Hier geht's zu unseren Stellenangeboten
  Kontakt   msg-Gruppe

Eine starke Unternehmensgruppe

Login BLOG
msg Logo

Regulatorik

Neue Meldepflichten für Versicherer und IT-Dienstleister – Teil 2

Von Alexandra Helmert , Stefan Nörtemann / 12. September 2025

Neue Anforderungen für Softwarehersteller, Managed Service Provider und Cloud-Dienste-Anbieter

 

Im ersten Teil haben wir die Meldepflichten im Finanzsektor beleuchtet – mit einem Fokus auf den Vergleich zwischen dem Digital Operational Resilience Act (DORA) und den Vorgaben der FINMA zur Meldung von Cyberangriffen. Im Zentrum standen dabei insbesondere Versicherer und deren IT-Dienstleister. 

 

In diesem zweiten Teil werfen wir den Blick auf weitere europäische Regelwerke, die in den kommenden Jahren an Relevanz gewinnen werden: den Cyber Resilience Act (CRA), die NIS-2-Richtlinie (NIS-2) und den Artificial Intelligence Act (AI Act). Diese Rechtsakte führen neue Meldepflichten für Softwarehersteller, Managed Service Provider (MSPs) und Cloud-Dienste-Anbieter ein. Ergänzend betrachten wir die regulatorischen Entwicklungen in der Schweiz, die sich zwar nicht unmittelbar an den EU-Vorgaben orientieren, aber ähnliche Ziele verfolgen.

Meldepflichten für Produkthersteller unter dem CRA 

Der Cyber Resilience Act (CRA) definiert verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, d.h. für Produkte, die mit einem Gerät oder einem Netzwerk verbunden werden können, und die in der EU auf den Markt gebracht werden. Dazu zählt auch Bestandsführungssoftware für Versicherer, sofern sie als eigenständiges Produkt vertrieben und vom Versicherer selbst betrieben wird. In der Regel fällt solch eine Software unter den Anwendungsbereich des CRA, wird jedoch weder als „wichtig“ (Anhang III) noch als „kritisch“ (Anhang IV) eingestuft, da sie keine wesentliche Rolle für die Cybersicherheit anderer Produkte spielt und keine erheblichen Auswirkungen auf deren Sicherheit hat. Entsprechend unterliegt sie den allgemeinen Sicherheitsanforderungen des CRA sowie vereinfachten Kontroll- und Prüfverfahren.

 

Für alle Produktkategorien gilt ab dem 11. September 2026: Wird eine aktiv ausgenutzte Schwachstelle bekannt oder ereignet sich ein schwerwiegender Sicherheitsvorfall, muss der Hersteller dies innerhalb von 24 Stunden an das zuständige nationale Cyber-Sicherheitsreaktionsteam (CSIRT) sowie an die Europäische Agentur für Cybersicherheit (ENISA) melden (CRA Art. 14 Abs. 1, Abs. 3). Innerhalb von 72 Stunden nach der Erstmeldung ist eine detailliertere Analyse der Schwachstelle sowie eine Beschreibung geplanter Gegenmaßnahmen nachzureichen. Die Meldepflicht gilt unabhängig vom Wochentag – auch an Wochenenden und Feiertagen.

 

Ziel dieser strikten Fristen ist es, eine schnelle Reaktion und wirksame Schadensbegrenzung zu ermöglichen. Die Meldung erfolgt über eine zentrale, EU-weite Meldeplattform, die voraussichtlich ab 2026 zur Verfügung stehen wird. Bei Verstößen gegen die Meldepflichten drohen empfindliche Sanktionen: Bußgelder von bis zu 15 Millionen Euro oder bis zu 2,5 % des weltweiten Jahresumsatzes.

