Mittelstand unter NIS2-Druck: Wenn Cyber-Versicherungen zum Compliance-Audit werden

Seit dem 6. Dezember 2025 ist das NIS‑2‑Umsetzungsgesetz in Deutschland scharf geschaltet. Erste Registrierungsfrist beim BSI: 6. März 2026. Und der Mittelstand? Reagiert – wenig überraschend – zu spät. Plot Twist: Die Retter kommen nicht vom BSI, sondern von den Versicherern. Policen-Anträge werden zu De-facto-Compliance-Audits. Das hat Chancen. Und Haken.

NIS2 trifft den Mittelstand: Das Schweigen vor dem Bußgeld

Wer ab 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz in einem der 18 von NIS2 erfassten Sektoren tätig ist, fällt unter das neue Regime. Energie, Gesundheit, Transport, Produktion, digitale Infrastruktur – die Liste ist lang. Und viele Mittelständler haben bis heute keine vollständige Betroffenheitsprüfung gemacht. Das ist nicht Gleichgültigkeit, das ist Kapazitätsmangel. Keine Compliance-Abteilung, kein dedizierter CISO, kein Budget für externe Berater, die einem erklären, was das BSI-Gesetz in seiner verschärften Form überhaupt bedeutet.

Das Pikante daran: NIS2-Compliance lässt sich nicht auf „später“ verschieben. Sanktionen können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen. Meldepflichten bei erheblichen Sicherheitsvorfällen greifen binnen 24 Stunden. Und die Geschäftsleitung haftet persönlich, wenn sie ihre Cybersicherheits-Verantwortung nachweislich vernachlässigt hat. Wer glaubt, diese Anforderungen treffen nur die klassischen Betreiber kritischer Infrastruktur – Energie, Wasser, KRITIS der ersten Stunde –, liegt falsch. NIS2 erweitert den Anwendungsbereich erheblich in Richtung Mittelstand und Zulieferer.

Laut Zahlen aus dem Versicherungsmagazin haben bislang nur rund 11.500 Unternehmen ihre NIS2-Pflicht erfüllt. Angesichts der tatsächlich betroffenen Unternehmenszahl ist das eine ernüchternde Quote. Der Compliance-Gap ist real. Und er schafft den Kontext, in dem Cyber-Versicherungen plötzlich eine unerwartete Nebenrolle übernehmen: die des Türöffners.

Der Versicherungsantrag als verstecktes Compliance-Audit

Wer heute eine Cyber-Police abschließen will, bekommt zunächst einen Fragebogen. Klingt harmlos. Ist es nicht. Versicherer fragen detailliert ab: Gibt es Multi-Faktor-Authentifizierung für kritische Systeme? Wie sieht das Backup-Konzept aus, und wird es regelmäßig getestet? Existiert ein Patch-Management-Prozess? Gibt es dokumentierte Notfall- und Incident-Response-Pläne? Werden Mitarbeitende regelmäßig zu Phishing und Social Engineering geschult?

Das sind keine zufälligen Fragen. Das ist NIS2 in Fragebogenform. Die technischen und organisatorischen Mindestanforderungen von NIS2 – Risikobasiertes IT-Sicherheitsmanagement, MFA, Logging und Monitoring, Lieferkettensicherheit, Wiederanlaufpläne – überschneiden sich direkt mit dem, was Underwriter vor Policenabschluss sehen wollen. Wer den Versicherungsantrag sorgfältig bearbeitet, hat damit faktisch eine Basis-Bestandsaufnahme seiner NIS2-Bereitschaft erstellt. Manchmal ohne es zu wissen.

Meine Einschätzung: Das ist kein Zufall und kein Marketing-Trick. Versicherer haben ein handfestes Eigeninteresse daran, Risiken zu minimieren. Wenn NIS2-konforme Unternehmen seltener und weniger schwere Schäden melden, sinkt die Schadenquote. Der Antragsfragebogen ist also gleichzeitig Risikoprüfung und – ob die Branche das so nennen würde oder nicht – Compliance-Onboarding.

Was Policen heute leisten – und was nicht

Moderne Cyber-Versicherungen decken ein breites Spektrum ab: IT-Forensik nach einem Angriff, Kosten für Systemwiederherstellung, Betriebsunterbrechungsschäden, Haftpflichtansprüche nach DSGVO-Datenpannen sowie Krisenkommunikation. Einige Policen beinhalten mittlerweile proaktive Komponenten: Notfall-Hotlines, Awareness-Trainings, Schwachstellenscans und Beratungsleistungen, die explizit auf DSGVO- und NIS2-Anforderungen ausgerichtet sind. Das klingt nach All-Inclusive.

