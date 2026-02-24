KMU-Geschäftsführer haften seit Dezember 2025 persönlich für Cybersicherheitsmängel. Was das für Versicherungsschutz und Makler bedeutet, erklärt Baobab-Manager John Braun.

Die NIS-2-Richtlinie (in Kraft seit Dezember 2025) verschärft die Cybersicherheitsanforderungen für viele kleine und mittlere Unternehmen, insbesondere in systemrelevanten Branchen.

Der 6. Dezember 2025 markierte einen Wendepunkt für die deutsche Wirtschaft. Mit dem Inkrafttreten des „NIS2“-Umsetzungsgesetzes (zweite Richtlinie zur Sicherung von N etz- und I nformationssystemen) ist digitale Sicherheit zur Chefsache geworden – und das mit einer gesetzlichen Wucht, die viele kleine und mittlere Unternehmen (KMU) noch immer unterschätzen.

Es fallen rund 29.500 Unternehmen aus 18 Sektoren unter die verschärften EU-weiten Richtlinien. Der Anwendungsbereich ist dabei enorm ausgeweitet worden und reicht von der Abfallwirtschaft bis zur Produktionsindustrie. Welche Folgen dies in der Praxis hat, sehe ich in meiner täglichen Arbeit. Neben den Unternehmen haben leider auch die Maklerbetreuer ihrer Versicherer die Tragweite noch nicht voll erfasst. Denn es geht hier nicht um eine bloße bürokratische Hürde, sondern um eine fundamentale Neubewertung von Cybersicherheit und Versicherungsschutz.

Der ausgeweitete Betroffenenkreis: Die Lieferkette als Falle

Unmittelbar betroffen sind Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von über zehn Millionen Euro innerhalb der definierten Sektoren. „NIS2“ verpflichtet regulierte Unternehmen auch die Sicherheit ihrer Zulieferer und Dienstleister zu gewährleisten.

Das bedeutet: Im Rahmen der Risikoanalyse muss geprüft werden, ob die Lieferkette die technischen Mindeststandards der Richtlinie einhält. Kommt es beispielsweise zu einem Cyberangriff über die Schnittstelle eines unzureichend gesicherten Dienstleisters, muss die Geschäftsführung nachweisen, dass dieser sorgfältig geprüft wurde. Gelingt dieser Nachweis nicht, haftet sie persönlich.

Wichtig für Makler: Auch wenn Maklerbetriebe selbst selten direkt unter die Schwellenwerte fallen, werden sie als Dienstleister über den Lieferkettenzusatz zum Gegenstand von Audits. Wer als Dienstleister Zugriff auf hochsensible Kundendaten hat, muss künftig detaillierte Nachweise über die eigene IT-Sicherheit erbringen. Die „NIS2“-pflichtigen Kunden werden diese Nachweise einfordern – wer sie nicht liefert, fliegt aus der Lieferkette.

Die Realität im Mittelstand: Die MFA-Lücke

Im Detail fordert die Richtlinie zehn Mindestmaßnahmen, die den aktuellen Stand der Technik widerspiegeln. Dazu gehören Risikoanalysen, Back-up-Management und – ganz entscheidend – der Einsatz der Multi-Faktor-Authentifizierung (MFA).

Während Großkonzerne hier meist gut aufgestellt sind, offenbart unsere interne Analyse im KMU-Bereich ein erschreckendes Bild: Bei Unternehmen bis zehn Millionen Euro Umsatz verfügen 52 Prozent über keinerlei MFA. Selbst bei größeren Mittelständlern mit bis zu 50 Millionen Euro Umsatz verzichten noch immer rund 46 Prozent auf diesen Basisschutz. Problem: Es gibt für die „NIS2“ keine Übergangsfristen. Wer seit dem 6. Dezember die Mindestanforderungen nicht erfüllt, handelt rechtswidrig.

