Der Makler als Risikonavigator von NIS-2

Die technische Basis: Die 10 Mindestanforderungen als „Stand der Technik“

Um den gesetzlichen Anforderungen zu entsprechen, müssen Unternehmen zehn technische und organisatorische Maßnahmen (TOMs) umsetzen, die nun als Stand der Technik definiert sind. Diese umfassen unter anderem eine fundierte Risikoanalyse, Konzepte zur Kryptografie und Verschlüsselung sowie ein striktes Identitäts- und Zugriffsschutzmanagement. Besonders kritisch bewerten Versicherer heute die Umsetzung der Multi-Faktor-Authentifizierung (MFA), ein zentrales Werkzeug zur Verhinderung von unbefugten Zugriffen. Werden diese Standards, die viele professionelle Betriebe ohnehin erfüllen sollten, vernachlässigt, droht nicht nur das regulatorische Aus, sondern auch der Verlust des Versicherungsschutzes.

Die Rolle des Maklers: Zwischen Beratungspflicht und Sachwalterurteil

In diesem regulatorischen Gefüge rückt die Haftungssituation des Maklers in den Fokus. Zwar dürfen sie keine Rechtsberatung leisten. Jedoch entsteht in dem Moment eine Aufklärungspflicht zur NIS-2, wenn die gesetzlichen Neuerungen das Risikoprofil ihrer Kunden verändern. Das historische Sachwalterurteil verpflichtet Vermittler, das versicherte Risiko ihrer Bestandskunden laufend zu überwachen. Da die NIS-2 die Anforderungen an die IT-Sicherheit massiv verschärft hat, ohne dass Bedingungszeilen in den Policen geändert werden mussten, hat sich das Risiko faktisch verschoben.

Makler müssen ihre Kunden so aufklären, dass sie die vertraglichen Verpflichtungen (§ 19 VVG) und die Konsequenzen grober Fahrlässigkeit (§ 81 VVG) verstehen. Werden NIS-2-Vorgaben im Antrag falsch dargestellt oder im Betrieb mangelhaft umgesetzt, steht der Kunde ohne Deckung da. In solchen Fällen riskiert der Makler, wegen Verletzung seiner Beratungspflicht selbst in Regress genommen zu werden. Im schlimmsten Fall muss das Maklerhaus den Kunden finanziell so stellen, als hätte die Cyberpolice geleistet.

Wenn Bestandsverträge zur Haftungsfalle werden

Bestandsverträge zu überprüfen ist jetzt unumgänglich. Da fast alle Cyberpolicen die „Einhaltung aller gesetzlichen Sicherheitsvorschriften“ als Obliegenheit fordern, wird die NIS-2-Compliance zur faktischen Deckungsvoraussetzung. Denn im schlimmsten Fall entfällt die Deckung. Das heißt, der Kunde zahlt zwar weiter die Versicherungsprämien, verliert aber aufgrund mangelhafter NIS-2-Einhaltung seinen Schutz.

Dies betrifft nicht nur die Cybersparte. In der D&O-Versicherung ist die Verknüpfung zur persönlichen Haftung der Geschäftsleitung besonders kritisch. Da Führungsorgane nun per Gesetz für die Überwachung der IT-Sicherheit verantwortlich sind, muss die D&O-Deckung exakt auf diese Szenarien abgestimmt sein. Auch in anderen Versicherungen wie der allgemeinen Haftpflichtversicherung können IT-Mängel, die gegen NIS-2-Standards verstoßen, zu Deckungslücken führen.

Was Makler jetzt tun sollten

Um den Wandel vom reinen Produktvermittler zum strategischen Risikoberater erfolgreich zu vollziehen und die eigene Haftung wirksam zu minimieren, sind für Makler nun vier operative Schritte unumgänglich:

1. Bestandsprüfung: Kundenstamm systematisch auf NIS-2-Betroffenheit analysieren – auch indirekt via Lieferkette.
2. Vertrags-Audit: Versicherungen wie Cyber-, D&O- und Haftpflichtverträge auf kritische Obliegenheitsklauseln prüfen.
3. Aktive Aufklärung: Mandanten schriftlich über die veränderten Anforderungen und die notwendige Anpassung des Versicherungsschutzes informieren.
4. Dokumentation: Die Beratung zur NIS-2 lückenlos protokollieren, um sich gegen spätere Regressansprüche abzusichern.

NIS-2 als strategische Chance für Makler

Die NIS-2 ist für den Makler weit mehr als eine bürokratische Hürde. Sie ist eine strategische Chance, seine Relevanz als Risikomanager zu beweisen. Wer daher jetzt proaktiv agiert, schützt nicht nur seine Mandanten vor dem Ruin, sondern auch das eigene Maklerhaus vor existenzbedrohenden Haftungsansprüchen.

Ein Gastbeitrag von John Braun, Head of Distribution bei Baobab Insurance