Die EU-Richtlinie NIS2 verändert die Verantwortung für Cybersicherheit grundlegend: Sie ist keine reine IT-Aufgabe mehr, sondern eine strategische Management- und Governance-Pflicht der Unternehmensleitung – mit klar definierten persönlichen Haftungsrisiken für Organmitglieder.
Vor diesem Hintergrund fand am 20. November 2025 in München die Veranstaltung „Cyber im Dialog“ statt – eine gemeinsame Veranstaltung des eHealth und Insurance Hub. Im Mittelpunkt standen die unmittelbaren Auswirkungen von NIS2 auf Entscheiderinnen und Entscheider sowie konkrete Praxiserfahrungen aus Wirtschaft und Versicherung.
Im Folgenden fassen wir die wichtigsten Erkenntnisse und die Lessons Learned aus der Praxis zusammen:
Zentrale Erkenntnis der Veranstaltung
Cybersicherheit ist endgültig Chefsache. Die Verantwortung für angemessene Schutzmaßnahmen, funktionierende Notfallprozesse und deren Überwachung ist nicht delegierbar.
Impulse und Praxiserfahrungen
Nach der Begrüßung durch Hans-Wilhelm Dünn beleuchteten Jan Arfwedson und Maximilian Mäder die neuen NIS2-Anforderungen und die damit verbundenen Haftungsrisiken für die Unternehmensleitung.
Weitere Experten lieferten wertvolle Einblicke aus der Praxis:
Dirk Enders zeigte auf, welche Rolle Cyber- und D&O-Versicherungen spielen – und wo bei grober Fahrlässigkeit erhebliche Deckungslücken drohen.
Alexander von Bernadotte berichtete eindrücklich aus der Praxis des Notfall- und Business-Continuity-Managements und teilte Lessons Learned aus dem Umgang mit einer eigenen, massiven Cyberattacke.
Konsequenzen für Entscheider: Was jetzt zählt
Aus den Diskussionen und Praxiserfahrungen lassen sich klare Handlungsschwerpunkte ableiten:
- Technische Quick Wins umsetzen: Flächendeckende Multi-Faktor-Authentifizierung (MFA) für Fernzugriffe sowie Immutable, georedundante Backups sind heute unverzichtbar.
- Krisenfähigkeit trainieren: Notfall- und Meldeprozesse (24-/72-Stunden-Fristen) müssen regelmäßig in realistischen Tabletop-Übungen mit der Unternehmensleitung getestet werden.
- Haftungsrisiken aktiv managen: D&O- und Cyber-Versicherungen sollten gezielt auf Ausschlüsse bei mangelnder Compliance geprüft werden – Prävention ist der wirksamste Schutz.
NIS2 ist kein reiner Kostenfaktor – sondern eine strategische Investition in Resilienz, Stabilität und Vertrauen.
Ausblick: Handlungshilfe für Entscheider
Im Rahmen der Veranstaltung wurde deutlich, wie hoch der Bedarf an einer kompakten, klar strukturierten NIS2-Handlungshilfe für Entscheiderinnen und Entscheider ist. Der Cyber-Sicherheitsrat Deutschland e.V. hat diese Anregung aufgegriffen und stellt nun eine praxisorientierte Handlungshilfe zur Verfügung, die die zentralen Pflichten, Risiken und Handlungsfelder übersichtlich zusammenfasst. Vielen Dank an Jan Arfwedson für die inhaltliche Ausarbeitung.
Wir laden Sie herzlich ein, die Inhalte zu nutzen, weiterzugeben und den Dialog fortzusetzen.