KRITIS, NIS2 und DORA: Sind Versicherungsvermittler ein Teil kritischer Finanz-Infrastruktur?

Die weltweite Corona-Pandemie und der für Europa verheerende Ukraine-Konflikt haben die Fragilität globaler Lieferketten und die Anfälligkeit kritischer Infrastrukturen aufgedeckt. Spätestens die durch den Ukraine-Konflikt ausgelöste Energiekrise hat Bevölkerung und Politik gleichermaßen aufgerüttelt. Infolge des nun geschärften Bewusstseins für die Erforderlichkeit des gesteigerten Schutzes kritischer Infrastruktur jeder Art, haben auch die politischen Initiativen, das diesbezügliche Schutzniveau zu erhöhen, stark zugenommen.

Social networkSocial networkalphaspirit – stock.adobe.com

Im Eindruck der gerade erst überwundenen Energiekrise und im Sommer der sportlichen Großveranstaltungen – Europameisterschaft und Olympia folgen bekanntlich unmittelbar aufeinander – steht vor allem der Schutz physischer Infrastruktur im Fokus der politischen Öffentlichkeit. So kommt es auch, dass Bundesinnenministerin Faeser bemüht ist, die mit dem Entwurf des sogenannten KRITIS-Dachgesetz („KRITIS“) geplante Konsolidierung und Weiterentwicklung von Regulierungen hinsichtlich von Resilienz und physischer Sicherheit kritischer Infrastruktur zu beschleunigen. Der Anwendungsbereich von KRITIS soll nach dem vorliegenden Referentenentwurf erst eröffnet sein, wenn eine Einrichtung für die Gesamtversorgung in Deutschland essenziell ist und mehr als 500.000 Personen versorgt. Damit dürfte KRITIS für Versicherungsmakler keine Rolle spielen.

Neben KRITIS treten aber auch die jüngsten Regelungen der Europäischen Union zur Cybersicherheit. In der Retrospektive erscheint es geradezu avantgardistisch, dass die EU bereits in 2016 mit der Network and Information Security Directive (NIS1-Richtlinie) Regeln und Vorgaben für die Cybersicherheit besonders systemrelevanter Unternehmen und Institutionen eingeführt hat. Zwischenzeitlich hat die EU ihre Vorgaben zur Cybersicherheit verschärft und deren Anwendungsbereich spürbar erweitert. NIS1 wird durch die NIS2-Richtlinie, die bis Oktober 2024 in nationales Recht umgesetzt sein muss, erweitert. Daneben tritt der ab 2025 unmittelbar auch in Deutschland geltende Digital Operational Resilience Act (DORA).

Wechselwirkungen zwischen DORA und NIS2

KRITIS, NIS2 und DORA bilden ein äußerst komplexes Geflecht aus Regeln und Vorgaben. Für den durchschnittlichen Unternehmer ist es bereits schwierig, Reglungstechnik und Anwendungsbereich zu begreifen. Noch größer dürfte allerdings bei Betroffenheit die Herausforderung sein, die in den europäischen Vorgaben enthaltenen Pflichten im Bereich Risikomanagement, Governance, Systemaktualität und -sicherheit zu verwirklichen. Bereits beim ersten Blick in NIS2 und DORA wird klar, dass es sich um Regulierungen handelt, deren Umsetzung ohne weiteres lediglich in sehr großen Unternehmensstrukturen mit IT-Spezialabteilungen und unter Aufwendung erheblicher finanzieller Ressourcen gelingen dürfte. Entsprechend groß ist die Besorgnis im Kreis der Versicherungsvermittler, dass die ohnehin schon stark regulierte Vermittlerbranche, in den pflichtenauslösenden Anwendungsbereich von NIS2 und DORA fällt.