Der Clou liegt im Kleingedruckten. Eine Cyber-Versicherung ersetzt keine NIS2-Compliance. Sie kann sie flankieren, aber nicht substituieren. NIS2 verlangt nachweisbare Maßnahmen, dokumentierte Prozesse, regelmäßige Schulungen und – im Schadensfall – fristgerechte Meldung an die zuständige Behörde. All das muss vor dem Vorfall stehen, nicht danach. Wer die Mindeststandards nicht erfüllt hat und trotzdem eine Police abgeschlossen hat, riskiert im Leistungsfall böse Überraschungen: bei grob fahrlässiger Nichterfüllung gesetzlicher Pflichten können Versicherer Leistungen kürzen oder ganz ablehnen. Perseus-CEO Brokamp hat es pointiert formuliert: Ein Cybervorfall kann selbst mit Versicherung existenzbedrohend sein, weil Produktionsausfälle, Reputationsschäden und Folgekosten häufig über die Deckungssummen hinausgehen.

Das ist kein Argument gegen Cyber-Versicherungen – aber ein starkes Argument gegen die Illusion, mit einer Police die Compliance-Hausaufgaben erledigt zu haben. Ransomware-Attacken, wie sie in jüngsten Reports immer aggressiver beschrieben werden, fragen nicht nach Versicherungsstatus. Sie fragen nach Angriffsfläche. Und die entscheidet sich durch tatsächliche Sicherheitsmaßnahmen.

Geschäftsleitung unter Druck: Wo Cyber- und D&O-Versicherung kollidieren

NIS2 hat einen Haftungsmechanismus eingebaut, den viele Geschäftsführer noch nicht vollständig internalisiert haben. Sie sind persönlich verantwortlich für die Umsetzung, Überwachung und regelmäßige Bewertung der Cybersicherheitsmaßnahmen ihres Unternehmens. Das ist keine soft obligation. Das ist harte Managementhaftung. Wer als Geschäftsführer Cyberrisiken systematisch ignoriert hat und dann ein größerer Vorfall passiert, steht möglicherweise nicht nur dem Unternehmen, sondern auch persönlich gerade.

Versicherungsrechtliche Analysen – etwa von der Kanzlei reuschlaw – sehen genau hier eine wachsende Schnittstelle zwischen Cyber-Versicherung und D&O-Deckung. Klassische D&O-Policen decken Managementhaftung ab – aber bei IT-Governance-Fehlern wird es komplex: Greift die Cyber-Police? Die D&O-Police? Oder keine von beiden, weil beide einen Ausschluss für grob fahrlässige Pflichtverletzung haben? Experten erwarten hier eine steigende Nachfrage nach abgestimmten Deckungskonzepten, die operative Cyberschäden und Managementhaftung gemeinsam adressieren. Koppelprodukte als Reaktion auf Regulierungsdruck – das klingt nach einer Versicherungsbranche, die die Gunst der Stunde erkennt.

Versicherer prüfen deshalb zunehmend auch Governance-Strukturen: Wer trägt Verantwortung? Gibt es ein dokumentiertes Reporting? Sind Cybersicherheitsthemen regelmäßig auf der Tagesordnung der Geschäftsleitung? Wer diese Fragen im Antragsfragebogen nicht beantworten kann, hat ein Problem – mit dem Versicherer und mit NIS2 gleichzeitig.

Lieferkette als stiller Multiplikator

Brisant ist der Druck, der sich entlang der Lieferkette aufbaut. Große Unternehmen, die selbst unter NIS2 fallen, sind verpflichtet, Cyberrisiken bei ihren Dienstleistern und Zulieferern zu bewerten und zu steuern. Das heißt in der Praxis: Sie fragen ihre Lieferanten nach Sicherheitszertifikaten, ISMS-Konzepten – und zunehmend auch nach Versicherungsschutz. Wer als mittelständischer Zulieferer keine plausible Antwort auf diese Fragen hat, riskiert, aus Lieferketten herausgedrängt zu werden.

Hier zeigt sich, dass Cyber-Versicherung für den Mittelstand auch eine kommerzielle Notwendigkeit wird, unabhängig von direkter NIS2-Betroffenheit. Selbst wenn ein Zulieferer die Größenkriterien knapp unterschreitet, verlangen Kunden, die selbst NIS2-pflichtig sind, Nachweise. Eine bestehende Cyber-Police – verbunden mit den dokumentierten Sicherheitsmaßnahmen, die für deren Abschluss notwendig waren – dient dabei als glaubwürdiges Signal. Ein Vorsprung gegenüber Wettbewerbern, die noch keinen Fragebogen ausgefüllt haben.

