NIS-2-Richtlinie: Das müssen Versicherer wissen

Im Interview mit Helmut Brechtken erfahren wir, was Versicherer bei der NIS 2 beachten müssen.

Typ:
Blogartikel
Rubrik:
Recht & Compliance
Themen:
Recht Cybercrime Compliance
NIS-2-Richtlinie: Das müssen Versicherer wissen

Die NIS-2-Richtlinie verpflichtet Unternehmen, Cybersicherheit als Compliance-Thema zu behandeln und von der Geschäftsleitung überwachen zu lassen. Auf die Branche kommen folglich neue Pflichten zu. Im Interview mit Helmut Brechtken, Partner und Head of Digital Forensic Incident Response bei Deloitte, erfahren wir, welche neuen Herausforderungen NIS-2 mit sich bringt.    

Welche besonderen Herausforderungen bringt die NIS-2-Richtlinie für Versicherungen mit sich, insbesondere in Bezug auf IT-Sicherheit und Compliance?  

Helmut Brechtken: Versicherungen sollten – als Unternehmen in einem stark regulierten Sektor (MaRisk von 2005, 1. BSI-Gesetz von 2009, 1. IT-Sicherheitsgesetz von 2015, aktuell DORA) – und aufgrund (meist) kritischer Infrastrukturen schon relativ gut entwickelt sein und haben die Themen Cyber Security und Compliance im Blick. Dennoch kommen auch für Versicherungen mit NIS 2 zusätzliche Aspekte, die berücksichtigt werden sollten: Z. B. konkret persönliche Haftung und kontinuierliche Schulungen für die Geschäftsleitung, weitere Erfordernisse für das Risikomanagement bezüglich Cyber Incidents, sehr konkrete technische Vorgaben (z. B. Multi-Faktor-Authentifizierung - MFA) und aber auch Themen wie das Bußgeldregime. All diese Aspekte sind – zumindest als gesetzliche Vorgabe – neu und sollten von den Versicherungsunternehmen gründlich evaluiert werden. 

Welche rechtlichen Risiken entstehen für Unternehmen, die die technischen Anforderungen der NIS-2 nicht vollständig umsetzen können?  

Helmut Brechtken: Bei Nicht-Compliance drohen empfindliche Bußgelder. Für besonders wichtige Einrichtungen können das bis zehn Millionen Euro oder zwei Prozent des globalen jährlichen Gruppenumsatzes (für wichtige Einrichtungen bis 1,4 Prozent) sein – analog wie im Kartellrecht oder der DSGVO. Diese hohen potenziellen Strafen stellen ein erhebliches Risiko dar und sollten daher gründlich betrachtet werden. Es existieren allerdings im aktuellen Gesetzentwurf Öffnungsklauseln, die die Umsetzungsmöglichkeit der regulatorischen Vorgaben in eine Relation stellen zur wirtschaftlichen Leistungsfähigkeit der betroffenen Unternehmen. Allerdings gibt es zur Anwendung bzw. Auslegung dieser Klauseln bisher noch keine mir bekannten Erfahrungswerte. 

Wie müssen sich Unternehmen auf die Meldepflichten und die Bußgeldvorschriften der NIS-2 einstellen, um rechtliche Konsequenzen zu vermeiden?  

Helmut Brechtken: Die Meldepflichten sind für die Versicherungsbranche nicht neu, da sie bereits aus dem IT-Sicherheitsgesetz 1.0 von 2015 bekannt sind. Die Gegenstelle für Meldungen bezüglich relevanter IT-Sicherheitsvorfälle ist und bleibt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Einzig die Fristen für Meldungen sollten überprüft und ggfs. an die neuen Vorgaben angepasst werden.  

Welche Synergien ergeben sich für Unternehmen, die sowohl von der NIS-2-Richtlinie als auch von DORA betroffen sind? Wie können diese Regelwerke effizient miteinander kombiniert werden?  

Helmut Brechtken: Es gibt tatsächlich Synergien zwischen DORA und NIS-2, die sinnvoll genutzt werden können. Während der Fokus bei DORA auf der Resilienz in den Prozessen liegt, können Versicherungen von einer erfolgreich eingeführten DORA-Implementierung ebenfalls im Kontext NIS-2 profitieren, da Cyber Incidents wie Ransomware-Angriffe in der Regel die IT-Infrastruktur stören oder ausschalten. Hier helfen gut eingeführte DORA-Maßnahmen, den Geschäftsbetrieb aufrecht zu halten, während gleichzeitig der Cyber Incident abgewehrt oder aufgearbeitet wird. Insgesamt ist davon auszugehen, dass eine erfolgreiche Umsetzung von DORA und NIS-2 zu einer Verbesserung des Cyber-Security-Niveaus führen wird (NIS-2) während durch DORA die Resilienz der Geschäftsprozesse verbessert wird.