedrohenden Regressforderungen. Auch aus diesem Grund sollten Makler bei künftigen Angeboten gezielt auf Versicherer achten, die über reinen Risikotransfer hinaus Zusatzleistungen bieten – und so Mandanten unterstützen, die gesetzlichen Kernpflichten zu erfüllen.
John Braun ist Head of Distribution bei Baobab Insurance, einem digitalen Assekuradeur technischer Risiken. Er verfügt über 18 Jahre Berufserfahrung und hat sich als Experte für die Absicherung digitaler Unternehmensrisiken etabliert – unter anderem in Führungspositionen bei WTW und Cyberdirekt.