Folgen aus der neuen Regulierung Haftungsverschärfung und neue „Stand der Technik“-Klauseln?
Die NIS-2-Richtlinie führt verbindliche Maßnahmen für Verwaltung und Wirtschaft ein. Ziel ist es, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union sicherzustellen. Wichtige und besonders kritische Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt werden, was letztlich dann dem europäischen Binnenmarkt zugutekommt.
Wir haben die Entwicklung dieser Richtlinie sowie der nationalen Gesetzgebung beobachtet und begleitet. Für uns stellen die Auswirkungen dieser (teils neuen) Regulatorik auf den Versicherungsschutz und die Risikovorsorge unserer Mandanten einen Fokus in unserer Beratung dar.
D&O-Versicherung
Auf Risikoebene, also bei der Managerhaftung für Leitungsorgane, ist eine Haftungsverschärfung zu erwarten. Verschiedene regulatorische Anforderungen des neuen Gesetzes wirken auf die Haftung von Leitungsorganen ein:
- Schulungsverpflichtungen für Leitungsorgane zur Sicherstellung des eigenen Know-hows;
- Konkrete technische Anforderungen an IT-Sicherheit und Resilienz
- Die Verwendung unbestimmter Rechtsbegriffe in einem gebundenen Rechtsrahmen (prinzipienbasierte Rechtsetzung)
Vor dem Hintergrund des letzten Punktes wird in der Rechtswissenschaft die sogenannte Legal oder Technology Judgement Rule diskutiert. Gerade die Verwendung unbestimmter Rechtsbegriffe in der Gesetzgebung führt zu einer erforderlichen Ermessensausübung. Für diese Ermessensausübung solle dann die sog. Business Judgement Rule aus § 93 Abs. 2 AktG gelten. Diese wirke dann zumindest haftungserleichternd.
Das Thema bleibt allerdings umstritten. Die D&O-Versicherer werden gefordert sein. Versicherungskonzepte sollten hier – unabhängig von der rechtswissenschaftlichen Diskussion – entsprechenden Schutz für Manager bereithalten.
Cyber-Versicherung
Auch für die Cyber-Versicherung ergeben sich unserer Einschätzung nach Auswirkungen durch die NIS-2-Regulatorik. So könnte § 30 BSIG-Neu einen neuen „Stand der Technik“ definieren. Ob und inwiefern sich dann die Anforderungen im konkreten Cyber-Versicherungsvertrag finden lassen, ist sehr stark abhängig vom konkreten Risiko.
Die junge und aktuell noch vereinzelte Rechtsprechung zu den Obliegenheiten in der Cyber-Versicherung könnte aber durch die neue Gesetzeslage eine gewisse Klarstellung erfahren. Wir verfolgen diesen aktuellen Diskurs und halten unsere Mandanten darüber informiert: Nur wer die Anforderungen aus dem eigenen Versicherungsvertrag kennt und wirklich versteht, kann diese auch rechtssicher im eigenen Unternehmen umsetzen.
