Die NIS2-Richtlinie enthält rechtliche Maßnahmen zur Steigerung der Cybersicherheit in der EU. Dazu gehört auch eine neue, persönliche Haftung von Führungskräften, wenn bestimmte Vorgaben von NIS2 verletzt werden. Wie aber schützt man sich vor den steigenden Cyberrisiken und den neuen persönlichen Risiken? Hier hilft ein All-in-One-Paket aus Cyberschutz und Cyberversicherung.
NIS2 erfordert Transparenz in der eigenen Cybersicherheit und Maßnahmen zur Minimierung der Cyberrisiken. Hier unterstützt Cyber Guard von Eye Security nicht nur mit einem übersichtlichen Dashboard. Mittelstandsunternehmen erhalten mit dem All-in-One-Paket aus Cyberschutz und Cyberversicherung eine Bedrohungserkennung und Reaktion auf Cybervorfälle rund um die Uhr, eine Versicherung zur Deckung finanzieller Verluste und Schulung zu Cyber-Intelligenz und -Bewusstsein.
(Bild: Eye Security)
Die NIS-2-Richtlinie wird ein sichereres und stärkeres Europa gewährleisten, indem sie die Sektoren und die Art der kritischen Einrichtungen, die in ihren Anwendungsbereich fallen, erheblich erweitert, so die EU-Kommission. Zu den direkt von den NIS2-Vorgaben betroffenen Unternehmen gehören Anbieter von öffentlichen elektronischen Kommunikationsnetzen und -diensten, Rechenzentrums-Dienste, Abwasser- und Abfallwirtschaft, die Herstellung kritischer Produkte, Post- und Kurierdienste und Einrichtungen der öffentlichen Verwaltung sowie der Gesundheitssektor im weiteren Sinne. Ebenso sollten sich ggfs. mittelbar von NIS2 betroffene Unternehmen z.B. aus der Logistik, Chemiebranche, Fertigung oder der Produktions- und Nahrungsmittelherstellung mit dem Thema vertraut machen.
Auch Mittelstandsunternehmen werden direkt oder aber indirekt als Lieferant oder Dienstleister einer kritischen Einrichtung von den verschärften Vorgaben zur Cybersicherheit betroffen sein, bereits in naher Zukunft. Bis Oktober 2024 wird die EU-Richtlinie NIS2 in nationales Recht umgesetzt und muss dann in Deutschland angewendet werden.
Dann müssen die Unternehmen höhere Anforderungen an das Cybersicherheits-Risikomanagement erfüllen, auch die Meldepflichten für Vorfälle durch präzisere Bestimmungen über die Berichterstattung, den Inhalt und den Zeitplan werden gestrafft. Doch auch die Geschäftsführung selbst unterliegt dann neuen Anforderungen im Rahmen der Rechenschaftspflicht, es wird sogar eine persönliche Haftung in der NIS2-Richtlinie genannt.
Was NIS2 zur persönlichen Haftung sagt
So findet man in Artikel 20 (Governance) von NIS2: Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können.
Die EU-Kommission erklärt dazu: Um eine wirkliche Rechenschaftspflicht für die Cybersicherheitsmaßnahmen auf organisatorischer Ebene zu gewährleisten, führt NIS2 Bestimmungen über die Haftung natürlicher Personen ein, die Führungspositionen in den in den Anwendungsbereich der neuen NIS-Richtlinie fallenden Unternehmen innehaben.
Die Leitungsebene eines von NIS2 betroffenen Unternehmens soll also persönlich verantwortlich gemacht werden können. Wie dies konkret in Deutschland aussehen wird, wird in dem entsprechenden Umsetzungsgesetz (NIS2UmsuCG) geregelt werden, das ab Oktober 2024 gilt.
Zusätzlich zu der möglichen Haftung der Geschäftsführung nach NIS2 gibt es noch die Binnenhaftung, zum Beispiel für Geschäftsleitungen von GmbHs.
Cybersicherheit gehört zum betrieblichen Risikomanagement
Die NIS2-Richtlinie macht sehr deutlich, dass Cyberrisiken als Unternehmensrisiko zu verstehen sind. Entsprechend sind die Maßnahmen der Cybersicherheit auch ein zentraler Teil des betrieblichen Risikomanagements.