Besonders in der produzierenden Industrie, wo Mittelstand und Großkonzern eng verzahnt sind, entwickelt sich dieses Muster gerade schnell. Die Cybersicherheit in kleinen und mittleren Unternehmen ist – wie Studien und aktuelle Marktbeobachtungen zeigen – häufig durch einen gefährlichen Gap zwischen Selbstwahrnehmung und tatsächlichem Schutzniveau geprägt. Die Lieferkette wird zum Regulierungshebel, der diesen Gap sichtbar macht.

Der Underwriting-Spielraum: Chancen und strukturelle Abhängigkeit

Soweit die guten Nachrichten. Jetzt zum Haken. Wenn Versicherer faktisch zu Compliance-Gatekeepern werden, entsteht eine strukturelle Abhängigkeit, die diskutiert werden muss. Underwriter entscheiden, welche Mindeststandards sie akzeptieren, welche Ausschlüsse sie formulieren und wie stark sie Risikoprüfungen verschärfen. Das ist legitim – Versicherungsgeschäft basiert auf Risikoeinschätzung. Aber es bedeutet auch: Ein Mittelständler, dem eine Police verweigert wird oder der nur zu prohibitiven Prämien versicherbar ist, bekommt damit indirekt ein Zeugnis über seinen Sicherheitszustand.

Das klingt nach einem Markt, der regulatorische Pflichten privatisiert. Der VDE-Rahmen für NIS2-Cybersicherheitsanforderungen ist normativ vorgegeben. Aber die Auslegung in der Praxis – welche konkreten technischen Maßnahmen als „ausreichend“ gelten – übernehmen zunehmend Versicherer durch ihre Antragsanforderungen. Das schafft Marktmacht. Und es schafft eine Situation, in der Unternehmen, die aus wirtschaftlichen Gründen nicht versicherbar sind, auch keine strukturierte Onboarding-Unterstützung erhalten. Diejenigen, die sie am dringendsten bräuchten, fallen durchs Raster.

Hinzu kommt: Versicherer sind keine Behörden. Ihre Anforderungskataloge sind nicht identisch mit NIS2. Wer ausschließlich die Police-Checkliste abarbeitet und daraus schließt, NIS2-compliant zu sein, begeht einen gefährlichen Kurzschluss. Registrierungspflicht beim BSI, Meldewege für Sicherheitsvorfälle, branchenspezifische Anforderungen – das sind eigenständige regulatorische Pflichten, die kein Versicherungsvertrag abnimmt.

Praxisszenarien: Was passiert, wenn der Ernstfall eintritt

Um die Diskrepanz zwischen Police und tatsächlicher Compliance greifbar zu machen, lohnt ein Blick auf realistische Szenarien. Stellen wir uns einen mittelständischen Maschinenbauer mit 120 Mitarbeitenden vor, der in der Zuliefererkette eines großen Automobilherstellers sitzt. Er schließt eine Cyber-Versicherung ab, füllt den Fragebogen sorgfältig aus, richtet MFA ein und dokumentiert seine Backups. Dann trifft ihn ein Ransomware-Angriff über eine ungepatchte Schwachstelle in einer eingesetzten Steuerungssoftware.

Szenario A: Das Unternehmen hat den Angriff innerhalb von 24 Stunden beim BSI gemeldet, einen Incident-Response-Plan aktiviert und kann nachweisen, dass der kompromittierte Softwarekomponent trotz bekanntem Patch-Stand regelmäßig evaluiert wurde. Der Versicherer deckt IT-Forensik, Wiederherstellung und Betriebsunterbrechungsschäden. NIS2-Bußgelder bleiben aus, weil die Meldepflicht erfüllt wurde. Die Lieferkette wird informiert, die Zusammenarbeit geht nach drei Wochen weiter.

Szenario B: Das gleiche Unternehmen hat den Fragebogen ausgefüllt, aber MFA nur für das Mailsystem eingerichtet, nicht für die Produktionssteuerung. Der Angriff wird erst nach 72 Stunden intern bemerkt, die BSI-Meldung erfolgt zu spät. Der Versicherer prüft, ob die angegebenen Sicherheitsmaßnahmen tatsächlich implementiert waren – und stellt Lücken fest. Die Leistungskürzung steht im Raum. Parallel droht ein Bußgeldverfahren wegen verspäteter Meldung. Der Automobilhersteller pausiert die Lieferbeziehung bis zur Klärung. Drei Monate Unsicherheit. Existenzielle Dimension.

Der Unterschied zwischen beiden Szenarien ist kein Budget-, sondern ein Umsetzungsproblem. Szenario B scheitert nicht an fehlenden Ressourcen, sondern an fehlendem Bewusstsein dafür, dass Versicherungsantrag und operative Realität übereinstimmen müssen. Genau hier liegt die eigentliche Aufgabe des Mittelstands.

