Cyberversicherung unter NIS 2
Eine Police zahlt Schäden. Sie ersetzt nicht die technischen und organisatorischen Maßnahmen, die Artikel 21 NIS 2 verlangt.
Überblick
Cyberversicherung und NIS 2 liegen auf unterschiedlichen Ebenen. Eine Cyberpolice ist ein privater Vertrag zwischen Einrichtung und Versicherer, der nach einem Vorfall definierte Kosten ersetzt. NIS 2 ist öffentliches Recht: Artikel 21 beschreibt die technischen und organisatorischen Maßnahmen für besonders wichtige und wichtige Einrichtungen, Artikel 23 die Meldepflicht, Artikel 27 die Registrierungspflicht. Keine dieser Pflichten geht mit Unterzeichnung einer Police auf den Versicherer über.
Das BSI formuliert das deutlich. Im NIS-2-Informationspaket beschreibt das Amt den pauschalen Risikotransfer über eine Versicherungspolice als unter der Richtlinie ausgeschlossen. Artikel 21(1) NIS 2 verlangt geeignete und verhältnismäßige Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten der Umsetzung. Eine unterschriebene Police ist weder eine solche Maßnahme noch ein Ersatz dafür.
Die praktische Frage für eine Einrichtung im Anwendungsbereich des Artikels 21 lautet daher nicht, ob eine Cyberversicherung sinnvoll ist, sondern wie die Police mit den darunterliegenden NIS-2-Kontrollen zusammenwirkt. Die meisten Policen setzen genau diese Kontrollen als Bedingung für Deckung voraus. Es sind dieselben Kontrollen, die BSI und Aufsicht in einem NIS-2-Audit prüfen.
Artikel 21(1) NIS 2
Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten. Unter Berücksichtigung des Stands der Technik und gegebenenfalls einschlägiger europäischer und internationaler Normen sowie der Kosten der Umsetzung müssen die in Unterabsatz 1 genannten Maßnahmen ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das den bestehenden Risiken angemessen ist.
Quelle: Richtlinie (EU) 2022/2555, Artikel 21(1). Die genannten Bezugspunkte sind Stand der Technik, einschlägige Normen und Kosten der Umsetzung. Versicherung ist in dieser Aufzählung nicht enthalten.
DVO (EU) 2024/2690, Anhang, Punkt 2
The policy on the security of network and information systems shall lay down the approach of the relevant entities to managing the security of their network and information systems. The risk management framework referred to in point 2.1 shall identify, and provide for the management of, the risks to the security of network and information systems.
Quelle: Durchführungsverordnung (EU) 2024/2690, Anhang. Die detaillierten Risikomanagementanforderungen sind um einen Rahmen mit Maßnahmen herum aufgebaut, nicht um einen finanziellen Risikotransfer.
§30 BSIG (deutsche Umsetzung)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder so gering wie möglich zu halten.
Quelle: §30 Absatz 1 BSIG. Die deutsche Umsetzung spiegelt Artikel 21: technische und organisatorische Maßnahmen durch die Einrichtung selbst, auf einem Verhältnismäßigkeitsmaßstab. Versicherung wird als Mittel nicht genannt.
Vorfallskosten und Drittansprüche
Übliche Deckungsbausteine sind Vorfallskosten (Forensik, Recht, Kommunikation), Betriebsunterbrechungsschäden aus einem versicherten Cybervorfall, Datenwiederherstellungskosten und Drittansprüche von Kunden oder Betroffenen. Manche Policen erstrecken sich auf Lösegeldzahlungen, soweit rechtlich zulässig und nach Sanktionsprüfung.
Bußgelder, bekannte Lücken, Krieg, Infrastruktur
Behördliche Bußgelder sind in mehreren EU-Jurisdiktionen aus ordre-public-Gründen unversicherbar. Übliche Ausschlüsse betreffen außerdem bekannte, nicht behobene Schwachstellen, ungepatchte Systeme unter vertraglich vereinbartem Niveau, Kriegshandlungen und staatlich zurechenbare Angriffe (die Lloyd's-Klauseln sind weit verbreitet) sowie Ausfälle öffentlicher Infrastruktur außerhalb der Einrichtungsverantwortung.
Obliegenheiten und Zusicherungen
Die meisten Cyberversicherer verlangen ein definiertes Mindestniveau: Mehrfaktorauthentisierung, Backup, Patchmanagement, Sensibilisierung, Notfallplan. Genau diese Bereiche stehen in Artikel 21(2) NIS 2 und im Anhang der DVO 2024/2690. Eine Police kann gekürzt oder versagt werden, wenn die zugesicherten Kontrollen im Schadenzeitpunkt nicht bestanden.
Die Pflicht aus Artikel 21 ist nicht übertragbar
Artikel 21 adressiert die Einrichtung. Maßnahmen, Dokumentation und die Aufsicht durch das Leitungsorgan nach Artikel 20 liegen in der Einrichtung. Ein Versicherungsvertrag ist eine finanzielle Vereinbarung für den Fall danach; er verschiebt nicht die rechtliche Pflicht im Vorfeld. Das BSI beschreibt das in seinem Informationspaket als Ausschluss des pauschalen Risikotransfers.
