Sind Versicherungsmakler:innen von den neusten Cyber-Sicherheitsregeln der EU betroffen?
Liebe Mandantinnen und Mandanten, liebe Versicherungsmaklerinnen und Versicherungsmakler,
die weltweite Corona-Pandemie und der für Europa verheerende Ukraine-Konflikt haben die Fragilität globaler Lieferketten und die Anfälligkeit kritischer Infrastrukturen aufgedeckt. Spätestens die durch den Ukraine-Konflikt ausgelöste Energiekrise hat Bevölkerung und Politik gleichermaßen aufgerüttelt. Infolge des nun geschärften Bewusstseins für die Erforderlichkeit des gesteigerten Schutzes kritischer Infrastruktur jeder Art, haben auch die politischen Initiativen, das diesbezügliche Schutzniveau zu erhöhen, stark zugenommen. Im Eindruck der gerade erst überwundenen Energiekrise und im Sommer der sportlichen Großveranstaltungen – Europameisterschaft und Olympia folgen bekanntlich unmittelbar aufeinander – steht vor allem der Schutz physischer Infrastruktur im Fokus der politischen Öffentlichkeit. So kommt es auch, dass Bundesinnenministerin Faeser bemüht ist, die mit dem Entwurf des sog. KRITIS-Dachgesetz („KRITIS“) geplante Konsolidierung und Weiterentwicklung von Regulierungen hinsichtlich von Resilienz und physischer Sicherheit kritischer Infrastruktur zu beschleunigen.
Der Anwendungsbereich von KRITIS soll nach dem vorliegenden Referentenentwurf erst eröffnet sein, wenn eine Einrichtung für die Gesamtversorgung in Deutschland essenziell ist und mehr als 500.000 Personen versorgt. Damit dürfte KRITIS für Versicherungsmakler keine Rolle spielen. Neben KRITIS treten aber auch die jüngsten Regelungen der Europäischen Union zur Cybersicherheit. In der Retrospektive erscheint es geradezu avantgardistisch, dass die EU bereits in 2016 mit der Network and Information Security Directive (NIS1-Richtlinie) Regeln und Vorgaben für die Cybersicherheit besonders systemrelevanter Unternehmen und Institutionen eingeführt hat. Zwischenzeitlich hat die EU ihre Vorgaben zur Cybersicherheit verschärft und deren Anwendungsbereich spürbar erweitert. NIS1 wird durch die NIS2-Richtlinie, die bis Oktober 2024 in nationales Recht umgesetzt sein muss, erweitert. Daneben tritt der ab 2025 unmittelbar auch in Deutschland geltende Digital Operational Resilience Act (DORA).
Wechselwirkungen zwischen DORA und NIS2
KRITIS, NIS2 und DORA bilden ein äußerst komplexes Geflecht aus Regeln und Vorgaben. Für den durchschnittlichen Unternehmer ist es bereits schwierig, Reglungstechnik und Anwendungsbereich zu begreifen. Noch größer dürfte allerdings bei Betroffenheit die Herausforderung sein, die in den europäischen Vorgaben enthaltenen Pflichten im Bereich Risikomanagement, Governance, Systemaktualität und -sicherheit zu verwirklichen. Bereits beim ersten Blick in NIS2 und DORA wird klar, dass es sich um Regulierungen handelt, deren Umsetzung ohne weiteres lediglich in sehr großen Unternehmensstrukturen mit IT-Spezialabteilungen und unter Aufwendung erheblicher finanzieller Ressourcen gelingen dürfte. Entsprechend groß ist die Besorgnis im Kreis der Versicherungsvermittler, dass die ohnehin schon stark regulierte Vermittlerbranche, in den pflichtenauslösenden Anwendungsbereich von NIS2 und DORA fällt.
