Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen

Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

[datensicherheit.de, 10.04.2024] Der Gewerbeversicherungsmakler Finanzchef24 geht in einer aktuellen Stellungnahme zu Cyber-Versicherungen auf die Bedeutung der Zweiten Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) für Unternehmen ein und erläutert, dass auch kleine Unternehmen zunehmend unter Hacker-Angriffen zu leiden haben – diese aber grundsätzlich bessere Chancen hätten, überhaupt eine Police zu erhalten. Die Begründung laut Finanzchef24: „Bei Unternehmen mit über zehn Millionen Euro Umsatz wird mittlerweile rund jeder zweite Antrag wegen unzureichender IT-Sicherheit abgelehnt.“

Empfehlung zur Cyber-Versicherung, mit der sich Risiken modular versichern lassen

Ab Oktober 2024 könnte dann der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden, weil dann die NIS-2-Richtlinie endgültig in Kraft tritt. Grundsätzlich rät Finanzchef24 zu einer Cyber-Versicherung, mit der sich Risiken modular versichern ließen.

Deutlich günstiger und ebenfalls eine einfache Option könnten Schutzbriefe sein, welche im Ernstfall vor allem beratend Unterstützung böten. Weniger ratsam seien an die Betriebshaftplicht gekoppelte Zusatzverträge.

Foto: Finanzchef24

Payam Rezvanian rät zu regelmäßigen Stresstests und einem Notfallplan

Bei Verletzung der Cyber- bzw. IT-Sicherheit können CEO und IT-Leiter in die persönliche Haftung geraten

„Jedes Unternehmen sollte regelmäßig Stresstests durchführen und einen Notfallplan aufstellen“, so Payam Rezvanian, Mitglied der Geschäftsleitung bei Finanzchef24, in seinem Kommentar. Nach seinen Erfahrungen ist das Bewusstsein für das Thema grundsätzlich vorhanden – aber vielen kleinen Unternehmen falle der erste Schritt schwer. Unternehmen sollten daher zunächst kritische Prozesse und Risiken im Kerngeschäft quantifizieren.

„Zudem müssen gerade Geschäftsführer von kleineren Unternehmen begreifen, dass Informationssicherheit nicht nur eine Aufgabe der IT-Abteilung ist, sondern des Geschäftsführers“, betont Rezvanian. CEO und IT-Leiter könnten persönlich haftbar gemacht werden, wenn es zu ernsthaften Schäden kommt – „und wenn das Unternehmen weder eine Cyber-Versicherung abgeschlossen, noch sich adäquat geschützt hat“.

Foto: Finanzchef24

Frank Gottheil: Schadenfall durch TOM so weit wie möglich in die Zukunft verschieben und das Restrisiko an eine Cyber-Versicherung abgeben!

Pflichtprogramm für Cyber-Sicherheit: Tägliche Datensicherung und sinnvolle Rechteverwaltung

Kleinst- und Kleinunternehmen sollten daher einen Angebotsprozess für IT-Cyber-Versicherungen durchlaufen – um im Zuge dessen die Mindestanforderungen ins eigene Unternehmen übertragen. Einige Versicherer böten sogenannte Antragsmodelle an: Dort könnten Unternehmer Angaben zur eigenen IT-Sicherheit machen und prüfen, ob sie eine Versicherung erhalten würden. So werde einerseits verhindert, dass Anträge abgelehnt werden und andererseits erhalte das Unternehmen Hinweise auf wesentliche IT-Schwachstellen. Dies ebne den Weg für einen neuen Antrag mit verbesserter IT-Sicherheit.

Als Mindestvoraussetzung würden meist Kriterien gefordert wie die Frequenz der Datensicherung, Sicherheitstrainings für Mitarbeiter, Zwei-Faktor-Authentifizierung und ein angemessenes Konzept der Rechtevergabe. Frank Gottheil, „Senior-Firmenkundenberater“ bei Finanzchef24, erläutert: „Im Prinzip geht es beim Thema Cyber-Sicherheit darum, den Schadenfall durch technische und organisatorische Lösungen so weit wie möglich in die Zukunft zu verschieben und das Restrisiko an eine Cyber-Versicherung abzugeben.“

Cyber-Sicherheit: Kein einmaliges Projekt, sondern fortlaufender Prozess!

Versicherer setzten wegen der steigenden Schadenfälle Firewalls ebenso voraus wie einen aktuellen Stand der IT-Technik. Darüber hinaus passten Versicherer fortlaufend ihre Konditionen an. Neben oft steigenden Prämien, und niedrigeren Deckungssummen erhöhten sie sukzessive die generellen Anforderungen an die IT-Sicherheit.

Spätestens ab Oktober 2024 sei mit einer weiteren Verschärfung zu rechnen: Dann tritt in Deutschland die NIS-2-Richtlinie in Kraft. Bei Verstößen drohten Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. „Zwar gilt die Richtlinie nur für Unternehmen, die mehr als 50 Mitarbeiter beschäftigen, mehr als zehn Millionen Euro Umsatz erwirtschaften und in kritischen Wirtschaftsbereichen tätig sind. Allerdings kommen gesetzliche Vorgaben früher oder später in den Verträgen an“, betont Gottheil.

Kosten durch Betriebsunterbrechung in Folge einer Cyber-Attacke immens

Eine Cyber-Versicherung zu prüfen, lohnt laut Finanzchef24 nicht nur als erster Stresstest, sondern vor allem in Ernstfall: Diese übernehme im anerkannten Schadenfall die Kosten für die IT-Wiederherstellung, die Kundenkommunikation, Benachrichtigung der Kunden, Interessenten und Zulieferer sowie die Betriebsunterbrechung. „Im Schnitt dauert eine Betriebsunterbrechung nach einem schweren Hacker-Angriff drei bis sechs Wochen. In dieser Zeit fällt einerseits das Geschäft aus, anderseits laufen weiterhin die Fixkosten etwa für die Gehälter“, erläutert Gottheil.

Die Wiederherstellung der IT-Daten werde in der Regel mit 30 bis 50 Prozent des IT-Wertes angesetzt. Nicht zu unterschätzen seien die Benachrichtigungskosten: „Laut DSGVO sind Unternehmen nach einem Cyber-Angriff verpflichtet, alle betroffenen Personen zu benachrichtigen. Die Kosten dafür liegen bei 20 bis 40 Euro je personenbezogenem Datensatz.“ Hinzu kämen Kosten für die weitere Kommunikation wie Öffentlichkeitsarbeit, um mögliche Reputationsschäden zu minimieren. Immer weniger Versicherer seien indes bereit, für Lösegeldforderungen aufzukommen.

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen

datensicherheit.de, 11.11.2022
Cyber-Versicherungen decken kritische Risiken immer seltener ab / Geschäftsführung und Vorstand drängen indes immer häufiger auf den Abschluss einer Cyber-Versicherung

datensicherheit.de, 03.06.2020
Senkung des Restrisikos: Cyberversicherungen im Mittelstand / Steigende Komplexität der IT-Infrastruktur durch zunehmende Digitalisierung

datensicherheit.de, 30.09.2019
Cyber-Versicherung als digitaler Rettungsring im Ernstfall / Laut Cyber-Studie 2019 kennen nur 36% der Unternehmen den Umfang einer solchen Versicherung

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen / Abschluss einer Police ist nicht unbedingt einfach