Die EU-Richtlinie mit dem kryptischen Namen NIS2 hat es in sich. Sie weitet die Anforderungen an die Cybersicherheit stark aus. Nicht mehr nur kritische Infrastrukturen wie Energieversorger oder Krankenhäuser werden erfasst. Die Richtlinie gilt für bis zu 30.000 deutsche Unternehmen. Die Geschäftsführung betroffener Firmen muss bei mangelnder Cybersicherheit künftig persönlich haften. Experten schlagen Alarm.
Legal Eye – Die Rechtskolumne Das Aufsichtsregime Solvency II harrt einer Überarbeitung. Schon im Februar 2019 wurde der Startschuss für den sogenannten Solvency II-Review gegeben. Die EU-Kommission, die einen ersten Vorschlag vorgelegt hat, verfolgt erkennbar das Ziel, Anreize für Versicherer zu schaffen, die europäische Wirtschaft langfristig und nachhaltig zu finanzieren. Es bleibt zu hoffen, dass die Überarbeitung sich nicht so stark verzögert wie die Implementierung der ursprünglichen Rahmenrichtlinie. Ein Blick auf den Stand der Solvency II-Überarbeitung zum Jahresbeginn 2023.
Das Bundesinnenministerium hat einen Referentenentwurf für ein IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung gegeben. Es sieht unter anderem eine Erhöhung der Belegschaft und des Budgets des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor. Außerdem soll die Meldepflicht bei IT-Sicherheitsvorfällen auf weitere Bereiche ausgedehnt werden, darunter Rüstungsfirmen, Medienhäuser und bestimmte börsennotierte Unternehmen. Zudem sollen Verbraucher von einem Sicherheitskennzeichen für IT-Produkte profitieren. Vom 2015 verabschiedeten Vorgängergesetz hatten sich die Versicherer einen Nachfrageschub bei Cyberdeckungen erhofft.
Der Industrieversicherer AGCS sieht in der zunehmenden Vernetzung industrieller Prozesse mehr Chancen als Risiken für die Anbieter von Cyberversicherungen. Zwar steige damit das Kumulrisiko, aber es gebe auch mehr Geschäftsmöglichkeiten, sagte AGCS-Vorstand Hartmut Mai bei einer Veranstaltung in Berlin. BDI-Präsident Dieter Kempf warnte die Unternehmen davor, die Bedeutung von Cyberversicherungen für die Unternehmenssicherheit zu überschätzen. Verfassungsschutz-Chef Hans-Georg Maaßen empfahl Mittelständlern, bei Sicherheitsvorkehrungen klare Prioritäten zu setzen. Es ginge nicht darum, alles zu schützen.
Risikomanager, Makler und Versicherer fordern Klarheit darüber, welche Unternehmen genau unter das IT-Sicherheitsgesetz fallen werden. Im Gesetz ist das derzeit nicht geregelt. Der DVS hält eine nachträgliche Definition der betroffenen Firmen in einer Rechtsverordnung für verfassungsrechtlich bedenklich. Die geplante Meldepflicht werde zu Mehrkosten führen, die auch das Budget für Cyberversicherungsschutz belasten könnten, so der Verband. Spezialmakler Sven Erichsen glaubt dagegen, dass das Gesetz dem Verkauf der Policen zuträglich ist.