Haftung wird zur Chefsache

Das Management steht unter „NIS2“ persönlich in der Pflicht. Die Geschäftsführung muss die Cybersicherheitsmaßnahmen nicht nur absegnen, sondern ihre Umsetzung aktiv überwachen. Bei schuldhaften Verstößen haften Geschäftsführer jetzt unmittelbar mit ihrem Privatvermögen. Hinzu kommen Bußgelder von bis zu zehn Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes sowie das Risiko eines Berufsverbots oder des Entzugs der Betriebsgenehmigung.

Meine klare Warnung lautet daher: Wer sich als Unternehmen monatelang auf dem Status quo ausruht und beispielsweise die MFA-Einführung verschleppt, setzt seinen Versicherungsschutz aufs Spiel. Im Ernstfall könnte der Versicherer die Leistung verweigern, weil gesetzliche Pflichten wissentlich über mehrere Monate hin missachtet wurden.

Klar ist, dass die Einführung von MFA ein umfangreiches Projekt ist, das sich nicht über Nacht umsetzen lässt. Umso wichtiger ist es, den Projektstart sofort einzuleiten, sauber zu dokumentieren und den Versicherer proaktiv über den Umsetzungsstand zu informieren – idealerweise mit dem Ziel, das MFA-Einführungsprojekt als vorübergehende Risikoerhöhung vertraglich abzusichern.

Die Gefahr für den Versicherungsschutz

Auch an anderer Stelle rückt der Versicherungsmakler ins Zentrum. Nach dem BGH-Sachwalter-Urteil gehört zu senen Aufgaben als Makler treuhänderischer Sachwalter seines Kunden eine proaktive Aufklärungs- und Obhutspflicht. Sollte sich das Risikoprofil eines Kundenunternehmens durch die „NIS2“ fundamental ändern, darf er nicht warten, bis das Telefon klingelt.

Makler müssen jetzt umgehend prüfen: Ist der Kunde betroffen? Und hält er die Pflichten ein? Das Problem liegt im Kleingedruckten der Bestandsverträge. Die meisten Cyberpolicen enthalten Klauseln zur Einhaltung gesetzlicher Sicherheitsvorschriften. Da die „NIS2 “ nun Gesetz ist, werden die zehn Mindeststandards zur Obliegenheit.

Die Rolle von Cyberversicherungen

Die „NIS2“ zwingt auch die Versicherer zu einer neuen Positionierung: Wer heute nur entschädigt, statt durch Prävention bei der Einhaltung der neuen Pflichten zu unterstützen, verliert den Anschluss. Moderne Anbieter positionieren sich daher als strategischer Partner, die KMUs dabei helfen, das erforderliche regulatorische Niveau zu erreichen.

Das geschieht, indem Versicherer ihren Kunden handfeste Mehrwerte bieten: Angriffsoberflächen-Scans identifizieren Sicherheitslücken, bevor sie zum meldepflichtigen Vorfall werden und digitale Schulungen decken die gesetzlich geforderte Mitarbeitersensibilisierung ab. Besonders bei den engen Meldefristen der „NIS2“ (24-Stunden-Warnung) wird das Krisenmanagement der Versicherer zur Existenzversicherung für das Management.

Für Makler wird die Auswahl des Anbieters damit zur Qualitätsfrage: Favorisiert werden sollten jene, die bei den neuen Sicherheitsanforderungen direkt mitliefern. So sinkt das Risiko für alle Beteiligten – und die Regelkonformität wird vom Hindernis zum Standard.

Aus regulatorischen Zwang einen Wettbewerbsvorteil machen

Auch wenn die „NIS2“ im ersten Moment nach einem bürokratischen Zwang klingt, ist es die Umsetzung auch eine echte Chance. Angesichts von über 8.148 Ransomware-Attacken im vergangenen Jahr, einem Plus von 33 Prozent zum Vorjahr, ist eine Professionalisierung der IT-Sicherheit alternativlos.

Wenn Unternehmen, Makler und Versicherer am gleichen Strang ziehen, kann aus der regulatorischen Pflicht jedoch auch ein echter Wettbewerbsvorteil werden. Denn am Ende profitieren alle von einem Markt, der gegen professionelle Angreifer wirklich widerstandsfähig ist. Wer jedoch weiter wartet, für den kann es persönlich teuer werden.