Verhältnismäßigkeit gilt für Maßnahmen, nicht für Prämien
Artikel 21(1) nennt drei Bezugspunkte: Stand der Technik, einschlägige Normen, Kosten der Umsetzung. Der Verhältnismäßigkeitsmaßstab gilt den technischen und organisatorischen Maßnahmen selbst. Eine höhere Prämie verschiebt diesen Maßstab nicht; die Einrichtung muss weiterhin zeigen, dass die Maßnahmen den tatsächlich getragenen Risiken angemessen sind.
BSI — Bundesamt für Sicherheit in der Informationstechnik
Das BSI beschreibt im Informationspaket zur NIS-2-Umsetzung, dass die Risikomanagementpflicht nicht durch eine umfassende Verlagerung des Risikos auf einen Versicherer erfüllt werden kann. Die verwendete Formulierung lautet, dass ein pauschaler Risikotransfer ausgeschlossen ist. Diese Position deckt sich mit der Struktur des Artikels 21: die Einrichtung setzt Maßnahmen um, sie zahlt sich nicht daran vorbei.
ENISA
Die ENISA Technical Implementation Guidance zu NIS 2 ist um die in Artikel 21(2) und im DVO-Anhang genannten Maßnahmen herum aufgebaut. Cyberversicherung erscheint in den veröffentlichten Dokumenten nicht als eine dieser Maßnahmen, sondern allenfalls als Teil weiterer Risikobehandlungsoptionen im Rahmen eines Risikomanagementsystems.
GDV — Gesamtverband der Deutschen Versicherungswirtschaft
Der GDV veröffentlicht unverbindliche Musterbedingungen für die Cyberversicherung (AVB Cyber) sowie Marktstudien. Die öffentlich zugänglichen Materialien beschreiben Cyberversicherung als ein Element eines breiteren Risikomanagementansatzes und nennen ein technisches Mindestniveau als übliche Zeichnungsvoraussetzung.
Mythos: Eine Cyberpolice überträgt die NIS-2-Pflicht auf den Versicherer.
Die Pflichten aus Artikeln 20, 21, 23 und 27 NIS 2 adressieren die Einrichtung. Der Versicherer ist privatrechtlicher Vertragspartner, nicht ein regulierter Adressat, der in die NIS-2-Pflichten einrückt. Das BSI bezeichnet einen pauschalen Risikotransfer unter der Richtlinie als ausgeschlossen.
Mythos: Behördliche Bußgelder sind von der Police abgedeckt.
Bußgelder nach §65 BSIG (deutsche Umsetzung der NIS-2-Bußgelder aus Artikeln 34 und 36) werden in EU-Jurisdiktionen aus ordre-public-Gründen weitgehend als unversicherbar behandelt. Standardklauseln schließen sie aus. Verteidigungskosten sind eine andere Frage und werden häufig im Rahmen von Sublimits getragen.
Mythos: Prämie gezahlt heißt Auszahlung sicher.
Die Zeichnung steht unter Obliegenheiten und Risikobeschreibungen. Wenn die zugesicherten Kontrollen (Mehrfaktorauthentisierung, Patchstände, Backupregime, Notfallplan) im Schadenzeitpunkt nicht bestanden, kann der Versicherer kürzen oder ablehnen. Diese Kontrollen entsprechen den Maßnahmen aus Artikel 21(2) NIS 2.
Makler und Risikomanager beschreiben Cyberversicherung üblicherweise als Schicht über einem funktionierenden Sicherheitsprogramm, nicht als Ersatz dafür. Die Reihenfolge in der Praxis: Maßnahmen aus Artikel 21 umsetzen, dokumentieren, dann den Markt ansprechen. Versicherer verlangen am Ende dieselbe Dokumentation wie ein NIS-2-Audit. Assetverzeichnis, Lieferantenregister, Patchbaseline, Backuptests, Notfallplan, Sensibilisierungsnachweise.
Aus NIS-2-Sicht ist die relevante Frage daher praktisch. Liegen Nachweise zu den Maßnahmen aus Artikel 21(2) vor? Sind die vertraglichen Zusicherungen in der Cyberpolice mit der tatsächlichen Lage konsistent? Wenn beides auseinanderläuft, taucht die Lücke zweimal auf: einmal in der Aufsicht beim NIS-2-Audit, einmal beim Versicherer im Schadenfall.
NISD2 ordnet die Nachweise einer Einrichtung entlang der Maßnahmenbereiche aus Artikel 21(2) NIS 2 und dem DVO-Anhang. Assetverzeichnis, Lieferantenregister, Risikobehandlungsplan, Notfallplan, Sensibilisierungsnachweise und Freigaben des Leitungsorgans liegen in einem Pflichtenregister. Derselbe Nachweisstand ist es, den Versicherer und Aufsicht prüfen.
Die Plattform vertreibt, vermittelt oder empfiehlt keine Versicherungsprodukte. Sie dokumentiert die zugrunde liegenden NIS-2-Maßnahmen, sodass die Deckungsfrage auf einer definierten Lage aufsetzt und nicht an deren Stelle tritt.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Durchführungsverordnung (EU) 2024/2690, Anhang — https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), §30 und §65 — https://www.gesetze-im-internet.de/bsig_2009/
- BSI — NIS-2-Informationspakete und Hintergrund — https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html
- ENISA — NIS 2 Technical Implementation Guidance — https://www.enisa.europa.eu/publications
- GDV — Cyberversicherung und unverbindliche Musterbedingungen (AVB Cyber) — https://www.gdv.de/