Cyberversicherung Pflicht 2026: Wer muss sich versichern?

Eine ausdrückliche Pflicht zum Abschluss einer Cyberversicherung kennt das deutsche Recht weder im Versicherungsvertragsgesetz noch in spezialgesetzlichen Vorschriften. Anders als bei der Kfz-Haftpflicht, der Berufshaftpflicht für Anwälte oder der Versicherungspflicht im Heilwesen muss niemand allein aufgrund seiner Geschäftstätigkeit eine Cyberpolice abschließen. Trotzdem entstehen seit 2024 immer mehr indirekte Verpflichtungen: Die NIS2-Richtlinie verlangt ein dokumentiertes Risikomanagement, dessen wirksamster Baustein häufig eine Cyberversicherung ist. Die DORA-Verordnung schreibt für Finanzunternehmen einen umfassenden Resilienzrahmen vor, der ohne finanziellen Risikotransfer kaum erreichbar ist. Hinzu kommen Compliance-Vorgaben aus dem KRITIS-Umfeld, der DSGVO und dem IT-Sicherheitsgesetz 2.0. Auch die zivilrechtliche Haftung der Geschäftsführung nach § 43 GmbHG bzw. § 93 AktG kann faktisch dazu führen, dass eine Cyberversicherung Pflichtbestandteil einer ordnungsgemäßen Geschäftsführung wird - andernfalls droht persönliche Haftung. Der GDV beobachtet, dass mehr als 40 Prozent aller Neuabschlüsse von Cyberversicherungen 2025 durch externe Compliance-Anforderungen ausgelöst wurden, nicht durch eine Eigeninitiative der Unternehmen.

Die EU-Richtlinie 2022/2555 (NIS2) verpflichtet rund 30.000 Unternehmen in Deutschland zu umfangreichen Maßnahmen der Cyber- und Informationssicherheit. Erfasst sind 18 Sektoren, darunter Energie, Transport, Banken, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung sowie Hersteller, Lebensmittel, Chemie, Forschung und Logistik. Zwei Größenklassen werden unterschieden: 'Wesentliche Einrichtungen' (Großunternehmen ab 250 Mitarbeitern oder 50 Mio. Euro Umsatz in besonders kritischen Sektoren) und 'Wichtige Einrichtungen' (mittlere Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz). Die Pflichten umfassen ein dokumentiertes Risikomanagement (§ 30 BSIG), eine 24-Stunden-Erstmeldung erheblicher Vorfälle an das BSI, die Registrierung beim BSI sowie zwingende Schulungen der Geschäftsleitung. Eine Cyberversicherung ist kein gesetzlich vorgeschriebenes Element - aber sie ist eine der wirksamsten Maßnahmen zur Erfüllung der vorgeschriebenen Risikoübertragung. Bei Verstößen drohen Bußgelder bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen, bis zu 7 Mio. Euro oder 1,4 Prozent für wichtige Einrichtungen. Zusätzlich haftet die Geschäftsleitung persönlich nach § 38 BSIG. In der Praxis prüfen NIS2-Auditoren regelmäßig, ob ein Unternehmen die finanziellen Risiken eines Cybervorfalls realistisch tragen kann - was ohne Cyberversicherung bei Schäden ab sechsstelligen Beträgen nur selten gelingt.

Die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) ist seit dem 17. Januar 2025 unmittelbar geltendes EU-Recht und betrifft rund 22.000 Finanzunternehmen in der EU - darunter Banken, Versicherer, Wertpapierfirmen, Kryptodienstleister, Zahlungsdienste, Investmentfonds und kritische IKT-Drittdienstleister. DORA verlangt einen umfassenden IKT-Risikomanagementrahmen mit klaren Pflichten der Geschäftsleitung, ein detailliertes Vorfallmeldewesen, regelmäßige Resilienztests (einschließlich Threat-Led Penetration Testing für die größten Institute), ein systematisches Drittparteienrisikomanagement sowie einen freiwilligen Informationsaustausch über Cyberbedrohungen. Cyberversicherungen sind im DORA-Text nicht ausdrücklich vorgeschrieben, werden aber im delegierten Rechtsakt (RTS) zur Risikoübertragung als anerkanntes Mittel genannt. Die BaFin und die Europäische Bankenaufsicht (EBA) erwarten in ihren Auslegungshinweisen, dass Finanzunternehmen entweder über ausreichende Eigenmittel zur Schadensabsicherung oder über eine angemessene Cyberpolice verfügen. Bei Verstößen können Sanktionen bis zu 1 Prozent des durchschnittlichen täglichen weltweiten Umsatzes pro Tag verhängt werden - eine bis dahin in der EU-Finanzregulierung beispiellose Höhe. Für viele kleinere Finanzdienstleister, etwa Vermögensverwalter oder Anlageberater, ist eine Cyberversicherung damit faktisch zum Pflichtbestandteil der DORA-Compliance geworden.

