KRITIS Sektor-Steckbrief: Versicherungswesen
Erstversicherung: Lebensversicherungen, Krankenversicherungen.
Rückversicherung: Risikoübernahme von Erstversicherern zur globalen Risikostreuung.
Versicherungsvermittlung: Große Vermittler- und Maklernetzwerke, sofern sie für die Abwicklung systemkritisch sind.
Schaden- und Unfallversicherungen.
Bin ich betroffen? (Schwellenwerte)
Der Regelschwellenwert: Die Versorgung bzw. Absicherung von mindestens 500.000 Personen oder das Erreichen kritischer Marktanteile.
Lebens- & Krankenversicherung: Unternehmen mit mehr als 500.000 aktiv versicherten Personen im Portfolio.
Schaden-/Unfallversicherung: Maßgeblich ist das jährliche Prämienvolumen oder die Anzahl der Verträge, die bei einem Ausfall die wirtschaftliche Stabilität von mindestens 500.000 Haushalten oder kritischen Unternehmen gefährden würden.
Wer ist meine Aufsichtsbehörde?
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht): Zentrale Aufsichtsbehörde für den Sektor (Überwachung der Finanz- und Betriebsstabilität, u.a. via VAIT/DORA-Vorgaben).
BSI (Bundesamt für Sicherheit in der Informationstechnik): Zuständig für die IT-Sicherheit, Cyber-Resilienz und das zentrale Meldewesen bei Cyber-Vorfällen.
BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe): Anlaufstelle für die physische Resilienz und den Schutz kritischer Verwaltungs- und Rechenzentrumsinfrastrukturen.
Maßnahmen & Pflichten (IT vs. Physisch)
Informationssicherheit (§ 30/31 BSIG / DORA-Konformität):
Umsetzung des Stands der Technik bei Kernprozessen (z. B. Schadenabwicklung, Bestandsverwaltung).
Verpflichtender Einsatz von Systemen zur Angriffserkennung (SZA) und kontinuierliches IT-Risikomanagement.
Regelmäßige Audits und Penetrationstests (TLPT – Threat Led Penetration Testing für Kernsysteme).
Physische Resilienz (§ 13 KRITIS-DachG):
All-Gefahren-Ansatz: Schutz der zentralen Rechenzentren, Serverräume und Hauptverwaltungssitze vor Naturkatastrophen (z. B. Starkregen, Hitze), Sabotage und Stromausfällen.
Konkrete Schutzmaßnahmen: Strikte physische Zugangskontrollen (Biometrie, Schleusen), redundante Datenhaltung (Geo-Redundanz) und unterbrechungsfreie Stromversorgung (USV/Netzersatzanlagen) für kritische IT-Infrastrukturen.
Fristen & Sanktionen 2026
Registrierung: Spätestens 3 Monate nach Erreichen des Status als kritische Anlage, jedoch frühestens ab dem 17. Juli 2026.
Risikoanalysen: Turnusmäßige Durchführung und Einreichung von Resilienzplänen alle 4 Jahre.
Strafen: Bußgelder bis zu 500.000 € bei Verstößen gegen die Registrierungs- oder Meldepflicht (bei NIS-2/DORA-Verstößen drohen prozentuale Umsatzstrafen von bis zu 2% des weltweiten Jahresumsatzes).
Haftung: Strikte persönliche Haftung der Geschäftsleitung mit dem Privatvermögen bei schuldhafter Verletzung der Risikoüberwachungs- und Implementierungspflichten. Ein Verzicht auf Regressansprüche durch das Unternehmen ist rechtlich ausgeschlossen.