Mit dem Inkrafttreten von NIS2 und DORA verändert sich die Erwartungshaltung an Versicherer grundlegend. Gleichzeitig werden Angriffe auf den Finanzsektor immer raffinierter. Damit wird klar: Sicherheitsarchitekturen müssen Compliance, operative Stabilität und moderne Schutzmechanismen enger verzahnen als je zuvor. Eine robuste, zukunftsgerichtete Security ist heute Voraussetzung für unterbruchsfreie Geschäftsprozesse.

Julian Keller, Senior Customer Success Manager bei Open Systems, betont, dass dafür ein nachhaltiger, ganzheitlicher und regulatorisch abgestimmter Ansatz notwendig ist. Und genau hier liefert Managed SASE seinen strategischen Mehrwert.

Mehr regulatorischer Druck und höhere Anforderungen an die Cyber-Resilienz

DORA definiert erstmals EU-weit ein einheitliches Set an Anforderungen für das Management digitaler Risiken im Finanzsektor. Dazu gehören eine strukturierte Steuerung von ICT-Risiken, klare Prozesse für das Handling von Sicherheitsvorfällen, regelmässige Resilienztests, Vorgaben für den Umgang mit kritischen Drittdienstleistern sowie ein formalisierter Informationsaustausch mit Behörden.

Die NIS2-Richtlinie ergänzt diesen Rahmen und verschärft ihn zugleich: Verantwortlichkeiten in der Geschäftsleitung werden konkretisiert, Meldepflichten ausgeweitet und Sanktionen deutlich angehoben. Für Versicherer entsteht damit ein eindeutiger Auftrag: Ihre Sicherheitsarchitektur muss messbar robuster, auditierbar und konsistent werden.

Wo die Branche steht – und warum Lücken bestehen bleiben

Im Vergleich zu Banken, die seit Jahren unter strikter Aufsicht arbeiten, haben viele Versicherer Security und Compliance noch nicht tief genug im operativen Alltag verankert. Richtlinien gibt es meist – doch technische und organisatorische Resilienz sind häufig weniger weit entwickelt. Besonders sichtbar wird dies in stark vernetzten Cloud-Umgebungen und hybriden Arbeitsmodellen.

Um diese Lücken zu schliessen, braucht es eine Sicherheitsarchitektur, die Resilienz direkt im Netzwerk verankert.

SASE als Fundament für kontrollierten und sicheren Zugriff

Secure Access Service Edge (SASE) führt Netzwerkfunktionen und Security-Controls zu einer integrierten, cloudbasierten Plattform zusammen. Für Versicherer ergeben sich dadurch wesentliche Vorteile:

  • Zero Trust Network Access (ZTNA): Zugriffe werden kontinuierlich anhand von Identität, Gerätezustand und Kontext überprüft – völlig unabhängig vom Standort der Nutzerinnen und Nutzer. Dadurch lassen sich Zugriffsrechte präzise steuern und regulatorische Vorgaben zuverlässig einhalten.
  • Cloud Secure Web Gateway (cSWG): Der gesamte Web- und Cloud-Traffic wird zentral inspiziert. Das erhöht die Bedrohungsvisibilität und ermöglicht automatisiertes Compliance-Reporting.
  • Cloud Access Security Broker (CASB): Er schafft Transparenz über SaaS-Anwendungen und stellt sicher, dass Datenflüsse konform zu Governance- und Datenschutzanforderungen gesteuert werden können.

Gemeinsam bilden diese Komponenten ein skalierbares Sicherheitsfundament, das perfekt zur zunehmend digitalen Versicherungslandschaft passt.

Warum E-Mail-Security unverzichtbar ist – auch mit SASE

E-Mails bleiben der bevorzugte Angriffsvektor von Cyberkriminellen. NIS2 und DORA verlangen daher explizit wirksame Schutzmechanismen gegen Phishing und Business E-Mail Compromise (BEC). Klassische SASE-Stacks decken diesen Bereich jedoch nicht vollständig ab.

Ohne fortgeschrittene Filter, Identitäts- und Domain-Schutz sowie automatisiertes Incident-Reporting fehlt ein kritischer Schutzlayer. Eine moderne E-Mail-Security-Lösung ist daher ein zwingender Bestandteil einer regulatorisch konformen Gesamtarchitektur.

Warum die Umsetzung häufig ins Stocken gerät

Technologisch verfügen Versicherer in der Regel über alle nötigen Tools – die Schwierigkeiten entstehen bei der Einführung und im Betrieb:

  • isolierte Einzellösungen ohne durchgängiges Reporting
  • zu hohe Komplexität und operativer Aufwand
  • mangelndes Change Management
  • zu frühe Einführung komplexer Komponenten wie CASB ohne ausreichende Datenbasis
  • uneinheitliche Policies über Standorte und Organisationseinheiten hinweg

Managed SASE begegnet diesen Herausforderungen mit etablierten Best Practices, reduziert Fehlkonfigurationen und ermöglicht eine orchestrierte, konsistente Einführung.

Über Compliance hinaus: Resilienz im Ernstfall

Wahre Resilienz bedeutet nicht nur, Angriffe abzuwehren – sondern im Fall eines Vorfalls die Handlungsfähigkeit rasch wiederherzustellen. Dafür braucht es:

  • zentral geführte, in allen Umgebungen konsistent angewendete Policies
  • ein kontinuierliches 24/7-Monitoring
  • schnelle Reaktionen auf neue Bedrohungen
  • Zugriff auf ausgewiesene Security-Expertise und Threat Intelligence

Managed SASE schafft genau diese Voraussetzungen und agiert damit als flexible Erweiterung der internen Security-Teams.

Gemeinsam stärker: Erfahrungsaustausch als Erfolgsfaktor

Frameworks wie NIST CSF oder ISO 27001 unterstreichen die Bedeutung von Kooperation und Wissenstransfer. Für Versicherer mit komplexen Anforderungen ist der Zugang zu Erfahrungswerten und Echtzeitinformationen über neue Angriffsmuster besonders wertvoll.

Managed-SASE-Teams bündeln Erkenntnisse aus zahlreichen Kundenumgebungen und ermöglichen dadurch eine frühzeitige und wirksame Reaktion auf neue Bedrohungen.

Fazit: Resilienz entsteht durch konsequente Umsetzung

Cyber-Resilienz ist ein kontinuierlicher Prozess. Versicherer erreichen sie, indem sie:

  • Zero Trust unternehmensweit verankern
  • Cloud-Security als Standard etablieren
  • E-Mail-Security vollständig integrieren
  • auf ein Managed-SASE-Modell setzen, das Security, Compliance und Effizienz verbindet

So entsteht eine zukunftssichere Sicherheitsarchitektur, die nicht nur den Anforderungen von NIS2 und DORA gerecht wird, sondern Versicherer langfristig gegen moderne Cyberbedrohungen stärkt.