+49 (0) 6241 938000
logo complianceberater team

BSIG‑Einstufung, Outsourcing und neuer Meldegrund: Was Versicherungsunternehmen jetzt zwingend beachten müssen

Kategorie: Aktuelles, Whistleblowing
Die neue Rechtslage stellt Versicherungsunternehmen vor tiefgreifende organisatorische Änderungen. Durch die Neufassung des BSIG und den neuen Meldegrund im Hinweisgeberschutzgesetz müssen Versicherer ihre IT‑Sicherheit, ihre Outsourcing‑Strukturen und ihre interne Meldestelle neu denken. Der Beitrag zeigt, was sich ändert – und was jetzt zu tun ist.
weiterlesen

Die regulatorischen Rahmenbedingungen für Versicherungsunternehmen befinden sich im Wandel. Mit dem reformierten BSI‑Gesetz (BSIG) und der Erweiterung des Hinweisgeberschutzgesetzes (HinSchG) steigen die Anforderungen an die IT‑Sicherheit, das Risikomanagement und die interne Compliance erheblich. Besonders bedeutsam sind zwei Aspekte: die Einstufung nach § 28 BSIG und der neue Meldegrund für Verstöße gegen Cybersicherheitsvorgaben. Beide Entwicklungen greifen ineinander und schaffen ein neues regulatorisches Umfeld, das Versicherungsunternehmen zwingt, ihre Strukturen, Prozesse und Auslagerungsmodelle zu überdenken.

Im Mittelpunkt steht dabei ein Paradigmenwechsel: Künftig zählt nicht länger die formale Größe der juristischen Einheit, sondern die tatsächliche operative Tätigkeit – einschließlich der Mitarbeitenden, die über Dienstleister eingesetzt werden. Damit wird die Frage, welche Einrichtung als „wichtig“ oder „besonders wichtig“ eingestuft wird, neu definiert.

1. Gesetzliche Ausgangslage: Das BSIG als eigenständiges Regime

Das BSIG bildet die Grundlage des deutschen IT‑Sicherheitsrechts. Die jüngste Novelle schafft eine klare Zweiteilung:

  • wichtige Einrichtungen
  • besonders wichtige Einrichtungen

Versicherungsunternehmen werden dabei allein aufgrund ihrer Tätigkeit im Finanz‑ und Versicherungssektor grundsätzlich in die Anwendungsbereiche der Anlagen 1 und 2 eingeordnet. Die Rechtsfolge: Sie müssen prüfen, ob sie die Größenkriterien erfüllen. Diese sind unabhängig von NIS2 oder DORA zu betrachten; das BSIG bildet ein autonomes regulatorisches System.

2. Größe der Einrichtung: Mitarbeitende von Dienstleistern zählen mit

Die Einstufung nach § 28 BSIG knüpft nicht an die formale Beschäftigtenzahl der juristischen Gesellschaft an, sondern an die tatsächliche operative Größe. Entscheidend ist daher: Wie viele Personen arbeiten für die Einrichtung – nicht bei wem sie angestellt sind.

Versicherungsunternehmen arbeiten häufig mit umfassenden Outsourcing‑Modellen, bei denen zentrale Funktionen wie IT, Schadenbearbeitung, Prozesse, Service, Governance oder Produktentwicklung durch externe oder gruppeninterne Dienstleister erbracht werden. Diese Personen werden bei der Einstufung der Einrichtung berücksichtigt.

Beispiele aus der Praxis:

a) Outsourcing an spezialisierte Dienstleister
Eine Versicherung, die keine eigenen Mitarbeitenden hat und sämtliche Funktionen auslagert, kann dennoch eine wichtige Einrichtung sein. Wenn etwa 60 Mitarbeitende eines Dienstleisters exklusiv für die ausgelagerten Funktionen eingesetzt werden, überschreitet die Einrichtung die Schwelle zur wichtigen Einrichtung – unabhängig von der formalen Mitarbeiterzahl der Versicherung.

b) Auslagerung von Fachbereichen an gruppeninterne Dienstleister
Wird ein Großteil der Governance-, Schaden- und IT‑Prozesse durch eine gruppeninterne Serviceeinheit erbracht, zählt auch dieses Personal. Ein Unternehmen mit formell null Beschäftigten kann daher regulatorisch als große Einrichtung gelten.

c) IT‑Betrieb im zentralen Rechenzentrum
Betreibt ein Konzern ein eigenes Rechenzentrum, ist die reine Größe dieses Rechenzentrums nicht maßgeblich. Entscheidend bleibt, wie viele Personen zur Erfüllung der Pflicht‑Services der konkreten Einrichtung notwendig sind. Dennoch kann der Umfang der IT‑Unterstützung Einfluss darauf haben, ob wesentliche BSIG‑Pflichten betroffen sind.