NIS2 enthält eine Liste von Schlüsselelementen, die alle Unternehmen im Rahmen der von ihnen ergriffenen Maßnahmen adressieren oder umsetzen müssen, einschließlich der Bearbeitung von Vorfällen, der Sicherheit der Lieferkette, der Behandlung und Offenlegung von Schwachstellen und der Verwendung von Verschlüsselung.
Die neue Richtlinie sieht einen mehrstufigen Ansatz für die Meldung von Vorfällen vor. Betroffene Unternehmen haben 24 Stunden ab dem Zeitpunkt, zu dem sie auf einen Vorfall aufmerksam werden, um eine frühzeitige Meldung an die zuständige nationale Behörde abzugeben. Auf die Frühwarnung sollte innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls eine Meldung des Vorfalls und spätestens einen Monat später ein Abschlussbericht folgen.
Wie aber adressiert man gerade als Mittelstandsunternehmen die neuen Verpflichtungen und möglichen Haftungsrisiken? Wie kann man die Cybersicherheit stärken, wie den strengen Meldepflichten bei Vorfällen nachkommen und wie einen Versicherungsschutz gegen die Haftungsrisiken erhalten, in Zeiten, in denen Cyberversicherungen ein hohes Cyberschutz-Niveau als Versicherungsbedingung voraussetzen?
Die Lösung lautet All-in-One-Paket aus Cyberschutz und Cyberversicherung
Eye Security löst dieses Problem mit einem innovativen Gesamtpaket, das Sicherheitstechnologie mit einer umfassenden Versicherung kombiniert, die Unternehmen vor den kostspieligen Folgen von Cyberangriffen schützt. Die datengesteuerte Lösung ermöglicht es, Unternehmen innerhalb von 24 Stunden vollständig zu schützen und innerhalb 48 Stunden zu versichern.
Durch die Kombination von intelligenter Technologie und Versicherung unterscheidet sich Eye Security von herkömmlichen Cybersicherheitsunternehmen. Eye Underwriting ist der erste Versicherer in Europa, der mit einem neuen Versicherungsprodukt fast jedes Unternehmen gegen Cyber-Vorfälle versicherbar macht. Das Risiko bleibt beherrschbar, indem die Cyber-Versicherung an die Sicherheitslösung Cyber Guard von Eye Security gekoppelt wird.
Damit geht Eye Underwriting gegen den aktuellen Trend an, bei dem aufgrund des massiven Anstiegs von Cyber-Angriffen viele Versicherer das Risiko als zu groß betrachten, um Unternehmen weiterhin gegen Schäden durch Cyber-Vorfälle zu versichern.
„Wir freuen uns, unseren Kunden eine neue Möglichkeit zu bieten, mit Cyber-Risiken umzugehen“, sagt Arjan Halma, Geschäftsführer von Eye Underwriting. „Unser innovatives datengesteuertes Versicherungsprodukt wurde entwickelt, um europäischen Unternehmen zu helfen, sich vor den finanziellen Folgen von Cyber-Angriffen und Datenschutzverletzungen zu schützen und ihnen gleichzeitig Ruhe zu geben.“
Während durch Monitoring mit Eye Security auffälliges Verhalten im Netzwerk möglichst früh erkannt wird, deckt die Cyberversicherung finanzielle Schäden ab, die ein Unternehmen erleidet, wenn es dennoch von einem Vorfall betroffen ist. „Denken Sie etwa an Einkommensausfälle, Rechtskosten und Haftungsschäden aber auch an das Lösegeld, wenn Sie von einer Ransomware-Attacke betroffen sind“, so Arjan Halma.
NIS2 Herausforderungen lassen sich bewältigen
Um gerade KMU bei der Bewältigung der komplexen Anforderungen der NIS2-Richtlinie zu unterstützen, bietet Eye Security einen umfassenden MDR-Dienst (Managed Detection and Response, Dienst zur Erkennung und Reaktion auf Bedrohungen) mit Versicherungsschutz an.
Mit Eye Security können sich Unternehmen auf ihr Kerngeschäft konzentrieren und gleichzeitig sicherstellen, dass ihre Anforderungen an Cybersicherheit professionell verwaltet und an die Anforderungen der NIS2-Richtlinie angepasst werden.