Meldepflichten für MSPs und SaaS-Anbieter unter NIS-2 

Wird die Bestandsführungssoftware nicht als eigenständiges Produkt, sondern als Software-as-a-Service (SaaS) oder durch einen Managed Service Provider (MSP) betrieben, fällt sie nicht in den Anwendungsbereich des Cyber Resilience Act (CRA). In diesen Fällen greifen die Vorgaben der NIS-2-Richtlinie (Network and Information Security Directive 2).

 

NIS-2 ist ein EU-weites Regelwerk zur Stärkung der Cybersicherheit und Resilienz kritischer Infrastrukturen sowie digitaler Dienste. MSPs und Cloud-Anbieter, die IT-Dienstleistungen für Versicherer erbringen, werden häufig als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft und unterliegen damit den Anforderungen der Richtlinie. Die Pflichten betreffen insbesondere Anbieter, die kritische oder wichtige Funktionen für ihre Kunden – wie Versicherer – übernehmen und somit als relevante Akteure in sensiblen Bereichen gelten. Im dargestellten Szenario wird daher ein SaaS-Anbieter oder MSP, der die Bestandsführungssoftware im Auftrag eines Versicherers betreibt, unter die NIS-2-Pflicht fallen.

 

Auch wenn sich die nationalen Umsetzungsgesetze z.B. in Deutschland und Österreich aktuell noch im Entwurfsstadium befinden, besteht bereits jetzt Handlungsbedarf. Unternehmen sollten frühzeitig mit der Analyse und Umsetzung der NIS-2-Anforderungen beginnen, denn der Startschuss für die nationale Anwendung wird voraussichtlich noch im Laufe des Jahres 2025 fallen.

 

Sobald das jeweilige nationale Umsetzungsgesetz in Kraft tritt, gilt: Innerhalb von 24 Stunden nach Bekanntwerden eines Sicherheitsvorfalls mit erheblicher Auswirkung auf die Dienstleistungserbringung (NIS-2 Art. 23 Abs. 1) ist eine Frühwarnung an die zuständige Behörde – etwa das nationale CSIRT – abzugeben. Diese Frist gilt unabhängig vom Wochentag und verlangt von betroffenen Unternehmen ein durchgängiges 24/7-Meldesystem sowie entsprechende Prozesse zur schnellen Einschätzung und Weiterleitung von Vorfällen.

Meldepflichten bei KI-basierten Produkten und Diensten unter dem AI Act  

Komplexer wird der Fall, wenn die Bestandsführungssoftware KI-Komponenten enthält und dadurch zusätzlich in den Anwendungsbereich des Artificial Intelligence Act (AI Act) fällt. In solchen Fällen gelten – neben den Anforderungen aus dem CRA bei On-Premise-Modellen bzw. der NIS-2-Richtlinie bei SaaS- oder MSP-Betrieb – auch die Vorgaben des AI Act.

 

Die Meldepflichten nach dem AI Act betreffen sogenannte Hochrisiko-KI-Systeme, die innerhalb der EU in Verkehr gebracht werden. Ab dem 2. August 2026 sind Anbieter solcher Systeme verpflichtet, „schwerwiegende Vorfälle“ an die zuständige Marktüberwachungsbehörde des jeweiligen Mitgliedstaates zu melden (AI Act, Art. 73). Die Fristen sind gestaffelt: In der Regel muss ein Vorfall spätestens 15 Tage nach Kenntniserlangung gemeldet werden. Bei besonders gravierenden oder weitreichenden Störungen (gemäß Art. 3 Abs. 49 lit. b) AI Act) beträgt die Frist lediglich zwei Tage. Im Falle eines Todesfalls, der auf den Einsatz des KI-Systems zurückzuführen ist, gilt eine Meldefrist von 10 Tagen. Die Nichteinhaltung dieser Meldepflichten kann mit empfindlichen Sanktionen belegt werden – bis zu 15 Millionen Euro oder bis zu 3 % des weltweiten Jahresumsatzes.