Diese Beispiele zeigen: Outsourcing entbindet nicht von regulatorischer Verantwortung, sondern zieht die personellen Kapazitäten der Dienstleister in die Bewertung mit ein.

3. Der neue Meldegrund im Hinweisgeberschutzgesetz

Ein zentraler Wandel ergibt sich aus der Erweiterung des HinSchG. Seit der jüngsten Änderung gehören Verstöße gegen Cybersicherheitsanforderungen des BSIG zum gesetzlich geschützten Meldekatalog.

Das bedeutet, dass Mitarbeitende – einschließlich derjenigen bei Dienstleistern – Hinweise auf folgende Fälle melden können:

  • unzureichende technische und organisatorische Sicherheitsmaßnahmen,
  • Verstöße gegen das IT‑Risikomanagement,
  • fehlende oder verspätete Meldung erheblicher Sicherheitsvorfälle,
  • unzureichende Steuerung ausgelagerter IKT‑Dienste,
  • Nichteinhaltung von Registrierungs‑ und Nachweispflichten.

Für Versicherungsunternehmen entsteht dadurch eine neuartige Transparenz: interne Defizite in der IT‑Sicherheit können unmittelbar über die Meldestelle offengelegt werden – rechtlich geschützt und ohne Repressalien befürchten zu müssen.

4. Konsequenzen für die Compliance

Aus der Kombination von BSIG und HinSchG ergeben sich tiefgreifende Anforderungen für die Compliance:

a) Anpassung der internen Meldewege

Die interne Meldestelle muss künftig in der Lage sein, Hinweise auf IT‑Sicherheitsverstöße fachlich zu beurteilen. Neue Kategorien in den Meldeformularen und klare Bewertungsverfahren sind erforderlich.

b) Überarbeitung von Leitlinien und Regelwerken

Insbesondere IT‑Sicherheitsrichtlinien, Outsourcing‑Policies und Compliance‑Leitlinien müssen angepasst werden, um BSIG‑Verstöße als meldefähige Risiken abzubilden.

c) Erweiterte Dokumentationspflichten

IT‑Vorfallmanagement, Risikoanalysen, Audits und die Steuerung von Dienstleistern müssen lückenlos dokumentiert werden. Dies dient sowohl dem BSIG‑Nachweis als auch der sachgerechten Bearbeitung von Meldungen nach HinSchG.

d) Steigende Verantwortung der Geschäftsleitung

Die Geschäftsleitung trägt eine nicht delegierbare Verantwortung für die Umsetzung der BSIG‑Pflichten. Unterlassene IT‑Sicherheitsmaßnahmen oder unzureichende Aufsicht können persönliche Haftungsrisiken nach sich ziehen.

e) Schulungsbedarf für Mitarbeitende und Dienstleister

Alle Personen, die in die Prozesse eingebunden sind – auch im Outsourcing –, müssen verstehen, welche IT‑Sicherheitsverstöße künftig als Hinweis meldefähig sind. Fehlende Sensibilisierung erhöht das Risiko unzureichender Meldungen oder verspäteter Reaktionen.

5. Fazit

Versicherungsunternehmen müssen ihre Strukturen neu kalibrieren. Die Kombination aus BSIG‑Einstufung und erweitertem Hinweisgebersystem macht deutlich: Die tatsächliche operative Größe einer Einrichtung, ihre IT‑Sicherheitsarchitektur und die Qualität ihrer Auslagerungssteuerung werden zu zentralen Faktoren der Compliance.
Nicht die juristische Form, sondern das tatsächliche Gefüge der Mitarbeitenden bestimmt die regulatorische Kategorie.
Und nicht NIS2 oder DORA definieren die Meldefähigkeit von Cyberverstößen – sondern das BSIG und das HinSchG selbst.

Jetzt ist der richtige Zeitpunkt, um IT‑Sicherheit, Governance und Outsourcing kritisch zu überprüfen, bevor die erste Meldung eingeht.

Individuelle Fragen zum Thema oder sonstige Anliegen?

Jetzt kontaktieren
Beitragsautor (Fachliche Verantwortung):
Jürgen Möthrath
Beitrag teilen:
Vorheriger Beitrag
EBA‑RTS und eIDAS‑Konformität: Warum das Videoidentverfahren faktisch vor dem Aus steh