Der aktuelle Referentenentwurf zur Umsetzung von NIS2 sieht in § 28 Abs. 5 Nr. 1 des Entwurfs des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (E-BSIG) vor, dass die wesentlichen Rechtspflichten aus NIS2 nicht für Finanzunternehmen im Sinne von Art. 2 Abs. 2 DORA gelten. Gem. Art. 2 Abs. 2 i.V.m. Art. 1 lit. o) DORA handelt es sich bei Versicherungsvermittlern um Finanzunternehmen im Sinne von DORA. So sahen die Pläne der EU ursprünglich vor, Versicherungsvermittler umfassend im Sinne von DORA zu verpflichten.

Hiergegen intervenierte die europäische Vereinigung von Finanz- und Versicherungsvermittlern (BIPAR) erfolgreich (vgl. EG 39 DORA). Die Regelungen aus DORA finden nun gem. Art. 2 Abs. 3 lit. e) DORA auf Versicherungsvermittler, die den Umfang eines „mittleren Unternehmens“ nicht überschreiten, keine Anwendung. Ein mittleres Unternehmen liegt nach Art. 3 Nr. 64 DORA vor, solange weniger als 250 Personen beschäftigt sind und entweder der Jahresumsatz € 50 Millionen oder die Jahresbilanzsumme € 43 Millionen nicht überschreitet. Es lässt sich also zunächst festhalten, dass auf ganz große Versicherungsmakler DORA mit der Konsequenz Anwendung findet, dass danebentretende Vorschriften aus NIS2 voraussichtlich nicht eingreifen werden.

Keine Anwendung von NIS2 und DORA auf kleine oder mittlere Maker

Fraglich ist, ob NIS2 subsidiär für kleine und mittlere Makler Anwendung findet. Der in § 28 Abs. 5 Nr. 1 E-BSIG normierte Ausschluss für Finanzunternehmen im Sinne von DORA differenziert gerade nicht danach, ob die Finanzunternehmen nach DORA Pflichten unterliegen oder innerhalb der Verordnung wieder vom Pflichtenkanon ausgenommen sind. Es wird einzig an die Begriffsdefinition des Art. 2 Abs. 2 DORA angeknüpft. Hierin ist die Wertung zu erkennen, dass es sich bei DORA um sektorspezifisches lex specialis gegenüber NIS2 handelt. Dieser Befund wird auch ausdrücklich in der Begründung des vorliegenden Referentenentwurfs bestätigt (vgl. Referentenentwurf, S. 145). Dass es sich bei DORA um einen sektorspezifischen Rechtsakt der Union im Sinne von NIS2 handelt, ergibt sich bereits ausdrücklich aus Art. 1 Abs. 2 DORA, wird aber auch in entsprechender Leitlinie der Europäischen Kommission zu NIS 2 vom 13.09.2023 ausdrücklich bestätigt.

Mit Blick auf Art. 4 Abs. 1 NIS2 könnte gemutmaßt werden, dass § 28 Abs. 5 Nr. 1 E-BSIG richtlinienkonform derart ausgelegt werden muss, dass eine Anwendung von NIS2 auf Versicherungsvermittler doch in Betracht käme. In Art. 4 Abs. 1 S. 2 NIS2 ist nämlich normiert, dass die einschlägigen Bestimmungen aus NIS2 dennoch zur Anwendung gelangen, wenn die sektorspezifischen Spezialregelungen nicht für alle Einrichtungen bzw. Unternehmen gelten, die auch von NIS2 erfasst wären. Diese Differenzierung bildet der Referentenentwurf hinsichtlich des Anwendungsausschlusses bei Finanzunternehmen derzeit nicht ab. Versicherungsvermittler könnten daher theoretisch, wenn sie mittlere Unternehmen im Sinne von Art. 2 Abs. 1; Art. 3 Abs. 2 NIS2, Art. 2 Abs. 1 u. 2 Anh. Empfehlung 2003/361/EG i.V.m. § 28 Abs. 2 Nr. 3 E-BSIG darstellen, als wichtige Einrichtung im Sinne von NIS2 gelten. Dies würde allerdings zweierlei voraussetzen. Nämlich eine Mitarbeiteranzahl von mindestens 50 Personen bei Umsatz und Jahresbilanzsumme von wenigstens € 10 Millionen sowie, dass Versicherungsvermittler in den Anlagen zu NIS2 und E-BSIG als kritische Einrichtungen und Unternehmen aufgeführt sind. Letzteres ist aber gerade nicht der Fall, sodass eine Anwendung von NIS2 auf Versicherungsvermittler solange ausscheidet, wie diese nicht durch gesetzgeberische Entscheidung als kritisch eingestuft werden. Hiervon ist aber weder heute noch in naher Zukunft auszugehen.

