LinkedIn DAS INVESTMENT
Suche
in AnalysenLesedauer: 5 Minuten
Headphones
Artikel hören
NIS, Kritis, Dora
Cyberregulierung: Diese Regeln gelten für Versicherungsvermittler
Die Audioversion dieses Artikels wurde künstlich erzeugt.

NIS, Kritis, Dora Cyberregulierung: Diese Regeln gelten für Versicherungsvermittler

Bildschirm bei einem Hackerangriff
Hackerangriff: Deutschland- und EU-weit gibt es immer mehr Cybersicherheits-Regulierung. Bestimmte Punkte betreffen auch Versicherungsvermittler. | Foto: Imago Images / Jan Eifert

Dora? NIS2? Kritis? Bei all diesen Abkürzungen handelt es sich um Regelwerke, die den digitalen Datenraum sicherer machen sollen. Spätestens seit Beginn des Ukrainekriegs, der eine neue Stufe geopolitischer Spannungen heraufbeschworen hat, ist das Thema Cybersicherheit europaweit auf die breitere Agenda gerückt.

„Kritis, NIS2 und Dora bilden ein äußerst komplexes Geflecht aus Regeln und Vorgaben“, sagt Stephan Michaelis, Chef der auf Vermittlerrecht spezialisierten Kanzlei Michaelis Rechtsanwälte. Michaelis weiß auch: Einige Cyber-Sicherheits-Regeln sind auch für Versicherungsvermittler relevant.

Die wichtigsten Cyber-Regelwerke im Überblick

  • Die europäische NIS-Richtlinie (Network and Information Security Directive) gibt es bereits seit 2016. Sie macht Vorgaben mit Blick auf die Cybersicherheit systemrelevanter Unternehmen und Institutionen. Sie soll sicherstellen, dass gesamtwirtschaftlich oder gesellschaftlich relevante Schlüsselstellen innerhalb der Europäischen Union ihren Betrieb auch im Fall von Cyberangriffen fortführen können. Die erste Fassung, NIS1, wurde 2022 durch NIS2 abgelöst. NIS2 (Richtlinie (EU) 2022/2557) soll bis Oktober 2024 in allen EU-Staaten in nationales Recht umgesetzt sein.
  • Das deutsche Gesetz Kritis, auch „KRITIS“ geschrieben, setzt unter anderem NSI II in deutsches Recht um. Darüber hinaus soll es bestehende Cyberregulierung harmonisieren und Maßnahmen zur Widerstandskraft und physischen Sicherheit kritischer Infrastruktur auf nationaler Ebene weiterentwickeln. Das Kritis-Gesetz liegt einstweilen erst im Entwurf vor.
  • Die europäische Verordnung Dora (Digital Operational Resilience Act) ist seit dem 17.Januar 2023 in Kraft (Verordnung (EU) 2022/2554). Ihrem Wesen als Verordnung gemäß muss sie nicht in nationales Recht umgesetzt werden, sondern ist unmittelbar in allen EU-Staaten gültig.

„Bereits beim ersten Blick in NIS2 und Dora wird klar, dass es sich um Regulierungen handelt, deren Umsetzung ohne Weiteres lediglich in sehr großen Unternehmensstrukturen mit IT-Spezialabteilungen und unter Aufwendung erheblicher finanzieller Ressourcen gelingen dürfte“, meint Michaelis. Gerade die Pflichten bei Risikomanagement, Governance, Systemaktualität und -sicherheit seien kompliziert zu erfüllen.

Cybersicherheits-Regulierung: Vermittlerbranche in Sorge 

Viele kleine Versicherungsvermittler machten sich Sorgen, dass ihre ohnehin stark regulierte Branche nun auch von NIS2 und Dora erfasst werden könnte, beobachtet der Rechtsanwalt. Hier möchte Michaelis jedoch beruhigen – zumindest in gewissem Umfang:

Von den Regeln des Kritis-Gesetzes sollen laut des Gesetzentwurfs nur solche Einrichtungen erfasst sein, die für die Gesamtversorgung in Deutschland essenziell sind und die mehr als 500.000 Personen versorgen. Im jüngst noch einmal angepassten Entwurf von Anfang Mai 2024 steht auch, dass die wesentlichen Pflichten, die sich aus der NIS2-Richtlinie ergeben, nicht für Finanzunternehmen im Sinne von Dora (Art. 2 Abs. 2) gelten sollen.

