Cyberangriffe zählen heute zu den größten Bedrohungen für Unternehmen. Die zunehmende Digitalisierung macht Betriebsabläufe angreifbarer, während Angreifer immer professioneller agieren. Parallel verschärft sich das regulatorische Umfeld: Die europäische NIS2-Richtlinie und die Dora-Verordnung erhöhen den Druck auf Unternehmen und ihre Leitungsorgane erheblich. Damit rücken versicherungsrechtliche Fragen stärker in den Fokus, insbesondere die Rolle von Cyber- und D&O-Versicherungen.

NIS2 verpflichtet Unternehmen zu umfassenden technischen und organisatorischen Maßnahmen, um ihre Cyberresilienz zu stärken. Die Unternehmensleitung muss diese Maßnahmen genehmigen, steuern und kontrollieren. In Deutschland wird dies über § 38 BSIG-E umgesetzt. Dabei entsteht keine eigenständige Haftungsnorm, wohl aber werden Cybersecurity-Pflichten ausdrücklich Teil der allgemeinen Leitungs- und Organisationspflichten, sodass Manager bei Verstößen persönlich haften können.

Vergleichbares gilt für Dora im Finanzsektor seit Januar 2025: Hier müssen Institute unter anderem Notfallpläne, Risikoanalysen und kontinuierliche Tests etablieren. Verstöße gegen diese Vorgaben können Bußgelder und Regressforderungen nach sich ziehen und damit das Haftungsrisiko der Organmitglieder erheblich erhöhen. Vorstände und Geschäftsführer haften bei schuldhaften Pflichtverletzungen mit ihrem Privatvermögen. Eine D&O-Versicherung schützt vor diesen Risiken, indem sie Schadensersatzansprüche abwehrt oder befriedigt. Auch Verstöße gegen Cybersecurity-Pflichten können unter den D&O-Schutz fallen, soweit keine vorsätzlichen Pflichtverletzungen vorliegen. Allerdings stellt sich bei Bußgeldern die Frage der Versicherbarkeit: Wenn diese ausschließlich der Abschreckung dienen, könnte eine Absicherung rechtlich ausgeschlossen sein. Hier besteht noch erheblicher Klärungsbedarf, auch in der Rechtsprechung. Unternehmen sollten ihre D&O-Deckungen prüfen und an die verschärften Anforderungen anpassen, um keinen unangenehmen Überraschungen zu begegnen.

Eine Cyberversicherung deckt Schäden durch Cyberangriffe, etwa Kosten für IT-Forensik, Datenwiederherstellung, Krisenkommunikation oder die Benachrichtigung von Betroffenen. Zudem können Haftungsansprüche Dritter abgedeckt sein. Viele Policen sehen auch Kostenersatz für Lösegeldzahlungen bei Ransomware-Angriffen vor — allerdings nur, soweit keine Sanktionsverstöße oder andere rechtliche Hürden vorliegen. Überweisungen an Täter in Embargoländern oder an Organisationen auf Terrorlisten können strafbar sein. Versicherer verlangen deshalb strikte Compliance und begleiten Zahlungen meist nur unter Einbindung von Krisenberatern und rechtlicher Prüfung. Unternehmen sollten diesen Aspekt frühzeitig mit ihrem Versicherer abstimmen, um im Ernstfall keine ungewollten Rechtsverstöße zu riskieren.

Erste Gerichtsentscheidungen zeigen, dass Cyberversicherer Risikoangaben bei Vertragsschluss intensiv prüfen. Das LG Tübingen (Az. 4 O 193/21, Urt. v. 26.5.2023) verurteilte einen Versicherer zur Zahlung von 2,8 Mio. €, weil unklare Risikoabfragen nicht zulasten des Kunden ausgelegt werden durften. Das LG Kiel (Az. 5 O 128/21, Urt. v. 23.5.2024) entschied dagegen, dass ein IT-Leiter arglistig handelte, als er veraltete Server verschwieg. Der Versicherer durfte hier leistungsfrei bleiben. Diese Beispiele verdeutlichen, dass präzise, wahrheitsgemäße Risikoangaben und die kontinuierliche Dokumentation von Schutzmaßnahmen für einen funktionierenden Versicherungsschutz unverzichtbar sind.

Cyberversicherungen haben nach der jüngsten Welle an Großschäden ihre Bedingungen verschärft. Versicherer verlangen häufig lückenlose Updates, Backups, Penetrationstests sowie getestete Notfallpläne als Obliegenheit. Werden diese nicht eingehalten, droht im Schadenfall der Verlust des Versicherungsschutzes. Verstöße gegen regulatorische Pflichten aus NIS2 oder Dora könnten künftig sogar als grobe Fahrlässigkeit gewertet werden und damit zur Leistungsfreiheit des Versicherers führen. Hinzu kommt: Viele Policen enthalten mittlerweile detaillierte Sicherheitsanforderungen, die regelmäßig dokumentiert und gegenüber dem Versicherer nachgewiesen werden müssen. Eine passive Haltung oder unzureichende IT-Governance kann im Streitfall schnell zum Risiko für die Deckung werden.

Unternehmen sollten ihr Risikomanagement umfassend überprüfen und die Versicherungsstrategie konsequent darauf abstimmen. Neben einer leistungsfähigen Cyberversicherung ist eine D&O-Police mit ausreichend hoher Deckungssumme und passenden Klauseln unverzichtbar. Regelmäßige Audits, präzise Risikoangaben und die lückenlose Einhaltung von IT-Sicherheitsstandards sind essenziell, um Versicherungsschutz im Ernstfall nicht zu gefährden.