Großmakler in der Pflicht – DORA und NIS2 als Akquise-Grundlage

Heute lässt sich also konstatieren, dass NIS2 für Sie, liebe Versicherungsmakler:innen, keine Rolle spielt. Dasselbe gilt für DORA, es sei denn, Sie gehören mit wenigstens 250 Beschäftigten zu den allergrößten Marktteilnehmern Ihrer Zunft. Wenn Ihr Unternehmen in den Anwendungsbereich von DORA fällt, befinden Sie sich angesichts des näher rückenden Inkrafttretens sicherlich bereits in der Umsetzung der erforderlichen Maßnahmen. Der Umfang der erforderlichen Maßnahmen ist zu weit, als dass er in diesem Newsletter ausgebreitet werden könnte. Beispielhaft sei aber genannt, dass Unternehmen nach DORA weitgehenden Cyber-Risikomanagementpflichten (Art. 5 ff. DORA), IT-Schutzpflichten (Art. 7 ff. DORA), Vorgaben zu Resilienz und Umgang mit Cybervorfällen (Art. 10 ff. DORA), Vorgaben zum regelmäßigen Test der eigenen IT-Systeme (Art. 24 ff. DORA) und Regeln zur Bewertung von Risiken, die mit der Nutzung von Services dritter Parteien einhergehen (Art. 28 ff. DORA), unterliegen.

Hervorzuheben ist, dass gem. Art. 5 Abs. 2 DORA eine unmittelbare Verantwortung der Geschäftsführung besteht. Derselbe Gedanke ist in Art. 20 NIS2 niedergelegt. Sollten Ihre Kunden bei entsprechender Unternehmensgröße also selbst von DORA oder NIS2 betroffen sein, so bietet es sich an, dass ohnehin bedeutsame Thema Cyberversicherung unter Verweis auf die steigende Anzahl der Cyberangriffe und die rechtliche Aktualität europäischer Vorgaben aufzugreifen. DORA und NIS2 sind aber nicht nur ein Thema der Cyberversicherung, sondern können auch der Türöffner für die Erweiterung oder Aktualisierung einer bestehenden D&O-Versicherung sein. Es lohnt sich zu prüfen, ob auch die Pflichten aus diesen europäischen Rechtsakten von einer bestehenden Deckung erfasst wären.

Es ist begrüßenswert, dass der Europagesetzgeber die Realitäten der Vermittler erkannt und berücksichtigt hat. KRITIS, DORA und NIS2 betreffen den allergrößten Teil der Versicherungsmakler nicht. Dennoch zeigt die Auseinandersetzung mit dieser europäischen Gesetzgebungsoffensive, dass Regulierungen weiter zunehmen und Cybersicherheit immer bedeutsamer wird. In diesem Sinne möchte ich jeden unserer Mandanten und Mandantinnen ermutigen, die unternehmenseigene IT-Sicherheit und das Bestehen einer geeigneten Cyberversicherung zu überprüfen.

