NIS2 für IT-Dienstleister und MSPs
Eigenpflicht, Mandanten-Haftung und Cyber-/E&O-Versicherung
IT-Dienstleister und Managed-Service-Provider (MSPs) sind 2026 in einer Doppelpflicht-Falle.
Erstens direkt erfasst als Sektor 9 ICT-Dienstleistungsmanagement (Anlage I, hohe Kritikalität) der NIS2-Richtlinie.
Zweitens als Lieferant für NIS2-pflichtige Mandanten, die nach § 30 Abs.
2 Nr.
4 BSIG ihre Cybersicherheits-Anforderungen vertraglich weiterreichen müssen.
Hinzu kommt für MSPs mit Finanz-Mandanten der Digital Operational Resilience Act (DORA) mit noch schärferen IKT-Drittdienstleister-Anforderungen.
Diese Seite zeigt die doppelte Betroffenheit, die konkreten § 30 BSIG-Pflichten für MSPs, die Veränderungen in AVV-Verträgen mit Mandanten und den passenden Versicherungs-Stack aus Cyberpolice, Vermögensschaden-Haftpflicht-IT (E&O) und D&O.
Inhaltsverzeichnis
MSPs sind doppelt betroffen: direkt plus Lieferkette
NIS2 erfasst IT-Dienstleister auf zwei Ebenen. Direkt als Sektor 9 ICT-Dienstleistungsmanagement (Managed Services, Managed Security Services) und Sektor 8 Digitale Infrastruktur (Cloud-Provider, Rechenzentren, CDNs). Indirekt als Lieferant für NIS2-pflichtige Mandanten - jeder MSP, der 20 bis 200 NIS2-Mandanten bedient, bekommt von jedem dieser Mandanten vertragliche Cybersicherheits-Anforderungen plus Audit-Rechte. Das ist neu und massiv: bisher waren MSPs vertraglich oft mit Standard-DSGVO-AVV reguliert (Art. 28 DSGVO). 2026 kommen NIS2-Klauseln hinzu - 24-Stunden-Meldepflicht ans Mandanten-Sicherheitsteam bei jedem Verdacht, Audit-Rechte des Mandanten beim MSP, Vertragsstrafen bei Verstößen. Wer als MSP hier nicht professionell aufgestellt ist, verliert 2026 Mandanten an Wettbewerber mit besserer NIS2-Reife. Umgekehrt: NIS2-Reife wird zum Vertriebs-USP.
Schwellen: Wann ist mein MSP wesentlich oder wichtig?
Sektor 9 hat die Standard-Schwellen: wichtig ab 50 MA oder 10 Mio EUR Jahresumsatz, besonders wichtig ab 250 MA oder 50 Mio EUR plus Bilanzsumme über 43 Mio EUR. Damit ist praktisch jedes mittelständische Systemhaus, jeder MSP und jeder MSSP NIS2-pflichtig. Größenunabhängig erfasst sind außerdem Anbieter qualifizierter Vertrauensdienste (eIDAS), TLD-Registries, DNS-Diensten - das gilt auch für Tochtergesellschaften von MSPs in diesen Sub-Sparten. Für DORA gilt zusätzlich: jeder IT-Dienstleister für Finanz-Mandanten kann als IKT-Drittdienstleister klassifiziert werden (kritisch oder nicht-kritisch) - die Klassifikation erfolgt durch die ESAs (European Supervisory Authorities) auf Basis von Marktrelevanz und Substitutbarkeit. Für mittelgroße MSPs mit Bank- oder Versicherungs-Mandanten wird DORA-Compliance ab 2026 zum Marktzugangs-Kriterium.
Top-Risiken MSP 2026: RMM, Tenant-Hijack, Supply-Chain
Erstens Kompromittierung von Remote-Monitoring-and-Management-Tools (RMM). Der Kaseya-Vorfall 2021 ist das Lehrbuch-Beispiel: Angreifer kompromittierten die RMM-Software, von dort aus rolled-out Ransomware an 1.500 Mandanten gleichzeitig. 2026 sind RMM-Tools wie ConnectWise, NinjaOne, Datto, Atera, Pulseway weiter im Visier - jeder Vorfall hat Multiplikator-Wirkung. Zweitens Tenant-Hijacking in Cloud-Verwaltung. Microsoft 365, Azure und AWS-Mandanten werden über kompromittierte MSP-Admin-Accounts übernommen - oft via SIM-Swapping plus MFA-Bypass. Tenant-Übernahme bedeutet vollständiger Datenzugriff plus Möglichkeit zur lateralen Bewegung. Drittens Supply-Chain-Angriffe nach SolarWinds-Pattern. Updates, Build-Pipelines und Code-Signing-Zertifikate von MSPs sind hochwertvolle Ziele. Was beim Endkunden ankommt, vertraut man blind - genau das nutzen staatliche Akteure aus.
