Sie zahlen jeden Monat für eine D&O-Versicherung. Sie gehen davon aus, dass diese Sie schützt, wenn etwas schiefgeht. Im Fall eines NIS2-Verstoßes wird Ihre Versicherung mit sehr hoher Wahrscheinlichkeit nicht zahlen.
Das ist kein Worst-Case-Szenario. Das ist die aktuelle Einschätzung von Versicherungsexperten und Juristen. Und die Begründung ist so einfach wie brutal.
Das Grundproblem: Grobe Fahrlässigkeit
Jede D&O-Versicherung enthält einen Standardausschluss: Vorsatz und grobe Fahrlässigkeit sind nicht versicherbar. Das war schon immer so. Aber mit NIS2 bekommt dieser Ausschluss eine völlig neue Dimension.
NIS2 macht die Cybersicherheitspflichten des Geschäftsführers gesetzlich verbindlich. §38 BSIG regelt: Die Geschäftsleitung ist persönlich verantwortlich. Nicht die IT-Abteilung. Nicht der Dienstleister. Sie.
Wenn Sie als Geschäftsführer wissen — oder wissen müssten — dass Ihr Unternehmen unter NIS2 fällt, und Sie keine angemessenen Sicherheitsmaßnahmen implementiert haben, ist das in den Augen eines Versicherers keine unglückliche Verkettung von Umständen. Es ist Fahrlässigkeit.
Cyber-Ausschlussklauseln: Das Kleingedruckte
Über den generellen Fahrlässigkeitsausschluss hinaus enthalten viele D&O-Policen inzwischen explizite Cyber-Ausschlussklauseln. Der Grund: Die Versicherer haben aus den Ransomware-Wellen 2021-2023 gelernt.
Was diese Klauseln bedeuten: Schäden, die direkt oder indirekt aus Cybervorfällen resultieren, sind von der Deckung ausgenommen. Und hier liegt die Crux: Ein NIS2-Bußgeld resultiert per Definition aus einem Cybersicherheits-Versäumnis.
Wann Ihre D&O definitiv nicht zahlt
Die Branche ist sich einig: In folgenden Szenarien wird die Schadensregulierung verweigert:
Szenario 1: Sie wussten, dass Ihr Unternehmen unter NIS2 fällt, und haben keine Maßnahmen ergriffen. Bewertung: Grobe Fahrlässigkeit. Kein Versicherungsschutz.
Szenario 2: Sie haben die BSI-Registrierungsfrist verpasst und es ist ein Cybervorfall eingetreten. Bewertung: Der Versicherer argumentiert, dass eine rechtzeitige Registrierung und die damit verbundenen Maßnahmen den Schaden verhindert hätten. Kein Versicherungsschutz.
Szenario 3: Ihre IT-Sicherheitsmaßnahmen entsprechen nicht dem "Stand der Technik", wie §30 BSIG es fordert. Bewertung: Unterlassene Sorgfaltspflicht. Kein Versicherungsschutz.
Szenario 4: Sie können keine Dokumentation über implementierte Sicherheitsmaßnahmen vorlegen. Bewertung: Nachweis des Verschuldens durch Unterlassung. Kein Versicherungsschutz.
Was "Stand der Technik" bedeutet
Das Gesetz verlangt Maßnahmen nach dem "Stand der Technik." Das klingt vage, ist es aber nicht. §30 BSIG listet konkret auf:
- Risikoanalyse und Sicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen (Incident Response)
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Multi-Faktor-Authentifizierung
- Verschlüsselung
- Zugangskontrollen
- Vulnerability Management
Wenn Sie diese Maßnahmen nicht nachweislich implementiert haben, fehlt Ihnen der "Stand der Technik." Und damit fehlt Ihnen die Grundlage, um gegenüber Ihrem Versicherer zu argumentieren, dass Sie Ihre Pflichten erfüllt haben.
Die Privatvermögens-Frage
Stellen Sie sich folgendes Szenario vor: Ihr Unternehmen wird gehackt. Kundendaten werden gestohlen. Das BSI verhängt ein Bußgeld. Sie melden den Schaden bei Ihrer D&O-Versicherung.
Der Versicherer prüft: Waren Sie NIS2-registriert? Nein. Hatten Sie einen Incident Response Plan? Nein. Hatten Sie ein dokumentiertes Risikomanagement? Nein. MFA für alle Mitarbeiter? Nein.
Ergebnis: Ablehnung des Schadens wegen Fahrlässigkeit.
Das Bußgeld trifft Ihr Unternehmen. Aber die persönliche Haftung trifft Sie. Und "persönlich" bedeutet: Ihr Haus. Ihre Ersparnisse. Ihr Auto. Alles, was Ihnen gehört.
Was die Versicherungsbranche empfiehlt
Versicherungsexperten empfehlen Geschäftsführern drei Sofortmaßnahmen:
1. Police prüfen lassen. Beauftragen Sie Ihren Makler, Ihre D&O-Police explizit auf Cyber-Ausschlussklauseln und NIS2-bezogene Risiken zu prüfen. Bestehen Sie auf eine schriftliche Einschätzung.
2. Cyber-Versicherung abschließen. Eine D&O-Versicherung ist keine Cyber-Versicherung. Sie brauchen beides. Aber auch die Cyber-Versicherung verlangt inzwischen Nachweise über implementierte Sicherheitsmaßnahmen (siehe Artikel: "Cyber-Versicherung 2026").
3. NIS2-Compliance herstellen. Das ist die einzige Maßnahme, die Sie wirklich schützt. Nicht als Versicherung gegen Bußgelder — sondern als Nachweis, dass Sie Ihre Sorgfaltspflichten erfüllt haben. Im Schadensfall ist das der Unterschied zwischen "der Versicherer zahlt" und "Sie zahlen persönlich."
Die unbequeme Rechnung
Fragen Sie sich: Was kostet NIS2-Compliance? Und vergleichen Sie das mit: Was kostet ein Bußgeld von bis zu 10 Millionen Euro, das Sie persönlich tragen müssen, weil Ihre D&O nicht zahlt?
Die Antwort ist eindeutig. Und trotzdem sitzen tausende Geschäftsführer in Deutschland gerade da und hoffen, dass es sie nicht trifft.
Hoffnung ist keine Strategie.
Prüfen Sie Ihren NIS2-Status bevor Ihre Versicherung es tut. Kengo prüft Ihre IT in 60 Minuten. Kostenlos.
Bereit, Ihr Unternehmen autonom zu betreiben?
15 Minuten. Keine Verpflichtung. Kein Verkaufsdruck.
Gespräch vereinbaren →