Cyber‑Risiken sind kein reines IT‑Thema mehr – vielmehr werden sie zur Managementfrage. NIS‑2 und der EU-AI-Act rücken Cyber‑Sicherheit und künstliche Intelligenz ins Zentrum unternehmerischer Verantwortung.
Warum das auch Unternehmen ohne formale Betroffenheit angeht und welche Rolle Organisation, Dokumentation und Versicherbarkeit dabei spielen, finden Sie im aktuellen Überblick der SCHUNCK GROUP.
Cyberangriffe gehören inzwischen leider zum unternehmerischen Alltag. Gleichzeitig wächst die Abhängigkeit von immer mehr digitalen Prozessen, Daten und automatisierten Entscheidungen – auch in Branchen, die nicht als „IT‑getrieben“ gelten.
Mit der NIS‑2‑Richtlinie und dem EU-AI-Act reagiert die Europäische Union auf diese Entwicklung. Beide Regelwerke setzen neue Maßstäbe für den Umgang mit Cyber‑ und KI‑Risiken.
Für Unternehmen bedeutet das vor allem eines:
Cyber‑Sicherheit und der Einsatz von Künstlicher Intelligenz werden zur Frage der Unternehmensorganisation und Risikosteuerung – nicht nur der Technik.
Sie haben Fragen? Sprechen Sie mich an!
Sie haben Fragen? Sprechen Sie mich an!
Für Unternehmen aus der Logistik ist diese Entwicklung besonders relevant, weil sie direkte Auswirkungen auf Haftung, Versicherbarkeit und Schadenfälle haben kann.
NIS‑2 – was sich für Unternehmen ändert
Ziel der Richtlinie
Die NIS‑2‑Richtlinie soll das Sicherheitsniveau von Netz‑ und Informationssystemen in der EU deutlich verbessern. Anders als frühere Regelungen geht es dabei nicht nur um technische Schutzmaßnahmen, sondern um die nachweisbare Fähigkeit eines Unternehmens, Cyberrisiken strukturiert zu steuern.
Wer ist betroffen (auch indirekt)?
Formell richtet sich die NIS‑2-Richtlinie an sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen, abhängig von Branche, Größe und Bedeutung. Viele Unternehmen prüfen derzeit, ob sie unmittelbar unter die Richtlinie fallen.
Für Logistikunternehmen ist jedoch ein zweiter Effekt entscheidend:
NIS‑2 definiert einen neuen Erwartungsmaßstab, der zunehmend auch von Geschäftspartnern, Aufsichtsbehörden und Versicherern angelegt wird – unabhängig von der formalen Betroffenheit.
Was bedeutet das in der Praxis?
- Cyberrisiken gelten nicht mehr als operatives IT‑Thema
- Die Geschäftsleitung trägt Verantwortung für Struktur, Steuerung und Überwachung
- Entscheidend ist, ob Risiken erkannt, bewertet und Entscheidungen dokumentiert wurden
Im Schadenfall rückt damit nicht nur der Angriff selbst, sondern vor allem die Organisation vor dem Angriff in den Fokus.
Der EU-AI-Act – warum KI‑Regulierung Unternehmen betrifft
Ziel und Grundlogik
Der EU-AI-Act ist der erste umfassende Rechtsrahmen für Künstliche Intelligenz weltweit. Er verfolgt einen risikobasierten Ansatz: Je höher das Risiko einer KI‑Anwendung für Menschen, Rechte oder Prozesse, desto strenger die Anforderungen. Wer den AI-Act ignoriert oder schlecht organisiert, riskiert Organhaftung wegen Pflichtverletzung. Das Management muss die Einhaltung des AI-Acts sicherstellen und geeignete Organisations- und Kontrollstrukturen schaffen (KI-Risikomanagement, Zuständigkeiten, Prozesse). Dazu sollen Managementschulungen zum Thema Cybersicherheit beitragen.
KI wird heute in vielen Bereichen eingesetzt – oft unauffällig im Hintergrund. Beispiele dafür sind:
- automatisierte Prüf‑ und Entscheidungsunterstützung
- Priorisierung von Vorgängen
- Risiko‑ und Mustererkennung
- Kundenkommunikation und Dokumentenanalyse
Der AI-Act adressiert genau diese Anwendungen, wenn sie Einfluss auf Entscheidungen oder Bewertungen haben. Unternehmen müssen künftig stärker darauf achten, wie KI gesteuert, überwacht und dokumentiert wird.
Was bedeutet das konkret für Logistikunternehmen?
Für Unternehmen der Logistikbranche treffen NIS‑2 und der EU-AI-Act an einer zentralen Stelle zusammen: Risikomanagement und Versicherbarkeit.
Auswirkungen auf Haftung und Schadenfälle
- Haftungsfragen entstehen nicht erst durch einen Cyberangriff oder eine Fehlentscheidung
- Relevant ist, ob Organisation, Zuständigkeiten und Entscheidungswege nachvollziehbar waren
- Fehlende Dokumentation oder unklare Verantwortlichkeiten können im Schadenfall kritisch werden
- Digital- / IT-Compliance ist zentrale Management-Aufgabe, Aufgaben können delegiert werden, Verantwortung nicht
Auswirkungen auf Versicherbarkeit
- Cyber‑ und Managementstrukturen werden stärker geprüft
- Regulierung und Versicherungsanforderungen wachsen zusammen
- Versicherbarkeit wird zunehmend zum Indikator organisatorischer Reife
Für Unternehmen bedeutet das: Technik allein reicht nicht aus. Erwartet wird ein belastbares Zusammenspiel aus Risikoanalyse, Governance und Dokumentation.
Was Sie jetzt im Blick behalten sollten
- Eigene Betroffenheit realistisch einschätzen – auch über Liefer‑ und IT‑Dienstleister
- Verantwortlichkeiten klar regeln: Wer entscheidet bei Cyber‑ und KI‑Risiken?
- Umsetzung und Überwachung von Cybersicherheitsmaßnahmen nach § 30 BSIG ist nicht delegierbar
- Risikobewertung etablieren statt Einzelmaßnahmen umsetzen
- Entscheidungen dokumentieren – nicht erst im Ernstfall
- Cyber‑ und KI‑Themen verzahnen, statt getrennt zu betrachten
- Versicherungsdeckung überprüfen, ob sie zur aktuellen Organisationsreife passt
Fazit: Regulierung als Anlass zur Standortbestimmung
NIS‑2 und der EU-AI-Act fordern von Unternehmen Struktur, Transparenz und bewusste Entscheidungen.
Wer Cyber‑ und KI‑Risiken frühzeitig in das eigene Risikomanagement integriert, stärkt nicht nur die regulatorische Sicherheit, sondern auch Resilienz, Versicherbarkeit und Handlungsfähigkeit im Ernstfall.
SCHUNCK unterstützt Unternehmen dabei, diese Entwicklungen nicht isoliert zu betrachten, sondern im Gesamtkontext von Risiko, Versicherung und Organisation einzuordnen.