NIS2-Gesetz: Geschäftsführung haftet persönlich für Cyberrisiken

Versicherer fordern jetzt von Unternehmen detaillierte Nachweise über ihre Sicherheitsvorkehrungen. Aus Versicherungsanträgen werden faktisch Compliance-Audits.

Haftung der Geschäftsführung wird zur Chefsache

Die NIS2-Richtlinie betrifft Firmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Erfasst sind 18 Sektoren – von Energie über Gesundheit bis zur Lebensmittelindustrie. Bei Verstößen drohen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Anzeige: Seit Dezember 2025 haften Geschäftsführer persönlich für NIS2-Verstöße – Strafen bis zu 10 Mio. Euro oder 2 % des Umsatzes drohen. Versicherer fordern jetzt detaillierte Sicherheitsnachweise. Unser Report liefert die Checkliste für den Aufbau eines ISMS und das Meldeverfahren – sofort umsetzbar. Jetzt kostenlosen NIS2-Compliance-Report anfordern

Entscheidend: Die Geschäftsleitung haftet persönlich. Auf einer Sicherheitskonferenz in Berlin Anfang Juni wurde klar: Unternehmensschutz muss Chefsache werden. Die Grenzen zwischen physischer und digitaler Kriminalität verschwimmen zunehmend. Die Verantwortlichen müssen ein Risikomanagement aufbauen, technische und organisatorische Maßnahmen umsetzen und Vorfälle binnen 24 Stunden melden.

Versicherungen prüfen die Lieferkette

Große Auftraggeber verlangen von Zulieferern Sicherheitszertifikate wie die ISO 27001 oder Versicherungsnachweise. Die ISO-Zertifizierung gilt als Standard für ein Informationssicherheits-Managementsystem (ISMS). Es sichert die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.

Die Versicherer reagieren auf eine neue Bedrohungslage. Seit Frühjahr 2026 ist bekannt: KI-Modelle entdecken jahrzehntealte Schwachstellen innerhalb von Minuten statt Monaten. Das schafft eine Informationsasymmetrie. Versicherer stützen sich nicht mehr auf historische Daten, sondern verlangen kontinuierliche Kontrollen – etwa zur Patch-Latenz, Identitätshygiene und Netzwerksegmentierung.

Grenzen des Privatschutzes bei Deepfakes

Auch privat wird der Schutz schwieriger. Das Amtsgericht Bernau (Az.: 10 C 212/25) zeigte die Grenzen auf. Eine Hausratversicherung lehnte die Regulierung eines Schadens von knapp 2.000 Euro ab. Die Versicherte hatte IBAN- und Kreditkartendaten in einem Chatraum preisgegeben. Das Gericht entschied: Diese Daten sind keine vertraulichen Zugangsdaten. Zudem hatte die Nutzerin die Zahlung in einer Banking-App selbst bestätigt.

Bei Deepfakes bieten private Cyber-Versicherungen Hilfe bei der Löschung von Inhalten an. Die Leistungen sind aber begrenzt. Die Erstattung ist gedeckelt und setzt eine konkrete Rechtsverletzung sowie einen nachweisbaren Schaden voraus. Das schädigende Ereignis darf nicht vor Vertragsabschluss bekannt gewesen sein.

97 Prozent der Großunternehmen meldeten Cybervorfälle

Anzeige: 97 % der Großunternehmen meldeten im letzten Jahr Cybervorfälle – über 60 % sogar sechs oder mehr. Wer seine Lieferkette nicht absichert, riskiert den Versicherungsschutz. Unser Report zeigt, wie Sie mit ISO-27001-Zertifizierung und Muster-Meldeverfahren die neuen Audits bestehen. NIS2-Report mit ISO-27001-Leitfaden sichern

Die Dringlichkeit zeigt eine Deloitte-Studie unter Führungskräften im DACH-Raum. 97 Prozent der befragten Großunternehmen mit mehr als 1.000 Mitarbeitern meldeten im vergangenen Jahr mindestens einen Cybervorfall. Über 60 Prozent verzeichneten sechs oder mehr Angriffe. Die größten Sorgen: Datenverlust, Phishing und Ransomware.

Die Folge: Rund 67 Prozent der Unternehmen planen, ihre Ausgaben für Cybersicherheit zu erhöhen. Der Fokus verschiebt sich von reiner Prävention hin zur Resilienz. Ziel ist, die Handlungsfähigkeit im Ernstfall zu sichern.

In den kommenden Tagen thematisieren Fachveranstaltungen von KPMG und G DATA die praktischen Anforderungen an das Meldewesen und den Aufbau proaktiver Sicherheitsarchitekturen. Unternehmen sollen so die Vorgaben von EU AI Act und NIS2 umsetzen können.

de | wirtschaft | 69487082 |