Zum Hauptinhalt springen
Regulierung 2026

IT-Haftpflicht 2026: NIS-2 und Produkthaftung im Ueberblick

Veröffentlicht: Aktualisiert:

Das Wichtigste in KĂŒrze

  • Ab 9. Dezember 2026: Software gilt als Produkt mit verschuldensunabhaengiger Haftung (EU 2024/2853)
  • IT-Haftpflicht ab 170 EUR/Jahr (Markel), ab 15 EUR/Monat (Hiscox). Nachhaftung bis 10 Jahre moeglich.
  • Hiscox Net IT seit Oktober 2025: Erste Police mit expliziter KI-Deckung am Markt
  • NIS-2: MSPs und IT-Dienstleister sind explizit reguliert. GF haften persoenlich.
  • 90 % der IT-Haftpflichtschaeden sind reine Vermoegenssschaeden (exali). Typisch: 53.000 bis 200.000 EUR.

Hinweis: Diese Seite enthĂ€lt Partnerlinks. Bei Abschluss erhalten wir eine Provision ohne Mehrkosten fĂŒr Sie.

2026 verschaerfen drei EU-Regelwerke die Haftung von IT-Unternehmen: die neue Produkthaftungsrichtlinie (EU 2024/2853) ab 9. Dezember, das NIS-2-Umsetzungsgesetz fuer Managed Service Provider und der Cyber Resilience Act mit Meldepflichten ab September. Software gilt dann als Produkt mit verschuldensunabhaengiger Haftung, MSPs sind direkt reguliert und Geschaeftsfuehrer haften persoenlich. Dieser Ratgeber ordnet die neuen Pflichten ein und zeigt, welche Luecken eine IT-Haftpflichtversicherung schliesst. Wer abschliessen oder Preise vergleichen will, findet das auf unserer Vergleichsseite.

Welche Police die neuen Pflichten abdeckt

Die neuen Regeln entscheiden weniger ueber den Preis als ueber den Deckungsumfang. Wichtig sind drei Punkte: explizite Software- und Produkthaftungsdeckung, eine lange Nachhaftung und eine KI-Klausel. Zur Orientierung die Konditionen einiger Anbieter fuer einen Softwareentwickler mit rund 150.000 EUR Jahresumsatz (Richtwerte, je nach Anbieter und Taetigkeit):

AnbieterJahrespraemie (ca.)Max. Deckung VSHNachhaftung
Markel Pro ITAb 170 EUR15 Mio. EUR (Konsortium: 30 Mio.)k. A.
Hiscox Net ITCa. 343 EUR (28,60/Monat)5 Mio. EUR5 Jahre
VHV FIRMENPROTECTCa. 380 EUR3 Mio. EUR10 Jahre
Zurich IT SafecareMittelbereich3 Mio. EUR10 Jahre
AXA IT-PoliceIndividuell1 bis 5 Mio. EURk. A.

Markel startet bei rund 170 EUR im Jahr, VHV und Zurich bieten mit 10 Jahren die laengste Nachhaftung. Hiscox hat seit Oktober 2025 als erster Anbieter eine explizite KI-Deckung in die IT-Haftpflicht aufgenommen. Markel deckt weltweit inklusive USA und Kanada ohne Umsatzbeschraenkung. Konkrete Tarife und einen Online-Abschluss finden Sie auf der Seite zur IT-Haftpflicht fuer IT-Berater.

Nachhaftung: Warum sie bei Software besonders wichtig ist

Softwarefehler koennen erst Jahre nach der Auslieferung Schaeden verursachen. Die Nachhaftung bestimmt, wie lange nach Vertragsende noch Schaeden gedeckt sind. Mit der neuen Produkthaftungsrichtlinie (Update-Pflicht!) wird eine lange Nachhaftung noch relevanter. VHV und Zurich bieten 10 Jahre, Hiscox 5, CNA Hardy nur 2.