LESEN SIE AUCH

EU GDPR data bits and bytes wave ripplesEU GDPR data bits and bytes wave ripplesmixmagic – stock.adobe.comEU GDPR data bits and bytes wave ripplesmixmagic – stock.adobe.com
Finanzen

Drohendes Audit-Chaos statt Cybersicherheit im Finanzsektor

Die beiden europäischen Rechtsakte DORA und NIS2 sollen die Cybersicherheit im Finanzsektor der EU stärken. Doch das Nebeneinander von zwei Regularien könnte auch zu unnötig viel Bürokratie führen. Besser wäre es, die Auditverfahren zu harmonisieren und Zuständigkeiten zusammenzuführen.

Hi-Tech digital technology cyber security display holographic inHi-Tech digital technology cyber security display holographic inKanawatTH – stock.adobe.comHi-Tech digital technology cyber security display holographic inKanawatTH – stock.adobe.com
Cyber

Cybersicherheit: Kabinett bringt NIS2-Umsetzung auf den Weg

Das Bundeskabinett hat die notwendige deutsche Umsetzung – das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – beschlossen. Die vorgesehene Umsetzungsfrist im Oktober wird nicht mehr einzuhalten sein. Umso wichtiger ist es, das Gesetz zügig umzusetzen und ein Inkrafttreten bis Anfang 2025 sicherzustellen.

Binaer-Code-Ransomware-154665118-AS-Shutter2UBinaer-Code-Ransomware-154665118-AS-Shutter2UShutter2U – stock.adobe.comBinaer-Code-Ransomware-154665118-AS-Shutter2UShutter2U – stock.adobe.com
Cyber

Ransomware im Finanzsektor: DORA-Verordnung als Chance für Unternehmen

DORA definiert spezifische Anforderungen an das Risikomanagement von Finanzdienstleistern und enthält gesetzliche Regelungen zu zentralen Bereichen, wie der präzisen Meldung von IKT-Vorfällen und dem Risikomanagement durch Dritte.

Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.
Digitalisierung

NIS-2-Richtlinie: Unternehmen sollten jetzt aktiv werden

Auch 2023 fehlt es noch flächendeckend am richtigen Cyber-Sicherheitsbewusstsein in Unternehmen und entsprechender Resilienz. Die NIS-2-Richtline soll dem Abhilfe schaffen. Besonderes Augenmerk wird dabei auf das Risikomanagement und das Cyber-Notfallmanagement gelegt.

Hand-Pfeil-Puzzle-102573777-AS-tadamichiHand-Pfeil-Puzzle-102573777-AS-tadamichitadamichi – stock.adobe.comHand-Pfeil-Puzzle-102573777-AS-tadamichitadamichi – stock.adobe.com
Management

Kernaufgabe für Risikomanager: Entwicklung von ESG-Strategien

ESG rückt weltweit in den Fokus der Risikomanager. Im Widerspruch dazu steht aber, dass die bisher getätigten Fortschritte noch auf sich warten lassen: Nur 17 Prozent der Unternehmen verfügen über messbare ESG-Ziele und entsprechende Maßnahmen.

Robin-Schmeisser-Fabasoft-Portrait_WSRobin-Schmeisser-Fabasoft-Portrait_WSRobin Schmeisser, Geschäftsführer Fabasoft Contracts GmbHFabasoftRobin-Schmeisser-Fabasoft-Portrait_WSRobin Schmeisser, Geschäftsführer Fabasoft Contracts GmbHFabasoft
Tools

DORA-Compliance mit KI-basierter Software sicherstellen

„Fabasoft DORA“ unterstützt Finanzunternehmen dabei, die Anforderungen des Digital Operational Resilience Act (DORA) der EU mit einem digitalen Auslagerungsmanagements zu erfüllen.

