Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    NIS2 & Compliance12 Min. Lesezeit21. Mai 2026

    NIS2 für IT-Dienstleister und MSPs

    Eigenpflicht, Mandanten-Haftung und Cyber-/E&O-Versicherung

    Das Wichtigste in Kürze

    IT-Dienstleister und Managed-Service-Provider (MSPs) sind 2026 in einer Doppelpflicht-Falle.

    Erstens direkt erfasst als Sektor 9 ICT-Dienstleistungsmanagement (Anlage I, hohe Kritikalität) der NIS2-Richtlinie.

    Zweitens als Lieferant für NIS2-pflichtige Mandanten, die nach § 30 Abs.

    2 Nr.

    4 BSIG ihre Cybersicherheits-Anforderungen vertraglich weiterreichen müssen.

    Hinzu kommt für MSPs mit Finanz-Mandanten der Digital Operational Resilience Act (DORA) mit noch schärferen IKT-Drittdienstleister-Anforderungen.

    Diese Seite zeigt die doppelte Betroffenheit, die konkreten § 30 BSIG-Pflichten für MSPs, die Veränderungen in AVV-Verträgen mit Mandanten und den passenden Versicherungs-Stack aus Cyberpolice, Vermögensschaden-Haftpflicht-IT (E&O) und D&O.

    1

    MSPs sind doppelt betroffen: direkt plus Lieferkette

    NIS2 erfasst IT-Dienstleister auf zwei Ebenen. Direkt als Sektor 9 ICT-Dienstleistungsmanagement (Managed Services, Managed Security Services) und Sektor 8 Digitale Infrastruktur (Cloud-Provider, Rechenzentren, CDNs). Indirekt als Lieferant für NIS2-pflichtige Mandanten - jeder MSP, der 20 bis 200 NIS2-Mandanten bedient, bekommt von jedem dieser Mandanten vertragliche Cybersicherheits-Anforderungen plus Audit-Rechte. Das ist neu und massiv: bisher waren MSPs vertraglich oft mit Standard-DSGVO-AVV reguliert (Art. 28 DSGVO). 2026 kommen NIS2-Klauseln hinzu - 24-Stunden-Meldepflicht ans Mandanten-Sicherheitsteam bei jedem Verdacht, Audit-Rechte des Mandanten beim MSP, Vertragsstrafen bei Verstößen. Wer als MSP hier nicht professionell aufgestellt ist, verliert 2026 Mandanten an Wettbewerber mit besserer NIS2-Reife. Umgekehrt: NIS2-Reife wird zum Vertriebs-USP.

    2

    Schwellen: Wann ist mein MSP wesentlich oder wichtig?

    Sektor 9 hat die Standard-Schwellen: wichtig ab 50 MA oder 10 Mio EUR Jahresumsatz, besonders wichtig ab 250 MA oder 50 Mio EUR plus Bilanzsumme über 43 Mio EUR. Damit ist praktisch jedes mittelständische Systemhaus, jeder MSP und jeder MSSP NIS2-pflichtig. Größenunabhängig erfasst sind außerdem Anbieter qualifizierter Vertrauensdienste (eIDAS), TLD-Registries, DNS-Diensten - das gilt auch für Tochtergesellschaften von MSPs in diesen Sub-Sparten. Für DORA gilt zusätzlich: jeder IT-Dienstleister für Finanz-Mandanten kann als IKT-Drittdienstleister klassifiziert werden (kritisch oder nicht-kritisch) - die Klassifikation erfolgt durch die ESAs (European Supervisory Authorities) auf Basis von Marktrelevanz und Substitutbarkeit. Für mittelgroße MSPs mit Bank- oder Versicherungs-Mandanten wird DORA-Compliance ab 2026 zum Marktzugangs-Kriterium.

    Top-Risiken MSP 2026: RMM, Tenant-Hijack, Supply-Chain

    Erstens Kompromittierung von Remote-Monitoring-and-Management-Tools (RMM). Der Kaseya-Vorfall 2021 ist das Lehrbuch-Beispiel: Angreifer kompromittierten die RMM-Software, von dort aus rolled-out Ransomware an 1.500 Mandanten gleichzeitig. 2026 sind RMM-Tools wie ConnectWise, NinjaOne, Datto, Atera, Pulseway weiter im Visier - jeder Vorfall hat Multiplikator-Wirkung. Zweitens Tenant-Hijacking in Cloud-Verwaltung. Microsoft 365, Azure und AWS-Mandanten werden über kompromittierte MSP-Admin-Accounts übernommen - oft via SIM-Swapping plus MFA-Bypass. Tenant-Übernahme bedeutet vollständiger Datenzugriff plus Möglichkeit zur lateralen Bewegung. Drittens Supply-Chain-Angriffe nach SolarWinds-Pattern. Updates, Build-Pipelines und Code-Signing-Zertifikate von MSPs sind hochwertvolle Ziele. Was beim Endkunden ankommt, vertraut man blind - genau das nutzen staatliche Akteure aus.