 

Über diesen Passus lässt sich stolpern. Denn die Dora-Verordnung definiert Versicherungsvermittler zwar grundsätzlich als eine Berufsgruppe, die von Dora erfasst ist. Allerdings gelten großzügige Ausnahmen: für kleine und mittelgroße Vermittlerbetriebe. Als solche definiert die Verordnung Versicherungsvertriebe, die weniger als 250 Personen beschäftigen und entweder maximal 50 Millionen Euro Jahresumsatz oder eine Jahresbilanzsumme von maximal 43 Millionen Euro haben.

1.200% Rendite in 20 Jahren?

Die besten ETFs und Fonds, aktuelle News und exklusive Personalien erhalten Sie in unserem Newsletter „DAS INVESTMENT Daily“. Kostenlos und direkt in Ihr Postfach.

„Es lässt sich also zunächst festhalten, dass auf ganz große Versicherungsmakler Dora mit der Konsequenz Anwendung findet, dass danebentretende Vorschriften aus NIS2 voraussichtlich nicht eingreifen werden“, resümiert Michaelis.

Und was ist mit den kleineren und mittleren Betrieben?       

Michaelis sieht klare Hinweise darauf, dass es sich bei Dora um ein sogenanntes sektorspezifisches Gesetz handelt – und NIS2 fordert, dass die Regeln dieser Richtlinie überall dort gelten sollen, wo sektorspezifischen Spezialregelungen nicht alle Einrichtungen oder Unternehmen erfassen, die auch von NIS2 erfasst worden wären.

Der Rechtsanwalt beruhigt jedoch: Theoretisch könnten also zwar auch mittlere Versicherungsvermittlerfirmen als wichtige Einrichtung im Sinne von NIS2 gelten. „Dies würde allerdings zweierlei voraussetzen. Nämlich eine Mitarbeiteranzahl von mindestens 50 Personen bei Umsatz und Jahresbilanzsumme von wenigstens 10 Millionen Euro sowie, dass Versicherungsvermittler in den Anlagen zu NIS2 und E-BSIG (Kritis-Gesetzentwurf, Anm. der Red.) als kritische Einrichtungen und Unternehmen aufgeführt sind“. Letzteres sei jedoch nicht der Fall.

Michaelis schlussfolgert, dass „eine Anwendung von NIS2 auf Versicherungsvermittler solange ausscheidet, wie diese nicht durch gesetzgeberische Entscheidung als kritisch eingestuft werden“. Dass dies in naher Zukunft noch geschehen könnte – davon geht der Rechtsanwalt nicht aus.

„Heute lässt sich also konstatieren, dass NIS2 für Sie, liebe Versicherungsmakler:innen, keine Rolle spielt. Dasselbe gilt für Dora, es sei denn, Sie gehören mit wenigstens 250 Beschäftigten zu den allergrößten Marktteilnehmern Ihrer Zunft“, schreibt Michaelis in einem aktuellen Newsletter an die Zielklientel seiner Kanzlei.

Als wichtigste Dora-Pflichten – die jedoch nur für sehr große Versicherungsvertriebe gelten – führt der Rechtsanwalt an:

  • weitgehende Cyber-Risikomanagementpflichten (Art. 5 ff. DORA), 
  • IT-Schutzpflichten (Art. 7 ff. DORA), 
  • Vorgaben zu Resilienz und Umgang mit Cybervorfällen (Art. 10 ff. DORA), 
  • Vorgaben zum regelmäßigen Test der eigenen IT-Systeme (Art. 24 ff. DORA) 
  • Regeln zur Bewertung von Risiken, die mit der Nutzung von Services dritter Parteien einhergehen (Art. 28 ff. DORA). 

Cybersicherheit ernst nehmen – unabhängig von Dora

Michaelis rät gleichzeitig: Auch Unternehmen, die nicht dem strengen Dora-Regelwerk unterfallen, sollten das Thema Cybersicherheit ernst nehmen, im eigenen Interesse. Sein Tipp für Vermittlerbetriebe aller Größen: Die Unternehmen sollten ihre unternehmenseigene IT-Sicherheit prüfen und eine geeignete Cyberversicherung abschließen.

Wie hat Ihnen der Artikel gefallen?

Danke für Ihre Bewertung
Leser bewerteten diesen Artikel durchschnittlich mit 0 Sternen
PDF nur für Sie. Weitergabe? Fragen Sie uns.