Non-IT Contingent Business Interruption (CBI) – Erweiterter Schutz für Betriebsunterbrechungen durch Zulieferer und Dienstleister

Wenn die klassische Cyber-Versicherung allein nicht ausreicht

Unternehmen sind heute in hochvernetzte Wertschöpfungsketten eingebunden. Produktionsprozesse, Logistikketten und Geschäftsabläufe hängen häufig nicht nur von der eigenen IT-Infrastruktur ab, sondern maßgeblich auch von externen Zulieferern und Dienstleistern. Ein Cyber-Angriff auf einen kritischen Zulieferer kann den eigenen Geschäftsbetrieb ebenso empfindlich treffen wie ein Angriff auf die eigenen Systeme – mit dem entscheidenden Unterschied, dass das betroffene Unternehmen selbst keinerlei Kontrolle über die IT-Sicherheitsmaßnahmen seines Geschäftspartners hat.

Klassische Cyber-Versicherungen decken in der Regel Betriebsunterbrechungsschäden ab, die durch einen Cyber-Vorfall im eigenen Netzwerk oder bei einem IT-Dienstleister verursacht werden. Doch was passiert, wenn der Ausfall nicht bei einem IT-Dienstleister, sondern bei einem sonstigen Zulieferer oder Dienstleister eintritt – also bei einem Partner, der keine klassischen IT-Dienstleistungen erbringt?

Was ist Non-IT Contingent Business Interruption (Non-IT-CBI)?

Non-IT-CBI oder der Rückwirkungsschaden durch Ausfall der Lieferkette erweitert den Versicherungsschutz der Cyber-Police auf Betriebsunterbrechungsschäden, die durch Cyber-Vorfälle bei nicht-IT bezogenen Zulieferern und Dienstleistern entstehen. Während die Standard CBI-Deckung (Deckung für Rückwirkungsschäden) in den meisten Cyber-Policen auf IT-Dienstleister beschränkt ist – also Unternehmen, die direkt IT-Services wie Cloud-Hosting, Managed Services oder Softwarelösungen bereitstellen – schafft die Non-IT CBI Deckung – häufig angeboten in Form einer optionalen Deckungserweiterung – hier Abhilfe und schließt damit eine wesentliche Deckungslücke für Firmen mit einer starken Abhängigkeit von Zulieferern.

Denn in der Praxis zeigt sich immer wieder: Der Ausfall eines Logistikdienstleisters, eines Rohstofflieferanten oder eines spezialisierten Produktionspartners infolge eines Cyber-Angriffs kann für das versicherte Unternehmen ebenso gravierende finanzielle Folgen haben wie der Ausfall eines IT-Dienstleisters. Mit dieser Erweiterung öffnet sich die Cyber-Sparte damit konzeptionell den klassischen Rückwirkungsschäden, wie man sie bislang vor allem aus der Industrie-Feuer-Versicherung kennt – und überträgt dieses bewährte Deckungsprinzip auf die digitale Risikowelt.

Praxisbeispiele: Wann greift die Non-IT-CBI-Deckung?

Beispiel 1 – Ausfall eines Logistikdienstleisters: Ein produzierendes Unternehmen arbeitet mit einem spezialisierten Logistikdienstleister zusammen, der die gesamte Auslieferung der Fertigprodukte abwickelt. Durch einen Ransomware-Angriff auf die Systeme des Logistikers werden dessen Dispositions- und Trackingsysteme lahmgelegt. Infolgedessen kann das versicherte Unternehmen seine Produkte über mehrere Tage nicht ausliefern – obwohl die eigene IT vollständig funktionsfähig ist. Die Non-IT CBI Deckung kann den daraus resultierenden Betriebsunterbrechungsschaden absichern.

Beispiel 2 – Cyber-Angriff auf einen Rohstofflieferanten: Ein Zulieferer von Spezialbauteilen wird Opfer eines gezielten Cyber-Angriffs. Seine Produktionssteuerung fällt aus, sodass er über Wochen keine Bauteile liefern kann. Das versicherte Unternehmen, das auf diese Bauteile zwingend angewiesen ist, muss seine eigene Produktion drosseln oder einstellen. Auch hier bietet die Non-IT CBI Deckung eine Absicherung des entstehenden Ertragsausfalls.

Warum ist die Non-IT CBI Deckung gerade jetzt relevant?

Die zunehmende Vernetzung von Lieferketten, die Digitalisierung auch traditionell „analoger” Branchen und die steigende Frequenz von Cyber-Angriffen auf Unternehmen jeder Größe machen das Thema Non-IT-CBI hochaktuell.

Gleichzeitig wächst das regulatorische Bewusstsein für Lieferkettenrisiken, wie auch die Inhalte der NIS-2 Richtlinie zeigen. Umso wichtiger ist es, dass Unternehmen die Cyber-Sicherheit ihrer kritischen Zulieferer und Dienstleister nicht dem Zufall überlassen: Die Formulierung klarer Service Level Agreements (SLAs) mit definierten IT-Sicherheitsstandards sowie regelmäßige Audits bei betriebsrelevanten Partnern sind als organisatorische Maßnahmen dringend geboten. Die Non-IT-CBI Deckung ersetzt diese Maßnahmen nicht – sie dient vielmehr als ergänzender Deckungsbaustein, um das verbleibende Restrisiko zu versichern, das trotz sorgfältiger vertraglicher und organisatorischer Vorkehrungen nicht vollständig eliminiert werden kann.

Empfehlung für Makler und Unternehmen

Wir empfehlen Maklern, insbesondere Kunden mit kritischen Abhängigkeiten von Zulieferern und externen Dienstleistern gezielt auf dieses Risiko anzusprechen und entsprechend zu beraten. In einem zweiten Schritt lohnt es sich, die bestehende Cyber-Versicherung daraufhin zu prüfen, ob und inwieweit eine Non-IT CBI-Deckung eingeschlossen werden kann.

Nicht alle Versicherer bieten diesen Baustein an, da die Bewertung des Risikos eines Cyber-Vorfalls bei Dritten im Rahmen der Risikoanalyse des versicherten Unternehmens schwer bis gar nicht möglich ist. Auch der Umfang der Deckung unterscheidet sich nicht nur mit Blick auf anwendbare Sublimite, sondern auch dahingehend ob pauschal alle Lieferanten / Dienstleister vom Versicherungsschutz umfasst sind oder sich dieser nur auf vorab benannte Zulieferer erstreckt.

Umso wichtiger ist eine sorgfältige Marktanalyse, um für den jeweiligen Kunden die bestmögliche Lösung zu finden.

Je nach Unternehmen ist zudem nicht nur der Blick auf die Lieferkette interessant – auch die Abnehmerseite kann für Unternehmen ein hohes Abhängigkeitsrisiko darstellen. Für solche Fälle bietet die Customer CBI Deckungsschutz für Rückwirkungsschäden, die dem versicherten Unternehmen durch einen Cyber-Vorfall bei kritischen Abnehmern entstehen

Finlex steht als Spezialmakler zur Verfügung, um gemeinsam mit unseren Kooperationspartnern die optimale Deckungslösung zu erarbeiten. Sprechen Sie uns gerne an!