Mehr zum Thema

Business interactionBusiness interactionMitarbeiter-Benefits lassen sich inzwischen in vielfältiger Weise umsetzen.Photo credit: depositphotos.comBusiness interactionMitarbeiter-Benefits lassen sich inzwischen in vielfältiger Weise umsetzen.Photo credit: depositphotos.com
Management

Mit Mitarbeiter-Benefits die Attraktivität als Arbeitgeber erhöhen

Deutschlands Mittelstand steht aktuell vor einem Dilemma. Die Auftragsbücher zahlreicher Firmen sind gut gefüllt. Doch leider fehlen Fachkräfte, um die nötigen Aufgaben zu übernehmen. Mitarbeiter-Benefits können helfen, sich als attraktiver Arbeitgeber zu positionieren. Werden sie richtig aufgebaut, können sie im Wettkampf um die besten Leute ausschlaggebend sein.

Young worker sitting in his office thinking. Business conceptYoung worker sitting in his office thinking. Business conceptRomario Ien – stock.adobe.comYoung worker sitting in his office thinking. Business conceptRomario Ien – stock.adobe.com
Management

Voll versteuert!? Drei Stolperfallen, die Unternehmen mühelos vermeiden können

Teure Materialien sowie steigende Energie- und Transportpreise führen in zahlreichen Unternehmen zu Sparmaßnahmen. Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen. . Dabei lassen sich einige steuerliche Stolperfallen umgehen.

Office-Team-423885258-DP-HayDmitriyOffice-Team-423885258-DP-HayDmitriyOffice-Team-423885258-DP-HayDmitriy
Management

ESG-Strategien stärken den Erfolg im Mittelstand

Jährlich veröffentlicht das Zentrum für Arbeitgeberattraktivität, kurz zeag GmbH, in Zusammenarbeit mit der Universität St. Gallen eine Trendstudie zum Status quo im Mittelstand und darüber hinaus. Dieses Jahr wurden ökologische und soziale Faktoren unter Berücksichtigung geltender ESG-Kriterien untersucht: ökologische Führung und ein ausgeprägtes Diversitätsklima wirken sich positiv auf den Unternehmenserfolg aus.

Mikrofon-3926344-PB-lograstudioMikrofon-3926344-PB-lograstudiolograstudio – pixabay.comMikrofon-3926344-PB-lograstudiolograstudio – pixabay.com
Management

MICHAELIS-LIVE am 24.09.: "Haftungsmantel GmbH“ vs. deliktische Durchgriffshaftung auf den Geschäftsführer

Eine GmbH soll vor der persönlichen Haftung schützen. Dies ist auch häufig bei einer GmbH oder anderen „juristischen Personen“ der Fall. Trotzdem werden Konstellationen festgestellt, die zu einer persönlichen Haftung des Geschäftsführers führen können. Rechtsanwalt Boris Glameyer erläutert anhand ausgewählter Fallbeispiele aus der Praxis diese problematischen Konstellationen.

Businesswoman Peeking Behind The DeskBusinesswoman Peeking Behind The DeskAndrey Popov – stock.adobe.comBusinesswoman Peeking Behind The DeskAndrey Popov – stock.adobe.com
Management

Wenn das Finanzamt zweimal klingelt

Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Wie das richtige Warm-up für die Betriebsprüfung aussieht, damit man der Kontrolle durch das Finanzamt gelassener entgegenblicken kann, erläutert der Professor für Steuerrecht Christoph Juhn.

frau im büro schaut genervt auf ihren pcfrau im büro schaut genervt auf ihren pccontrastwerkstatt – stock.adobe.comfrau im büro schaut genervt auf ihren pccontrastwerkstatt – stock.adobe.com
Management

Wellbeing im Fokus: das sind die Erwartungen der Mitarbeitenden

Immer mehr Arbeitgeber ergreifen Maßnahmen zur Förderung des physischen und psychischen Wellbeings ihrer Mitarbeitenden. Untersuchungen der Unternehmensberatung WTW zeigen aber auf, dass es eine Diskrepanz zwischen dem Schwerpunkt der Wellbeing-Programme der Arbeitgeber und den Bedürfnissen der Arbeitnehmenden gibt.