Der aktuelle Referentenentwurf zur Umsetzung von NIS2 sieht in § 28 Abs. 5 Nr. 1 des Entwurfs des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (E-BSIG) vor, dass die wesentlichen Rechtspflichten aus NIS2 nicht für Finanzunternehmen im Sinne von Art. 2 Abs. 2 DORA gelten. Gem. Art. 2 Abs. 2 i.V.m. Art. 1 lit. o) DORA handelt es sich bei Versicherungsvermittlern um Finanzunternehmen im Sinne von DORA. So sahen die Pläne der EU ursprünglich vor, Versicherungsvermittler umfassend im Sinne von DORA zu verpflichten. Hiergegen intervenierte die europäische Vereinigung von Finanz- und Versicherungsvermittlern (BIPAR) erfolgreich (vgl. EG 39 DORA). Die Regelungen aus DORA finden nun gem. Art. 2 Abs. 3 lit. e) DORA auf Versicherungsvermittler, die den Umfang eines „mittleren Unternehmens“ nicht überschreiten, keine Anwendung. Ein mittleres Unternehmen liegt nach Art. 3 Nr. 64 DORA vor, solange weniger als 250 Personen beschäftigt sind und entweder der Jahresumsatz € 50 Millionen oder die Jahresbilanzsumme € 43 Millionen nicht überschreitet. Es lässt sich also zunächst festhalten, dass auf ganz große Versicherungsmakler DORA mit der Konsequenz Anwendung findet, dass danebentretende Vorschriften aus NIS2 voraussichtlich nicht eingreifen werden.
Keine Anwendung von NIS2 und DORA auf kleine oder mittlere Makler
Fraglich ist, ob NIS2 subsidiär für kleine und mittlere Makler Anwendung findet. Der in § 28 Abs. 5 Nr. 1 E-BSIG normierte Ausschluss für Finanzunternehmen im Sinne von DORA differenziert gerade nicht danach, ob die Finanzunternehmen nach DORA Pflichten unterliegen oder innerhalb der Verordnung wieder vom Pflichtenkanon ausgenommen sind. Es wird einzig an die Begriffsdefinition des Art. 2 Abs. 2 DORA angeknüpft. Hierin ist die Wertung zu erkennen, dass es sich bei DORA um sektorspezifisches lex specialis gegenüber NIS2 handelt. Dieser Befund wird auch ausdrücklich in der Begründung des vorliegenden Referentenentwurfs bestätigt (vgl. Referentenentwurf, S. 145). Dass es sich bei DORA um einen sektorspezifischen Rechtsakt der Union im Sinne von NIS2 handelt, ergibt sich bereits ausdrücklich aus Art. 1 Abs. 2 DORA, wird aber auch in entsprechender Leitlinie der Europäischen Kommission zu NIS 2 vom 13.09.2023 ausdrücklich bestätigt.
Mit Blick auf Art. 4 Abs. 1 NIS2 könnte gemutmaßt werden, dass § 28 Abs. 5 Nr. 1 E-BSIG richtlinienkonform derart ausgelegt werden muss, dass eine Anwendung von NIS2 auf Versicherungsvermittler doch in Betracht käme. In Art. 4 Abs. 1 S. 2 NIS2 ist nämlich normiert, dass die einschlägigen Bestimmungen aus NIS2 dennoch zur Anwendung gelangen, wenn die sektorspezifischen Spezialregelungen nicht für alle Einrichtungen bzw. Unternehmen gelten, die auch von NIS2 erfasst wären. Diese Differenzierung bildet der Referentenentwurf hinsichtlich des Anwendungsausschlusses bei Finanzunternehmen derzeit nicht ab. Versicherungsvermittler könnten daher theoretisch, wenn sie mittlere Unternehmen im Sinne von Art. 2 Abs. 1; Art. 3 Abs. 2 NIS2, Art. 2 Abs. 1 u. 2 Anh. Empfehlung 2003/361/EG i.V.m. § 28 Abs. 2 Nr. 3 E-BSIG darstellen, als wichtige Einrichtung im Sinne von NIS2 gelten. Dies würde allerdings zweierlei voraussetzen. Nämlich eine Mitarbeiteranzahl von mindestens 50 Personen bei Umsatz und Jahresbilanzsumme von wenigstens € 10 Millionen sowie, dass Versicherungsvermittler in den Anlagen zu NIS2 und E-BSIG als kritische Einrichtungen und Unternehmen aufgeführt sind. Letzteres ist aber gerade nicht der Fall, sodass eine Anwendung von NIS2 auf Versicherungsvermittler solange ausscheidet, wie diese nicht durch gesetzgeberische Entscheidung als kritisch eingestuft werden. Hiervon ist aber weder heute noch in naher Zukunft auszugehen.