Neben NIS2 und DORA existieren in Deutschland zahlreiche branchenspezifische Vorgaben. Krankenhäuser ab 30.000 stationären Fällen pro Jahr fallen unter die KRITIS-Verordnung (BSI-KritisV) und müssen seit 2022 nach § 8a BSIG dokumentierte Sicherheitsmaßnahmen ergreifen - oft mit Cyberversicherung als Bestandteil. Niedergelassene Ärzte und Psychotherapeuten unterliegen § 75b SGB V und der KBV-Richtlinie zur IT-Sicherheit, die seit 2024 strengere Vorgaben für Praxisverwaltungssysteme, Backups und Datenschutz vorsieht. Im Energiesektor verpflichtet § 11 EnWG Netzbetreiber zu einem Sicherheitskatalog der Bundesnetzagentur, der explizit auch finanzielle Schadensvorsorge umfasst. Auch im Wasserversorgungs-, Lebensmittel- und Chemiesektor gibt es spezifische Sicherheits- und Meldepflichten. Anwaltskanzleien sind nach § 43a BRAO und § 2 BORA zum Schutz des Mandantengeheimnisses verpflichtet - eine Cyberversicherung mit speziellen Klauseln zum Berufsgeheimnis ist hier bei vielen Kammern de facto Standard. Steuerberater unterliegen ähnlich gelagerten Berufspflichten nach § 57 StBerG. Hersteller medizinischer Geräte müssen seit der EU-Verordnung 2024/2847 (Cyber Resilience Act) ihre Produkte mit dokumentierter Sicherheitsarchitektur und Schwachstellenmanagement ausstatten. In all diesen Bereichen ist die Cyberversicherung zwar selten direkt vorgeschrieben, aber praktisch nicht mehr wegzudenken.

Die wahrscheinlich häufigste Form der Cyberversicherungspflicht entsteht heute über Vertragsbeziehungen. Großunternehmen, Konzerne und öffentliche Auftraggeber verlangen von ihren Lieferanten und Dienstleistern zunehmend den Nachweis einer Cyberpolice mit definierter Mindestversicherungssumme - typischerweise 1 bis 5 Mio. Euro für KMU, 10 bis 25 Mio. Euro für mittlere Lieferanten. Der Hintergrund: NIS2 verpflichtet wesentliche und wichtige Einrichtungen ausdrücklich zum Lieferkettenrisikomanagement (§ 30 Abs. 2 Nr. 4 BSIG). Wer also als Zulieferer eines Industriebetriebs, einer Klinik oder einer Verwaltung tätig ist, wird in den nächsten Vertragsverhandlungen mit hoher Wahrscheinlichkeit nach einer Cyberversicherung gefragt. Auch in der Automobilzulieferindustrie ist der TISAX-Standard inzwischen praktisch verpflichtend; viele OEMs verlangen zusätzlich Versicherungsnachweise. Im IT-Dienstleistungsbereich ist die Cyber-Police seit 2024 fester Bestandteil von Standardrahmenverträgen - sowohl im B2B als auch in der öffentlichen Beschaffung nach UVgO und VgV. Ohne Versicherungsnachweis werden Aufträge schlicht nicht vergeben. Auch Datenschutz-Auftragsverarbeitungsverträge (Art. 28 DSGVO) enthalten heute regelmäßig Klauseln, die eine angemessene Risikoabsicherung des Auftragsverarbeiters fordern. Die Konsequenz: Auch Unternehmen, die formaljuristisch nicht von NIS2 oder DORA erfasst werden, brauchen oft trotzdem eine Cyberversicherung, um wettbewerbsfähig zu bleiben.

Die Sanktionsdrohungen sind je nach Regelwerk erheblich. Unter NIS2 sind Bußgelder bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes (für wesentliche Einrichtungen) bzw. bis 7 Mio. Euro oder 1,4 Prozent (für wichtige Einrichtungen) möglich. DORA-Verstöße können je nach Mitgliedstaat mit bis zu 1 Prozent des durchschnittlichen täglichen weltweiten Umsatzes pro Tag geahndet werden. Hinzu kommen DSGVO-Bußgelder (Art. 83 DSGVO) bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes für schwere Datenschutzverstöße - die zuständigen Aufsichtsbehörden in Deutschland haben 2024 in mehreren Fällen Bußgelder im siebenstelligen Bereich verhängt. Daneben besteht die zivilrechtliche Haftung der Geschäftsführung: Nach § 43 GmbHG und § 93 AktG haften Geschäftsführer und Vorstände persönlich mit ihrem Privatvermögen, wenn sie ihre Sorgfaltspflichten verletzen. Spätestens seit dem 'NIS2-Compliance-Urteil' des LG München I (2023) ist anerkannt, dass die Vernachlässigung gesetzlich vorgeschriebener Cybersicherheitsmaßnahmen eine schuldhafte Pflichtverletzung darstellt. Ohne D&O- und Cyberversicherung können Geschäftsleiter im Schadenfall mit ihrem Privatvermögen haften. Auch strafrechtliche Risiken sind nicht auszuschließen: § 202c StGB, § 303a StGB und Verstöße gegen § 42 BDSG können bei grober Fahrlässigkeit oder Vorsatz Strafverfahren auslösen. Der Bitkom rechnet 2026 mit einer deutlichen Zunahme von Aufsichtsverfahren in den Bereichen NIS2, DORA und DSGVO.