    4

    § 30 BSIG für MSPs: was Mandanten jetzt im AVV verlangen

    Die zehn Mindestmaßnahmen nach § 30 BSIG haben für MSPs konkrete vertragliche Konsequenzen. Mandanten verlangen 2026 typischerweise: dokumentiertes ISMS (idealerweise ISO 27001-zertifiziert), nachweisbare Incident-Response-Prozesse mit 24-Stunden-Meldekette an den Mandanten, MFA-Pflicht für alle administrativen Zugänge inkl. RMM und Cloud-Tenants, Penetration-Tests jährlich mit Berichts-Pflicht an Mandanten, Awareness-Programme für MSP-Personal, Hintergrundprüfung neuer Mitarbeiter, Berufshaftpflicht-Versicherung mit Cyber-Klausel, Subunternehmer-Audits mit Reporting an Mandanten. Praktisch heißt das: Standard-AVV nach Art. 28 DSGVO reicht 2026 nicht mehr - es braucht eine erweiterte NIS2-AVV-Vorlage. Wer hier nicht proaktiv liefert, bekommt von jedem NIS2-Mandanten individuelle Verträge mit unterschiedlichen Anforderungen - Bürokratie-Albtraum. Empfehlung: eine eigene Standard-NIS2-AVV erarbeiten, vom Wirtschaftsanwalt prüfen, allen Mandanten anbieten.

    5

    DORA als zweite Schicht: Finanz-Mandanten ab 2026

    DORA (Digital Operational Resilience Act) ist seit 17. Januar 2025 für Finanzunternehmen wirksam. Für IT-Dienstleister mit Finanz-Mandanten bedeutet das: Banken, Versicherungen, Asset Manager und Fintech-Unternehmen müssen ihre IKT-Drittdienstleister klassifizieren und vertraglich härter regulieren. DORA-Anforderungen gehen über NIS2 hinaus: detaillierte vertragliche Pflichten (Art. 30 DORA), Exit-Strategien dokumentieren, Vor-Ort-Audits der Mandanten ermöglichen, jährliche Threat-Led Penetration Tests (TLPT) für kritische Anbieter. Für mittelgroße MSPs mit Bank-Mandanten ist DORA praktisch ein Show-Stopper, wenn man nicht professionell aufgestellt ist. Empfehlung: bei Finanz-Mandanten ab 2026 immer prüfen, ob die DORA-Klassifizierung kommt - kritische IKT-Drittdienstleister unterliegen direkter ESA-Aufsicht, das ist eine andere Liga als die deutsche BSI-Aufsicht.

    6

    Versicherungs-Stack: Cyber plus Vermögensschaden-IT (E&O) plus D&O

    MSPs brauchen 2026 einen mehrschichtigen Versicherungs-Stack. Erstens Cyberpolice für eigene Vorfälle: BU bei eigenem Ausfall, Wiederherstellung, Forensik, DSGVO-Bußgeld-Rechtsschutz. Zweitens Vermögensschaden-Haftpflicht-IT (E&O, Errors and Omissions): deckt Schäden, die Mandanten durch Fehler des MSP entstehen - z.B. Datenverlust bei Migration, Konfigurationsfehler, Beratungsfehler. Versicherungssummen unter 1 Mio EUR sind für mittelständische MSPs unzureichend - ein einziger Großfall (Datenverlust bei Bank-Mandant) kann das Unternehmen vernichten. Drittens D&O-Versicherung für Geschäftsführung wegen § 38 BSIG. Cyberpolice und E&O überschneiden sich teilweise - hier ist sauberes Abgrenzungs-Mapping wichtig, sonst Doppel-Versicherung oder Lücken. Bei mehreren Anbietern - siehe unseren Anbieter-Vergleich - sind Hiscox, Markel und Allianz für MSP-Risiken besonders aufgestellt, weil sie das Schnittstellen-Problem zwischen Cyber und E&O verstehen.

    7

    Mandantenkommunikation: NIS2-Reife im Vertrieb zeigen

    NIS2-Reife wird 2026 zum Vertriebs-USP für MSPs. Mandanten - vor allem solche, die selbst NIS2-pflichtig sind - bevorzugen Anbieter, die ihre eigene Compliance professionell vorzeigen können. Praktische Materialien: eine MSP-NIS2-Whitepaper (10-15 Seiten) mit ISMS-Status, Incident-Response-Prozess, vertraglichen NIS2-Klauseln, Versicherungs-Stack, jährlichen Audit-Berichten. Auf der Website eine eigene NIS2-Compliance-Seite mit ISO 27001-Zertifikat als PDF-Download, Status der DSGVO-AVV-Vorlage, Liste der zertifizierten Subunternehmer. Vertriebs-Pitches anpassen: NIS2-Reife in die Standard-Demo aufnehmen, Mandantenseite die Frage stellen lassen, vorbereitete Antworten haben. Wer als MSP hier proaktiv kommuniziert, gewinnt 2026 Marktanteile von Wettbewerbern, die NIS2 als Nice-to-have behandeln.