Großmakler in der Pflicht – DORA und NIS2 als Akquise-Grundlage
Heute lässt sich also konstatieren, dass NIS2 für Sie, liebe Versicherungsmakler:innen, keine Rolle spielt. Dasselbe gilt für DORA, es sei denn, Sie gehören mit wenigstens 250 Beschäftigten zu den allergrößten Marktteilnehmern Ihrer Zunft. Wenn Ihr Unternehmen in den Anwendungsbereich von DORA fällt, befinden Sie sich angesichts des näher rückenden Inkrafttretens sicherlich bereits in der Umsetzung der erforderlichen Maßnahmen. Der Umfang der erforderlichen Maßnahmen ist zu weit, als dass er in diesem Newsletter ausgebreitet werden könnte. Beispielhaft sei aber genannt, dass Unternehmen nach DORA weitgehenden Cyber-Risikomanagementpflichten (Art. 5 ff. DORA), IT-Schutzpflichten (Art. 7 ff. DORA), Vorgaben zu Resilienz und Umgang mit Cybervorfällen (Art. 10 ff. DORA), Vorgaben zum regelmäßigen Test der eigenen IT-Systeme (Art. 24 ff. DORA) und Regeln zur Bewertung von Risiken, die mit der Nutzung von Services dritter Parteien einhergehen (Art. 28 ff. DORA), unterliegen.
Hervorzuheben ist, dass gem. Art. 5 Abs. 2 DORA eine unmittelbare Verantwortung der Geschäftsführung besteht. Derselbe Gedanke ist in Art. 20 NIS2 niedergelegt. Sollten Ihre Kunden bei entsprechender Unternehmensgröße also selbst von DORA oder NIS2 betroffen sein, so bietet es sich an, dass ohnehin bedeutsame Thema Cyberversicherung unter Verweis auf die steigende Anzahl der Cyberangriffe und die rechtliche Aktualität europäischer Vorgaben aufzugreifen. DORA und NIS2 sind aber nicht nur ein Thema der Cyberversicherung, sondern können auch der Türöffner für die Erweiterung oder Aktualisierung einer bestehenden D&O-Versicherung sein. Es lohnt sich zu prüfen, ob auch die Pflichten aus diesen europäischen Rechtsakten von einer bestehenden Deckung erfasst wären.
Es ist begrüßenswert, dass der Europagesetzgeber die Realitäten der Vermittler erkannt und berücksichtigt hat. KRITIS, DORA und NIS2 betreffen den allergrößten Teil der Versicherungsmakler nicht. Dennoch zeigt die Auseinandersetzung mit dieser europäischen Gesetzgebungsoffensive, dass Regulierungen weiter zunehmen und Cybersicherheit immer bedeutsamer wird. In diesem Sinne möchte ich jeden unserer Mandanten und Mandantinnen ermutigen, die unternehmenseigene IT-Sicherheit und das Bestehen einer geeigneten Cyberversicherung zu überprüfen.
Ich wünsche Ihnen allen einen erfolgreichen Monat, auf dass Sie heute und in Zukunft von jeder Cyberattacke verschont bleiben!
Mit freundlichen Grüßen
Ihr,
Stephan Michaelis LL.M.
Fachanwalt für Versicherungsrecht
Fachanwalt für Handels- und Gesellschaftsrecht