Typische Schaeden: Was IT-Fehler wirklich kosten

90 Prozent aller IT-Haftpflichtschaeden sind reine Vermoegenssschaeden (exali). Hier konkrete Faelle:

SzenarioSchaden
Programmierungsfehler verhindert 3.000 Datensaetze200.000 EUR
Fehlerhafte Datenbank-Migration, Wiederherstellung130.000 EUR
Server-Crash durch IT-Wartung, Datenverlust100.000 EUR
Kontaktformular deaktiviert, verlorene Buchungen90.000 EUR
Online-Shop Bug ("ausverkauft"), Umsatzausfall53.000 EUR
Fehlerhaftes Sicherheitsupdate crasht Client-Server100.000 EUR

Diese Betraege koennen fuer Freelancer existenzbedrohend sein. Eine IT-Haftpflicht uebernimmt die Schadensersatzforderung und die Rechtsverteidigung. Ohne Versicherung zahlt der IT-Dienstleister aus dem Privatvermoegen. Mehr zu den haeufigsten Fehlern im Ratgeber IT-Haftpflicht Softwareentwickler.

Neue EU-Produkthaftungsrichtlinie: Software wird Produkt

Die Richtlinie EU 2024/2853 tritt am 9. Dezember 2026 in Kraft und ersetzt die alte Richtlinie von 1985.

AspektAlt (bis 2026)Neu (ab Dez 2026)
SoftwareKein ProduktExplizit als Produkt definiert
KI-SystemeNicht geregeltEingeschlossen
UpdatesNicht geregeltHaftung fuer fehlende Sicherheitsupdates
BeweislastBeim GeschaedigtenUmkehr bei komplexen Produkten (KI, Software)
Haftungsobergrenze85 Mio. EURKeine Grenze mehr
Selbstbeteiligung500 EUREntfaellt

Wer haftet in der Software-Lieferkette?

  • Hersteller: Primaer haftbar fuer Produktfehler (verschuldensunabhaengig)
  • Importeur: Haftet wie Hersteller bei Nicht-EU-Produkten
  • Integrator: Haftet fuer das Gesamtprodukt (Open-Source-Komponenten eingeschlossen)
  • Plattformbetreiber: Kann haften, wenn als Haendler agierend
  • SaaS-Anbieter: Explizit erfasst (Cloud-Software ist Produkt)

Open-Source-Software und Produkthaftung

Nicht-kommerzielle Open-Source-Entwickler (Hobby, Non-Profit, Forschung) sind von der Produkthaftung ausgenommen. Sobald Open-Source aber kommerziell eingesetzt wird, aendert sich die Lage:

  • Der Integrator haftet: Wer OSS in ein kommerzielles Produkt einbaut, haftet fuer das Gesamtprodukt
  • Bezahlte OSS-Entwicklung: Wer fuer Open-Source-Arbeit bezahlt wird, ist nicht mehr "nicht-kommerziell"
  • Risiko: 60 Prozent der analysierten Anwendungen mit OSS-Komponenten haben mindestens eine kritische Schwachstelle (Black Duck Security Audit)

Praxistipp: SBOM erstellen

Fuehren Sie ein Software Bill of Materials (SBOM) fuer alle eingesetzten Open-Source-Komponenten. So wissen Sie, welche Abhaengigkeiten bestehen, und koennen im Schadenfall schnell reagieren. Der Cyber Resilience Act macht SBOM ab Dezember 2027 ohnehin zur Pflicht.

NIS-2: IT-Dienstleister sind direkt betroffen

Das NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Fuer IT-Dienstleister gibt es eine Besonderheit: Managed Service Provider (MSPs) und Managed Security Service Provider (MSSPs) sind explizit als regulierte Einrichtungen aufgefuehrt. DNS-Provider fallen sogar ohne Schwellenwerte unter die Regulierung.

  • MSPs und MSSPs: reguliert unabhaengig von Groesse (in vielen Faellen)
  • BSI-Registrierung seit Januar 2026 moeglich
  • Meldepflicht: 24 Stunden Erstmeldung, 72 Stunden Folgemeldung
  • Geschaeftsfuehrer haften persoenlich (Paragraf 38 BSIG). Mehr dazu im Ratgeber Geschaeftsfuehrer-Haftung

NIS-2-Compliance erhoet den Bedarf an IT-Haftpflicht und D&O-Versicherung. Die persoenliche GF-Haftung laesst sich ueber D&O absichern, die Drittschaeden gegenueber Kunden ueber die IT-Haftpflicht.

