Der Makler als Risikonavigator von NIS-2
25.02.2026
John Braun, Head of Distribution bei Baobab Insurance Foto: © Baobab Insurance
Mit dem NIS-2-Umsetzungsgesetz, das am 6. Dezember 2025 in Kraft getreten ist, wurde die regulatorische Welt neu geordnet. Es sorgt dafür, dass Cybersicherheit heute weit mehr als IT-Angelegenheit ist. Vielmehr ist sie eine zentrale Managementaufgabe, die als fester Bestandteil der Unternehmensführung weitreichende Konsequenzen für Haftung und Strategie hat.
Auch für Versicherungsmakler entsteht dadurch eine neue Realität: Als strategische Sachwalter sind sie verpflichtet, ihre Mandanten durch das Dickicht aus gesetzlichen Anforderungen und Versicherungsobliegenheiten zu führen – oder sie riskieren, im Schadensfall selbst in die persönliche Haftung genommen zu werden.
Was die NIS-2 jetzt verlangt
Die NIS-2-Richtlinie verfolgt ein klares Ziel: Die digitale Widerstandsfähigkeit der europäischen Wirtschaft zu steigern. Dabei rückt das Gesetz die Führungsebene direkt in das Zentrum der Verantwortung. Ab sofort muss die Geschäftsführung die Sicherheitsmaßnahmen nicht nur absegnen, sondern ihre Umsetzung aktiv überwachen. Sie ohne Kontrollinstanz an die IT-Abteilung zu delegieren, reicht nicht mehr aus. Zudem sind Geschäftsführer und Vorstände nun gesetzlich verpflichtet, regelmäßig an Schulungen teilzunehmen.
Besonders brisant: Bei Pflichtverletzungen haften die Leitungsorgane gegenüber dem Unternehmen persönlich mit ihrem Privatvermögen. Ein Haftungsverzicht oder eine Freistellung durch die Gesellschaft ist für diese Fälle gesetzlich ausgeschlossen. Flankiert wird diese Verantwortung durch ein striktes Meldesystem. Im Falle eines Sicherheitsvorfalls greift ein dreistufiges Verfahren: Eine erste Frühwarnung muss innerhalb von 24 Stunden an das BSI erfolgen, gefolgt von einer detaillierten Meldung nach 72 Stunden und einem finalen Abschlussbericht innerhalb eines Monats. Wer diese Fristen versäumt, riskiert nicht nur Bußgelder in Millionenhöhe, sondern auch den behördlich angeordneten Stopp des Betriebs oder gar den Ausschluss des Managements von seiner Funktion.
Die Lieferkette als Beschleuniger
Unmittelbar betroffen sind Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanz von über 10 Millionen Euro in 18 definierten Sektoren. Doch die wahre Tragweite der NIS-2 liegt in der gesetzlichen Pflicht zur Sicherung der Lieferkette (§ 30 Abs. 2 Nr. 4 BSIG). Regulierte Unternehmen müssen die Cybersicherheit ihrer Zulieferer prüfen und vertraglich absichern.
Dies betrifft Versicherungsmakler doppelt: Einerseits müssen sie ihre Mandanten auf diesen Multiplikatoreffekt hinweisen, da kleinere Zulieferer ohne NIS-2-Compliance Gefahr laufen, aus Lieferketten gestrichen zu werden. Andererseits stehen Maklerhäuser als Dienstleister mit Zugriff auf sensible Kundendaten selbst im Fokus von Lieferketten-Audits ihrer Kunden. Standards einzuhalten, wird somit zur Voraussetzung für die eigene Mandatssicherung.
R+V setzt ertragreichen Wachstumskurs fort