§ 30 BSIG für MSPs: was Mandanten jetzt im AVV verlangen
Die zehn Mindestmaßnahmen nach § 30 BSIG haben für MSPs konkrete vertragliche Konsequenzen. Mandanten verlangen 2026 typischerweise: dokumentiertes ISMS (idealerweise ISO 27001-zertifiziert), nachweisbare Incident-Response-Prozesse mit 24-Stunden-Meldekette an den Mandanten, MFA-Pflicht für alle administrativen Zugänge inkl. RMM und Cloud-Tenants, Penetration-Tests jährlich mit Berichts-Pflicht an Mandanten, Awareness-Programme für MSP-Personal, Hintergrundprüfung neuer Mitarbeiter, Berufshaftpflicht-Versicherung mit Cyber-Klausel, Subunternehmer-Audits mit Reporting an Mandanten. Praktisch heißt das: Standard-AVV nach Art. 28 DSGVO reicht 2026 nicht mehr - es braucht eine erweiterte NIS2-AVV-Vorlage. Wer hier nicht proaktiv liefert, bekommt von jedem NIS2-Mandanten individuelle Verträge mit unterschiedlichen Anforderungen - Bürokratie-Albtraum. Empfehlung: eine eigene Standard-NIS2-AVV erarbeiten, vom Wirtschaftsanwalt prüfen, allen Mandanten anbieten.
DORA als zweite Schicht: Finanz-Mandanten ab 2026
DORA (Digital Operational Resilience Act) ist seit 17. Januar 2025 für Finanzunternehmen wirksam. Für IT-Dienstleister mit Finanz-Mandanten bedeutet das: Banken, Versicherungen, Asset Manager und Fintech-Unternehmen müssen ihre IKT-Drittdienstleister klassifizieren und vertraglich härter regulieren. DORA-Anforderungen gehen über NIS2 hinaus: detaillierte vertragliche Pflichten (Art. 30 DORA), Exit-Strategien dokumentieren, Vor-Ort-Audits der Mandanten ermöglichen, jährliche Threat-Led Penetration Tests (TLPT) für kritische Anbieter. Für mittelgroße MSPs mit Bank-Mandanten ist DORA praktisch ein Show-Stopper, wenn man nicht professionell aufgestellt ist. Empfehlung: bei Finanz-Mandanten ab 2026 immer prüfen, ob die DORA-Klassifizierung kommt - kritische IKT-Drittdienstleister unterliegen direkter ESA-Aufsicht, das ist eine andere Liga als die deutsche BSI-Aufsicht.
Versicherungs-Stack: Cyber plus Vermögensschaden-IT (E&O) plus D&O
MSPs brauchen 2026 einen mehrschichtigen Versicherungs-Stack. Erstens Cyberpolice für eigene Vorfälle: BU bei eigenem Ausfall, Wiederherstellung, Forensik, DSGVO-Bußgeld-Rechtsschutz. Zweitens Vermögensschaden-Haftpflicht-IT (E&O, Errors and Omissions): deckt Schäden, die Mandanten durch Fehler des MSP entstehen - z.B. Datenverlust bei Migration, Konfigurationsfehler, Beratungsfehler. Versicherungssummen unter 1 Mio EUR sind für mittelständische MSPs unzureichend - ein einziger Großfall (Datenverlust bei Bank-Mandant) kann das Unternehmen vernichten. Drittens D&O-Versicherung für Geschäftsführung wegen § 38 BSIG. Cyberpolice und E&O überschneiden sich teilweise - hier ist sauberes Abgrenzungs-Mapping wichtig, sonst Doppel-Versicherung oder Lücken. Bei mehreren Anbietern - siehe unseren Anbieter-Vergleich - sind Hiscox, Markel und Allianz für MSP-Risiken besonders aufgestellt, weil sie das Schnittstellen-Problem zwischen Cyber und E&O verstehen.
Mandantenkommunikation: NIS2-Reife im Vertrieb zeigen
NIS2-Reife wird 2026 zum Vertriebs-USP für MSPs. Mandanten - vor allem solche, die selbst NIS2-pflichtig sind - bevorzugen Anbieter, die ihre eigene Compliance professionell vorzeigen können. Praktische Materialien: eine MSP-NIS2-Whitepaper (10-15 Seiten) mit ISMS-Status, Incident-Response-Prozess, vertraglichen NIS2-Klauseln, Versicherungs-Stack, jährlichen Audit-Berichten. Auf der Website eine eigene NIS2-Compliance-Seite mit ISO 27001-Zertifikat als PDF-Download, Status der DSGVO-AVV-Vorlage, Liste der zertifizierten Subunternehmer. Vertriebs-Pitches anpassen: NIS2-Reife in die Standard-Demo aufnehmen, Mandantenseite die Frage stellen lassen, vorbereitete Antworten haben. Wer als MSP hier proaktiv kommuniziert, gewinnt 2026 Marktanteile von Wettbewerbern, die NIS2 als Nice-to-have behandeln.
Häufige Fragen
Mein Systemhaus hat 70 MA und 12 Mio EUR Umsatz - bin ich NIS2-pflichtig?
Was muss ich als MSP meinen NIS2-Mandanten im AVV anbieten?
Brauche ich als MSP eine eigene Cyberpolice oder reicht die Berufshaftpflicht?
Greift DORA auch für mich, wenn ich nur einen Bank-Mandanten habe?
Welche Versicherungssumme braucht ein 100-MA-MSP mit 30 NIS2-Mandanten?
Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.
Kostenlos beraten lassen – in 60 Sekunden
Füllen Sie das kurze Formular aus und erhalten Sie eine unverbindliche Empfehlung von unseren zertifizierten Cyber-Experten.
DSGVO-konform · SSL-verschlüsselt · Keine Weitergabe an Dritte