Cyber Resilience Act: Meldepflichten ab September 2026

Der CRA (Cyber Resilience Act) ist seit Dezember 2024 in Kraft und wird schrittweise wirksam:

  • Juni 2026: Marktaufsichtsregeln gelten, BSI als zustaendige Behoerde
  • 11. September 2026: Meldepflichten: Aktiv ausgenutzte Schwachstellen und schwere Vorfaelle muessen innerhalb von 24 Stunden gemeldet werden
  • 11. Dezember 2027: Volle CRA-Anforderungen (Security-by-Design, Update-Pflicht ueber gesamte Lebensdauer)

Der CRA betrifft primaer Hersteller und Distributoren von Produkten mit digitalen Elementen. Fuer Softwareentwickler bedeutet das: Wer Software fuer den Markt entwickelt, muss ab 2027 Security-by-Design nachweisen und Schwachstellen melden. Die IT-Haftpflicht sollte diese Risiken abdecken.

KI-Risiken: kurz eingeordnet

Die eigenstaendige KI-Haftungsrichtlinie wurde zurueckgezogen. Stattdessen greifen fuer KI-Systeme die Produkthaftungsrichtlinie (KI als Produkt ab Dezember 2026), der AI Act mit Anforderungen an Hochrisiko-KI ab August 2026 und das nationale BGB-Recht. Hiscox deckt mit der Net IT Police seit Oktober 2025 Drittansprueche durch KI-Nutzung ab. Die Details zu Haftungsverteilung und Versicherbarkeit behandeln wir im eigenen Ratgeber zur KI-Haftung fuer Unternehmen. Wer KI entwickelt oder einsetzt, sollte die IT-Haftpflicht gezielt auf KI-Klauseln pruefen. Die Eigenschaeden bei einem Cyberangriff (Ransomware, Datenverlust) deckt dagegen eine Cyberversicherung, nicht die IT-Haftpflicht.

B2B vs. B2C: Wo gilt welche Haftung?

AspektB2C (Verbraucher)B2B (Unternehmen)
ProdukthaftungJa, uneingeschraenktNur bei Verbraucherschaeden
Vertragliche HaftungStark geschuetztBeschraenkungen moeglich
BeweislastUmkehr bei komplexen ProduktenStandard (beim Geschaedigten)
SchadensersatzKeine ObergrenzeVertragliche Beschraenkung moeglich

Auch reine B2B-Software kann unter die Produkthaftung fallen, wenn sie indirekt Verbraucherschaeden verursacht. Im Zweifel gilt die schaerfere Haftung.

Checkliste: IT-Haftpflicht 2026

Versicherung

  • ☐IT-Haftpflicht auf Produkthaftungsrisiken geprueft
  • ☐Software explizit im Versicherungsschutz
  • ☐KI-Deckung vorhanden (wenn KI eingesetzt/entwickelt wird)
  • ☐Nachhaftung mindestens 5 Jahre (besser 10)
  • ☐Deckungssumme angemessen (mind. 500.000 EUR fuer Freelancer)

Prozesse

  • ☐SBOM (Software Bill of Materials) fuer OSS-Komponenten erstellt
  • ☐Update-Prozess dokumentiert (Sicherheitspatches)
  • ☐Qualitaetssicherung dokumentiert (Code Reviews, Tests)
  • ☐NIS-2-Status geprueft (MSP/MSSP? BSI-Registrierung?)

Vertraege

  • ☐AGB auf Produkthaftung geprueft
  • ☐Haftungsbeschraenkungen aktualisiert
  • ☐Subunternehmer-Haftung geregelt

Fazit: Worauf es 2026 ankommt

Drei Regelwerke greifen 2026 ineinander. Ab 9. Dezember ist Software ein Produkt mit verschuldensunabhaengiger Haftung, ohne Haftungsobergrenze und mit Beweislastumkehr bei komplexen Systemen. NIS-2 reguliert MSPs direkt, der Cyber Resilience Act bringt ab September Meldepflichten. Wer IT-Dienstleistungen anbietet, sollte seine Absicherung an diesen Pflichten ausrichten.

Konkret heisst das: die bestehende Police auf Produkthaftungsdeckung, KI-Klauseln und Nachhaftung pruefen, ein SBOM fuer Open-Source-Komponenten anlegen und den NIS-2-Status klaeren. Wer noch keine Police hat, kann die IT-Haftpflicht-Tarife pruefen. Die persoenliche Geschaeftsfuehrer-Haftung laesst sich zusaetzlich ueber eine D&O-Versicherung absichern.

