Cyberrisiko-Management

NIS2: Versicherungen unter Druck durch Cyberrisiken

Tim Glenewinkel

Tim Glenewinkel

Director

Tobias Kohl PPI AG

Tobias Kohl

Partner

  • 17.06.2026
  • Lesezeit 4 Minuten
NIS2 Versicherungen Cyberrisiken
Key Takeaways

  • NIS2 erhöht den Druck auf Versicherungen, ihre Cyberrisiken nicht nur intern, sondern entlang der gesamten digitalen Lieferkette zu steuern.

  • Für den Vorstand wird Cyberrisiko-Management zu einer strategischen Governance-Aufgabe.

Versicherungen arbeiten datenintensiv, hochgradig digital und in komplexen Dienstleisterstrukturen. Genau deshalb wird NIS2 für viele Versicherungen zu einem zentralen Impuls: Entscheidend ist künftig nicht nur, ob Risiken bestehen – sondern wie schnell Versicherer sie erkennen, bewerten und steuern können.

Warum NIS2 Versicherungen besonders betrifft

Versicherungsunternehmen (VU) verfügen häufig über gewachsene IT-Landschaften, spezialisierte Fachanwendungen und zahlreiche externe Partner. Auch wenn nicht jedes VU unmittelbar unter den Anwendungsbereich von NIS2 fällt, adressiert die Richtlinie Risiken und Steuerungsanforderungen, die für die gesamte Branche von hoher Relevanz sind – denn Bestandsführung, Schadenbearbeitung, Underwriting, Kundenkommunikation, Vertrieb, Zahlungsverkehr, Rückversicherung oder Cloud-Betrieb hängen oft von Drittanbietern ab.

Genau hier entsteht ein wachsender Risikobereich. Moderne Cyberangriffe richten sich nicht immer direkt gegen das Zielunternehmen. Häufig nutzen Angreifer Schwachstellen bei Softwareanbietern, Cloud-Diensten, IT-Dienstleistern oder anderen digitalen Partnern. Für Versicherer bedeutet das: Die eigene Sicherheitslage ist nur so belastbar wie die Transparenz über die wichtigsten externen Abhängigkeiten. Typische Risikofaktoren sind unter anderem:

  • Lompromittierte Software- oder IT-Dienstleister
  • Unsichere Cloud-Konfigurationen
  • Exponierte Remote-Zugänge
  • Drittanbieter mit schwachen Sicherheitsstandards
  • Historische Sicherheitsvorfälle oder geleakte Daten
  • Schatten-IT außerhalb zentraler Governance

Versicherer sind auf funktionierende digitale Lieferketten angewiesen. Wenn ein zentraler Dienstleister ausfällt, eine Plattform kompromittiert wird oder ein Softwareanbieter Sicherheitsprobleme hat, kann das direkte Auswirkungen auf Geschäftsprozesse haben: Policierung, Schadenregulierung, Kundenportale, Maklerkommunikation oder regulatorische Meldeprozesse können beeinträchtigt werden.

Damit verschiebt sich der Fokus: Nicht nur die eigene Infrastruktur muss geschützt werden. Auch das digitale Ökosystem rund um das Versicherungsunternehmen muss Teil des Cyberrisiko-Managements werden.

Echtzeittransparenz statt Momentaufnahme

Eine zentrale Herausforderung im Cyberrisiko-Management ist die Dynamik digitaler Risiken. Zwischen zwei Audits kann sich die Risikolage eines Dienstleisters massiv verändern. Ein bisher unauffälliger Anbieter kann plötzlich durch eine neue Schwachstelle, ein Datenleck oder eine unsichere Konfiguration zum kritischen Risikofaktor werden.

Versicherungen benötigen daher kontinuierliche Transparenz. Es geht nicht nur um die Frage, ob ein Risiko existiert. Viel wichtiger ist, wann es entsteht, wie stark es die eigene Organisation betrifft und welche Maßnahmen priorisiert werden müssen. Welche Dienstleister erhöhen aktuell unsere Cyberexposition? Welche Abhängigkeiten sind für kritische Geschäftsprozesse relevant? Wo bestehen Risiken mit möglichem Einfluss auf Betrieb, Kunden oder Aufsicht? Wie verändert sich das Risikoprofil über die Zeit? Diese Fragen müssen zufriedenstellend beantwortet werden können.

Fünf Handlungsbereiche für Versicherungen

  1. Kritische Dienstleister identifizieren
    Versicherer sollten klar definieren, welche Partner für zentrale Prozesse unverzichtbar sind. Dazu gehören IT-Dienstleister, Cloud-Anbieter, Softwareanbieter, Plattformbetreiber, Datenprovider und weitere spezialisierte Dienstleister.
  2. Cyberrisiken laufend bewerten
    Für ein belastbares Cyberrisiko-Management braucht es kontinuierliche Bewertungen, die Veränderungen sichtbar machen und Risiken priorisieren.
  3. Management-Reporting verbessern
    Vorstände und Geschäftsführungen benötigen keine technischen Detailberichte. Sie benötigen verständliche Entscheidungsgrundlagen: Risikoniveau, Trend, Kritikalität, betroffene Prozesse und empfohlene Maßnahmen.
  4. Governance-Funktionen vernetzen
    Informationssicherheit, Compliance, Risikomanagement, Datenschutz, Auslagerungsmanagement und Fachbereiche sollten enger zusammenarbeiten. Cyberrisiken lassen sich nur wirksam steuern, wenn Verantwortlichkeiten klar verteilt sind.
  5. Resilienz nachweisbar machen
    Regulatorische Anforderungen verlangen zunehmend belastbare Nachweise. Versicherungen sollten dokumentieren können, wie Risiken erkannt, bewertet, eskaliert und reduziert werden.

NIS2 verändert die Risikoperspektive

NIS2 steht für einen grundlegenden Wandel im Umgang mit Cyberrisiken. Verantwortung endet nicht mehr an der Grenze der eigenen IT-Infrastruktur. Sie erstreckt sich auf digitale Lieferketten, Dienstleister und externe Abhängigkeiten.

Für Versicherungen ist das besonders bedeutsam, weil ihre Geschäftsmodelle auf Daten, Vertrauen und stabilen digitalen Prozessen basieren. Das Management von Cyberrisiken wird damit zu einem zentralen Bestandteil von Governance, Resilienz und Geschäftskontinuität.

Die entscheidende Frage lautet künftig nicht mehr: Existieren Cyberrisiken? Sondern: Wie schnell erkennt ein Versicherer sie – und wie wirksam kann er darauf reagieren?

Verfasst von

Digitale Resilienz
Artikel teilen:

Zurück zur Übersicht