 

Die Kombination aus Softwareprodukten bzw. SaaS-Diensten, die kritische oder wichtige Funktionen für Versicherer und Finanzunternehmen übernehmen, und dem Einsatz von KI-Technologie führt zu einem anspruchsvollen regulatorischen Umfeld. Hersteller und Dienstleister müssen nicht nur die Anforderungen aus dem CRA oder der NIS-2-Richtlinie erfüllen, sondern auch die spezifischen Pflichten aus dem AI Act beachten – insbesondere im Hinblick auf Fristen, Inhalte und Adressaten der jeweiligen Meldepflichten.

Meldepflichten für Betreiber kritischer Infrastrukturen in der Schweiz 

In der Schweiz existiert derzeit keine direkte Entsprechung zum europäischen Cyber Resilience Act (CRA) oder zum Artificial Intelligence Act (AI Act), die gezielt Produktsicherheit oder den Einsatz von KI-Systemen regulieren. Dennoch wurde mit dem Informationssicherheitsgesetz (ISG) und der zugehörigen Cybersicherheitsverordnung (CSV) eine nationale Meldepflicht für Cyberangriffe auf Betreiber kritischer Infrastrukturen geschaffen. Diese Regelung ist am 1. April 2025 in Kraft getreten.

 

Für SaaS-Anbieter oder Managed Service Provider (MSP) gilt die Meldepflicht nur dann, wenn sie selbst als Betreiber einer kritischen Infrastruktur eingestuft werden. In diesem Fall sind sie verpflichtet, Cyberangriffe, die die Funktionsfähigkeit ihrer Systeme beeinträchtigen oder sensible Daten gefährden, innerhalb von 24 Stunden nach Entdeckung an das Bundesamt für Cybersicherheit (BACS) zu melden.

 

Die Meldepflicht umfasst insbesondere Vorfälle wie Schadsoftware-Infektionen, Ransomware-Angriffe, unbefugte Zugriffe oder gezielte Manipulationen von IT-Systemen. Bis zum 1. Oktober 2025 gilt eine Übergangsfrist, in der unterlassene Meldungen noch nicht sanktioniert werden. Ab diesem Zeitpunkt drohen Bußgelder von bis zu 100.000 Schweizer Franken bei Verstößen gegen die Meldepflicht.

Effiziente Koordination und Compliance in der digitalen Versicherungswelt 

Die neue regulatorische Landschaft erfordert ein ganzheitliches, vorausschauendes Sicherheits- und Compliance-Management, das technische, organisatorische und rechtliche Anforderungen systematisch miteinander verbindet – insbesondere im Hinblick auf die Einhaltung von Meldepflichten bei Sicherheitsvorfällen. Entscheidend ist dabei eine enge Zusammenarbeit aller beteiligten Akteure: Softwarehersteller, Managed Service Provider und Cloud-Dienste-Anbieter müssen ihre Meldeprozesse aufeinander abstimmen, um Doppelmeldungen zu vermeiden und eine effiziente Kommunikation mit den zuständigen Behörden sicherzustellen. Unternehmen, die sich frühzeitig auf diese Anforderungen vorbereiten, leisten nicht nur einen Beitrag zur Resilienz der gesamten Wertschöpfungskette, sie stärken auch nachhaltig das Vertrauen in ihre Produkte und Services.

 

mehr von
Alexandra Helmert

Inhaltsverzeichnis

INTERESSE AN MEHR?

Abonnieren Sie unseren Blog und bleiben Sie gut informiert.

Sie können Ihre Zustimmung jederzeit widerrufen

AI Act CRA Meldepflichten NIS-2
Regulatorik
Neue Meldepflichten für Versicherer und IT-Dienstleister – Teil 1: Finanzsektor-spezifische Regulatorik in Europa und der Schweiz
14. Juli 2025
Regulatorik
Resilienz und Cybersicherheit als Fundament digitaler Infrastrukturen: Versicherer und Softwareanbieter in einem Boot
1. April 2025
Regulatorik
Der Artificial Intelligence Act – Systematik und Regelungen
22. Februar 2022