Praktische Handlungsschritte: Wie Mittelständler den Doppeleffekt nutzen

Was folgt daraus konkret? Erstens: Betroffenheitsprüfung durchführen. Sektor, Mitarbeiterzahl, Umsatz – wer unter NIS2 fällt, muss das wissen. Zweitens: Den Cyber-Versicherungsprozess aktiv als strukturierten Einstieg nutzen, aber nicht als Ersatz. Den Antragsfragebogen ernstnehmen – MFA einrichten, Backups testen, Notfallpläne dokumentieren, Schulungen planen. Das sind keine Alibi-Maßnahmen, das sind Basisanforderungen, die NIS2 und Versicherer gleichermaßen abfragen.

Drittens: Die Registrierungsfrist beim BSI nicht ignorieren. Die erste Frist lief bis zum 6. März 2026. Wer das verpasst hat, holt es nach – und dokumentiert dabei gleichzeitig die Compliance-Schritte für den Versicherungsantrag. Viertens: Lieferkettenanforderungen antizipieren. Auch wer selbst knapp unter den NIS2-Schwellenwerten liegt, sollte klären, ob Kunden oder Partner bald Sicherheitsnachweise fordern werden. Eine Cyber-Police mit sauberer Dokumentation ist ein starkes Argument im nächsten Lieferantengespräch.

Fünftens: Die Abstimmung zwischen Cyber-Police und D&O-Versicherung aktiv prüfen. Wer beide Produkte getrennt abgeschlossen hat, ohne Deckungslücken zu analysieren, sitzt bei einem schwerwiegenden IT-Governance-Versagen möglicherweise zwischen zwei Stühlen. Sechstens – und das ist die unbequeme Wahrheit: Weder eine Police noch ein ausgefüllter Fragebogen ersetzt ein funktionierendes Risikomanagementsystem. Polymorphe Malware, mehrstufige Ransomware-Angriffe und KI-gestützte Phishing-Kampagnen machen vor Versicherungsverträgen keinen Halt. Die technischen Maßnahmen müssen greifen, bevor der Schaden eintritt. Alles andere ist Schadensabwicklung – teuer, aufwändig und manchmal existenzbedrohend.

Die Gegenposition: Versicherungen als Treiber höherer Standards

Man sollte allerdings auch das Gegenargument ernst nehmen, das in der Branche kursiert. Versicherer, so das Argument, leisten damit genau das, was staatliche Aufsicht nicht schnell genug leisten kann: Sie übersetzen abstrakte Regulierungsanforderungen in operative To-do-Listen, die Unternehmen tatsächlich umsetzen können. Ein Fragebogen, der MFA, Backupkonzepte und Incident-Response-Pläne abfragt, ist konkreter als ein Gesetzestext mit Verweisen auf ISO-Normen und BSI-Grundschutzkatalogen.

Für viele Mittelständler ohne interne IT-Sicherheitsexpertise ist der Versicherungsantrag tatsächlich der erste strukturierte Kontakt mit dem Thema Cyber-Risikomanagement. Wenn dieser Kontakt dazu führt, dass MFA eingerichtet, Backups getestet und Schulungen durchgeführt werden, ist das ein realer Sicherheitsgewinn – unabhängig davon, ob er primär regulatorisch oder versicherungsmotiviert ist. Die Richtung stimmt, auch wenn der Antrieb ein kommerzieller ist.

Kritisch bleibt, dass dieser Effekt nur dann nachhaltig ist, wenn Unternehmen die eingeführten Maßnahmen auch operativ leben und nicht lediglich für den Antragszeitpunkt implementieren. Ein Backup, das einmalig eingerichtet, aber nie getestet wird, schützt im Ernstfall genauso wenig wie keines. Der Versicherungsantrag kann der Startpunkt sein – aber kein Endpunkt.

Was bleibt – und wer zahlt am Ende?

Der Trend ist real: Cyber-Versicherer werden im deutschen Mittelstand faktisch zu Compliance-Onboarding-Partnern. Das ist pragmatisch sinnvoll, solange Mittelständler den Unterschied zwischen Police und Compliance kennen und aktiv managen. Die strukturelle Frage – ob es problematisch ist, wenn ein privater Markt die De-facto-Auslegung von Regulierung übernimmt – bleibt offen. Und sie wird lauter werden, je mehr Unternehmen die Registrierungspflicht verschlafen und sich an den Versicherungsantrag als einzigen Kompass klammern.

Welche Mittelständler werden in zwei Jahren die NIS2-Bußgeldwelle treffen: die, die keine Cyber-Police haben – oder die, die glaubten, eine Police sei genug?