Bin ich von NIS2 betroffen und was bedeutet dies versicherungstechnisch für mich?

Die „Network and Information Security Directive 2“ (NIS2) ist eine europäische Rechtsvorschrift, die sich auf die Cybersicherheit und den Schutz kritischer Infrastrukturen in der EU konzentriert. Aufbauend auf der ursprünglichen NIS-Richtlinie aus 2016 zielt sie darauf ab, die Resilienz der Mitgliedstaaten zur Bewältigung von Cybersicherheitsbedrohungen zu erhöhen.

Die NIS2-Richtlinie betrifft Unternehmen mit mehr als zehn Millionen Euro Jahresumsatz sowie mehr als 50 Mitarbeiter/innen aus sogenannten kritischen Industrien sowie Industrien mit erhöhter Kritikalität.
 

Zu den betroffenen Firmen zählen:

• „Wesentliche Einrichtungen“ – das sind u.a. Unternehmen in den Sektoren: Energie, Verkehr, Banken, Gesundheitswesen, digitale Infrastruktur, Cloud-Dienste aber auch Online-Marktplätze und 
• „Wichtige Einrichtungen“ (z.B. Post, Lebensmittel, Produktion), sofern sie die oben genannten Kriterien erfüllen. 

Wesentliche Einrichtungen werden regelmäßig und gezielten Sicherheitsprüfungen sowie Stichprobenkontrollen unterzogen („ex-ante“). Bei wichtigen Einrichtungen erfolgen Überprüfungen nur bei begründetem Verdacht („ex-post“). 

Die NIS2-Richtlinie fordert technische und organisatorische Maßnahmen (TOM) gemäß dem sogenannten „Stand der Technik“. Durch ein strukturiertes Risikomanagement können Unternehmen potenzielle Bedrohungen und Schwachstellen in ihren Netz- und Informationssystemen frühzeitig erkennen.

Verstöße werden entsprechend den einzelstaatlichen gesetzlichen Vorgaben sanktioniert. Diese sind von den Mitgliedstaaten wirksam, verhältnismäßig und abschreckend auszugestalten. Der Strafrahmen wird für wesentliche Einrichtungen mit einem Höchstbetrag von mindestens 10 Mio. Euro oder 2 % des weltweiten Umsatzes – je nachdem, welcher Betrag höher ist – begrenzt. Bei wichtigen Einrichtungen sind 7 Mio. Euro oder 1,4 % des Gesamtjahresumsatzes an Strafe vorgesehen.

Eine gute Cyberversicherung beinhaltet in der Regel ein Assistance-Paket, das sofortige professionelle Unterstützung zur Minderung und Abwendung des Cyberschadens erhält. Dies ist ein erheblicher Vorteil und eine maximale Unterstützung bei der Schadenreduktion. Wenn ich mich mit diesen Themen als Manager zu wenig auseinandergesetzt habe, wird mich möglicherweise der Eigentümer für den Schaden haftbar machen. In diesem Fall schützt eine gute D&O-Versicherung.

Haben Sie Fragen zu diesem Thema? Unsere Kundenbetreuer/innen beraten Sie gerne.