Die EU-Produkthaftungsrichtlinie (2024/2853) tritt am 9. Dezember 2026 in Kraft. Software gilt dann als Produkt mit verschuldensunabhaengiger Haftung. Beweislastumkehr bei technisch komplexen Produkten. Bisherige Haftungsobergrenze von 85 Mio. EUR entfaellt. Zusaetzlich: Cyber Resilience Act ab September 2026 mit Meldepflichten.

Richtwerte: Markel Pro IT ab 170 EUR/Jahr, Hiscox ab ca. 15 EUR/Monat fuer IT-Spezialisten. Ein Softwareentwickler mit 150.000 EUR Umsatz zahlt bei VHV rund 380 EUR, bei Hiscox rund 340 EUR jaehrlich. Die Praemie haengt von Umsatz, Taetigkeit und Deckungssumme ab.

Empfehlung: Web-Entwickler mindestens 250.000 EUR, Softwareentwickler 500.000 EUR, IT-Berater mit Systemzugang mindestens 1 Mio. EUR. Viele Auftraggeber fordern vertraglich bestimmte Mindestdeckungen. 90 Prozent der IT-Haftpflichtschaeden sind reine Vermoegenssschaeden.

Nicht-kommerzielle Open-Source-Entwickler sind ausgenommen. Sobald Open-Source-Software aber kommerziell eingesetzt wird, haftet der Integrator fuer das Gesamtprodukt. 60 Prozent der analysierten Anwendungen mit Open-Source-Komponenten haben mindestens eine kritische Schwachstelle (Black Duck).

IT-Haftpflicht deckt Drittschaeden: Wenn Ihre Software oder Beratung einem Kunden Schaden zufuegt. Cyberversicherung deckt Eigenschaeden: Wenn Ihr eigenes Unternehmen angegriffen wird (Ransomware, Datenverlust, Betriebsunterbrechung). Fuer IT-Dienstleister sind oft beide noetig.

Sehr wichtig. Die Nachhaftung bestimmt, wie lange nach Vertragsende noch Schaeden gedeckt sind. Bei Software koennen Fehler erst Jahre spaeter auftreten. VHV und Zurich bieten 10 Jahre, Hiscox 5 Jahre, CNA Hardy nur 2 Jahre. Mit der neuen Produkthaftung wird lange Nachhaftung noch wichtiger.

Ja. Managed Service Provider (MSPs) und Managed Security Service Provider (MSSPs) sind explizit regulierte Einrichtungen unter NIS-2. DNS-Provider fallen sogar ohne Schwellenwerte unter die Regulierung. Geschaeftsfuehrer haften persoenlich fuer Cybersicherheit (Paragraf 38 BSIG).

Zunehmend ja. Hiscox hat im Oktober 2025 als erster Anbieter explizite KI-Deckung in die IT-Haftpflicht integriert (Drittansprueche durch KI-Nutzung). Ab August 2026 gelten die vollen EU-AI-Act-Anforderungen fuer Hochrisiko-KI. Wer KI-Systeme entwickelt oder einsetzt, sollte die Police darauf pruefen.

Transparenzhinweis zu Partnerlinks

Diese Seite enthĂ€lt Affiliate-Links zu Versicherungsanbietern. Wenn Sie ĂŒber diese Links ein Angebot anfordern oder eine Versicherung abschließen, erhalten wir vom Anbieter eine Provision. FĂŒr Sie entstehen dadurch keine zusĂ€tzlichen Kosten.

Unsere Empfehlungen und Vergleiche basieren auf unabhÀngiger Recherche und werden nicht durch die Höhe der Provisionen beeinflusst. Wir verpflichten uns zu sachlicher und neutraler Berichterstattung.

Hinweis: Die Inhalte auf dieser Seite dienen der allgemeinen Information. Sie ersetzen keine individuelle Beratung durch einen zugelassenen Versicherungsvermittler oder -berater. Angaben zu Pflichten und Fristen nach dem aktuellen Stand; massgeblich ist der jeweils geltende Gesetzestext.

Police auf die neuen Pflichten pruefen

Software-Produkthaftung, KI-Klausel und lange Nachhaftung: Pruefen Sie, ob Ihre IT-Haftpflicht die Regulierung 2026 abdeckt. Tarife ab rund 170 EUR im Jahr.

IT-Haftpflicht-Tarife pruefen