    Häufige Fragen

    Mein Systemhaus hat 70 MA und 12 Mio EUR Umsatz - bin ich NIS2-pflichtig?
    Ja. Sektor 9 ICT-Dienstleistungsmanagement (Anlage I, hohe Kritikalität) hat die Schwelle 50 MA oder 10 Mio EUR. Sie sind als wichtige Einrichtung NIS2-pflichtig - mit allen Konsequenzen aus § 30 BSIG, § 32 BSIG und § 38 BSIG. Die BSI-Registrierung war bis 6. März 2026 fällig. Bonus: weil Sie ein IT-Dienstleister sind, kommt der Lieferketten-Druck Ihrer Mandanten oben drauf - faktisch zweifache Compliance-Last.
    Was muss ich als MSP meinen NIS2-Mandanten im AVV anbieten?
    Erweiterte NIS2-Klauseln zusätzlich zum DSGVO-AVV nach Art. 28: 24-Stunden-Meldepflicht ans Mandanten-Sicherheitsteam bei Cyber-Vorfall, Audit-Rechte des Mandanten beim MSP, MFA-Pflicht für alle administrativen Zugänge, ISMS-Status-Reports (jährlich), Subunternehmer-Liste mit Sicherheits-Status, Vertragsstrafen bei Verstößen. Empfehlung: eine eigene Standard-NIS2-AVV-Vorlage vom Wirtschaftsanwalt prüfen lassen und proaktiv allen Mandanten anbieten - sonst kommen individuelle Verträge mit unterschiedlichen Anforderungen pro Mandant.
    Brauche ich als MSP eine eigene Cyberpolice oder reicht die Berufshaftpflicht?
    Beides. Berufshaftpflicht (Vermögensschaden-Haftpflicht-IT, E&O) deckt Schäden, die Mandanten durch MSP-Fehler entstehen - Datenverlust bei Migration, Konfigurationsfehler, Beratungsfehler. Cyberpolice deckt eigene Vorfälle - Ransomware beim MSP, BU bei eigenem Ausfall, Forensik. Beides überschneidet sich teilweise (z.B. wenn Mandant einen Schaden durch MSP-Cyber-Vorfall hat) - hier ist sauberes Abgrenzungs-Mapping wichtig. Versicherungssummen unter 1 Mio EUR sind beide Male unzureichend für mittelständische MSPs.
    Greift DORA auch für mich, wenn ich nur einen Bank-Mandanten habe?
    Direkt nicht, indirekt ja. DORA gilt direkt für Finanzunternehmen - die müssen ihre IKT-Drittdienstleister klassifizieren und vertraglich nach Art. 30 DORA regulieren. Als MSP eines Bank-Mandanten bekommen Sie damit DORA-konforme Vertrags-Klauseln zugewiesen - Exit-Strategie dokumentieren, jährliche TLPT-Tests, Vor-Ort-Audits ermöglichen. Bei mehreren Finanz-Mandanten oder einer großen Bank kann eine ESA-Klassifizierung als kritischer IKT-Drittdienstleister kommen - dann direkte EU-Aufsicht. Pflicht: bei Finanz-Mandanten DORA-Klassifizierungs-Status immer aktiv erfragen.
    Welche Versicherungssumme braucht ein 100-MA-MSP mit 30 NIS2-Mandanten?
    Realistisch 3-5 Mio EUR pro Police-Säule (Cyber plus E&O). Ein Großfall - z.B. RMM-Kompromittierung mit Ransomware bei 10 von 30 Mandanten gleichzeitig - kann siebenstellige BU-Schäden plus Vermögensschaden-Klagen der Mandanten erzeugen. Plus DSGVO-Folgen, Anwaltskosten, Reputationsschaden. Wer mit 1 Mio EUR auf jeder Säule arbeitet, ist im Worst Case existenz-bedroht. Unser Vergleichsrechner bei CyberDirekt bietet MSP-spezifische Tarifvarianten an.
    Thomas Dewein
    Versicherungsexperte

    Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.

    Fachlich geprüft am 18. Juli 2026
    Mehr über den Autor →
    Jetzt absichern

    Kostenlos beraten lassen – in 60 Sekunden

    Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.

    Unabhängiger Vergleich aus 50+ Tarifen
    Persönliche Beratung durch Experten
    100% kostenlos & unverbindlich
    KontaktanfrageSchritt 1/2
    DSGVO

    DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.