Seit mehreren Jahren in Folge nehmen IT-Sicherheitsbedrohungen durchweg einen Platz unter den drei größten globalen Wirtschaftsrisiken ein (Allianz Risikobarometer). Im Jahr 2022 rangierten Cyber-Angriffe zusammen mit Betriebsunterbrechungen, die häufig auch durch Hackerangriffe verursacht werden, auf Platz eins und drei. Der jährliche Schaden, der der deutschen Wirtschaft durch Cyberangriffe, Datendiebstahl, Erpressung, Spionage und Sabotage entsteht, beläuft sich dabei auf 203 Milliarden Euro (Bitkom).
Mit Blick auf den aktuellen Stand der IT-Sicherheitslage Deutschlands fällt jedoch ein Paradoxon auf. Trotz einer Bitkom-Umfrage aus dem Jahr 2022, die ergab, dass über 90 Prozent der befragten Unternehmen Cyberangriffe erlebt haben oder einen Verdacht auf solche Vorfälle hatten, wird die Bedrohungslage von Unternehmen auffällig unterschätzt oder ignoriert. Erstaunlicherweise nehmen weniger als 40 Prozent der Befragten eine zunehmende Cyberbedrohung für ihre eigene Geschäftstätigkeit wahr (GDV, 2022).
Auch seitens der Politik wurde die prekäre IT-Sicherheitslage erkannt. So wurde die Europäische Richtlinie zur Netz- und Informationssicherheit (NIS) zur Stärkung der europaweiten Cyber-Resilienz aus dem Jahr 2016 verschärft und ausgeweitet, da bisherige Maßnahmen kaum Effekte zeigten. Die Richtlinie zielt darauf ab, die Cybersicherheit in den Mitgliedstaaten der Europäischen Union (EU) durch die neuen Vorgaben zu verbessern und nun zusätzlich zu den kritischen auch die wichtigen Infrastrukturen zu stabilisieren und gegen Gefahren auf IT-Systeme zu schützen.
Schlüsselpunkte und Implikationen der NIS-2-Richtlinie
Die NIS-2-Richtlinie sieht für Unternehmen einen obligatorischen Cyber-Sicherheits-Katalog vor, durch welchen neue Mindeststandards für die IT-Sicherheit eingeführt werden. Die Maßnahmen, die die einzelnen EU-Mitgliedsstaaten in nationales Recht übertragen und anschließend von den Unternehmen umgesetzt werden müssen, umfassen unter anderem Risikobewertungen der IT-Infrastruktur, ein funktionales und strukturiertes Krisenmanagement, die Sicherung von Geschäftsabläufen und Zugängen sowie präventive Maßnahmen, zum Beispiel in Form von IT-Sicherheitsschulungen.
Die NIS-2-Richtlinie erweitert dabei den Anwendungsbereich von "wesentlichen" Sektoren wie der Energie, dem Gesundheitswesen sowie Banken und Finanzmärkte auch auf "wichtige" Sektoren wie die Abfallwirtschaft, Postdienste und Lebensmittel. Darüber hinaus wurde die sogenannte Size-Cap-Regel eingeführt, nach der Unternehmen mit mehr als 50 Mitarbeiterinnen und Mitarbeitern, einer Jahresbilanz von mehr als zehn Millionen Euro, die in kritischen oder wichtigen Sektoren tätig sind, die Cyber-Sicherheitsanforderungen einhalten müssen.
Auswirkungen der neuen Richtlinie auf Versicherungsunternehmen und Banken
Auch Versicherungsunternehmen und Banken fallen in die Kategorie der wesentlichen Sektoren und sind demzufolge von der Richtlinie betroffen. Institute werden folglich ihre Risikomanagementstrategien und IT-Sicherheitsmaßnahmen neu bewerten müssen, um den Anforderungen der NIS-2-Richtlinie gerecht zu werden. Dabei ist mit höheren Investitionen zu rechnen: finanziell, personell und prozessual.
Die Nichteinhaltung der Sicherheitsvorschriften kann zu Sanktionen und Bußgeldern führen. Unternehmen sind gut beraten, die Vorschriften ernst zu nehmen, um finanzielle Auswirkungen zu vermeiden. Laut einem ersten Entwurf sieht der Gesetzgeber beispielsweise Strafen von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes für Unternehmen des kritischen Sektors vor. Es ist zusätzlich von einem Haftungsrisiko für die Geschäftsführung auszugehen.
Cyber-Versicherungen werden immer gefragter
Versicherungsunternehmen sind jedoch auch mittelbar von den neuen Regularien der IT-Sicherheit betroffen. Es ist mit einer steigenden Nachfrage an Cyberversicherungen sowie an Beratungsdienstleistungen zu rechnen. Unternehmen suchen nach Fachwissen, um die Komplexität der NIS-2-Richtlinie zu bewältigen und die immer größer werdenden Informationssicherheitsrisiken zu managen.
Gleichzeitig sehen sich Vermittler mit strengeren Compliance-Anforderungen konfrontiert. Dazu zählen die Umsetzung von Informationssicherheitsmaßnahmen und die regelmäßige Bewertung von Risiken. Es bieten sich Möglichkeiten für eine engere Zusammenarbeit zwischen Versicherungsunternehmen und Anbietern von IT-Sicherheitsdienstleistungen, um die Versicherungsnehmer bei der Erfüllung der Anforderungen der Richtlinie zu unterstützen, Risiken zu minimieren und Versicherbarkeit herzustellen.
Fazit
Die NIS-2-Richtline wird spürbare Auswirkungen auf die Banken- und Versicherungsbranche haben. Compliance-Anforderungen, höhere Kosten, Änderungen der Versicherungspolicen und eine steigende Nachfrage nach Cyber-Versicherungen sind einige der wichtigsten Auswirkungen. Um die Anforderungen zu erfüllen und mit den Entwicklungen Schritt zu halten, müssen sowohl Institute als auch die jeweiligen Vermittler über die neuesten Vorschriften informiert bleiben, in Informationssicherheitsmaßnahmen investieren und ihre Dienstleistungen an die sich ändernden Bedürfnisse ihrer Kunden sowie an politische Anforderungen anpassen.
Autor(en): Michael Horchler