Über Eye Security
Eye Security wurde 2020 gegründet und macht Cybersicherheit für europäische Unternehmen zugänglich und erschwinglich. Mit einem wachsenden Team von Sicherheitsexperten konzentriert sich Eye auf die Sicherung des Motors der Wirtschaft, nämlich die kleinen und mittelständischen Unternehmen (KMU). Neben dem Hauptsitz in Den Haag unterhält das Unternehmen Niederlassungen in Belgien und Deutschland. Eye Security bietet ein hochwertiges, erschwingliches All-in-One-Sicherheitsprodukt. Die 2022 gegründete Tochtergesellschaft Eye Underwriting bietet Kunden ein unabhängiges Cyberversicherungsprodukt.
Eye Underwriting revolutioniert in Zusammenarbeit mit Eye Security die Art und Weise, wie KMUs in Europa ihre Organisation vor Cyberbedrohungen schützen. Versicherungspolicen können innerhalb von 48 Stunden erhalten werden und bieten KMUs somit effiziente Deckung. Mit Versicherungskapazitäten durch Lloyds of London kann Eye Underwriting derzeit Unternehmen mit einem Umsatz von bis zu 250 Millionen Euro versichern.
Weitere Informationen:
Sie wollen wissen, wie es um Ihre Cybersicherheit und Ihre NIS2 Bereitschaft bestellt ist? Dann nutzen Sie die kostenlose Beratung von Eye Security.
Sie wollen den Schutz durch Eye Security mit eigenen Augen sehen? Dann vereinbaren Sie Ihren persönlichen Demo-Termin!
Eye Cyber Insurance gibt Unternehmen aus dem Mittelstand im Fall einer Cyberattacke oder einer Datenpanne Sicherheit und finanziellen Schutz, auch bei persönlicher Haftung von Führungskräften nach NIS2. Hier finden Sie die Broschüre zum Thema.
(ID:49765116)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ae/94/ae94d62bde4caa8391c5046a3a14e0c6/0129591098v1.jpeg "Am 17. Februar 2026 begann eine massive DDoS-Attacke auf die Deutsche Bahn, die die Webseite und die Buchungs-App lahm legte. (Bild: Logo: DB-Systel)")
:quality(80)/p7i.vogel.de/wcms/3f/82/3f8217982544220806e570c54f4777ac/0129435794v2.jpeg "Hybride Angriffe bewegen sich zwischen Cloud und On-Premises und überfordern fragmentierte Abwehrsysteme, die keine einheitliche Sicht auf beide Umgebungen haben. (Bild: © Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/7b/e77bf6c5803f6bf0972ecb45ca289c51/0129348911v2.jpeg "Sicherheitslücken in FreeRDP, die auf Buffer Overflows und eine Heap-Use-After-Free-Schwachstelle zurückzuführen sind, bedrohen Windows- und Unix-Systeme, indem sie Angreifern die Möglichkeit bieten, DoS- oder RCE-Angriffe durchzuführen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/ce/0fce7e5966d735b98a26a524b389bb40/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/da/2c/da2c5cde907a3ea7ab1e1d3f5034a611/0129300487v2.jpeg "Viele Menschen nutzen KI-Chatbots wie ChatGPT. Der AI-Incidents-Datenbank zufolge war die KI von OpenAI 2025 an den meisten KI-Vorfällen beteiligt. (Bild: Monkey Business - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/df/6edf77fff0987819b75ea015d2077a91/0128109744v1.jpeg "Wenn Tempo bei der Migration zum offenen Tor wird. Shared Responsibility wird dabei oft missverstanden. Die Autoren erklären, warum Cloud‑Migrationen oft Lücken hinterlassen. (Bild: © scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/25/00/2500a7b46c366256ba5c7b9512f957df/0129482442v2.jpeg "Wer NIS2 als reines IT-Projekt behandelt, wird scheitern. Nur mit ISMS, klaren Verantwortlichkeiten und kontinuierlichen Prozessen gelingt die Compliance. (Bild: © Romolo Tavani - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b2/9c/b29cb525572eb5dbcd40c83de67ea0be/0124626550v1.jpeg "Zu einer umfassenden Cybersecurity-Strategie gehören inzwischen auch Cyberversicherungen – nicht nur für große Unternehmen! (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/15/0f15143f3364aca692f44d775bb402ba/0128307841v2.jpeg "Die persönliche Haftung von geschäftsleitenden Managern sollte auch abseits der NIS2-Thematik nicht vernachlässigt werden. (Bild: Dall-E / KI-generiert)")