Betroffenheit vom NIS-2-Umsetzungsgesetz

Einleitung

Mit der Verabschiedung der NIS-2-Richtlinie auf europäischer Ebene und deren Umsetzung in nationales Recht durch das NIS-2-Umsetzungsgesetz wird ein wichtiger Schritt zur Verbesserung der Cyber-Sicherheit und der Resilienz kritischer Infrastrukturen in Deutschland gemacht. Doch wer ist konkret von diesem Gesetz betroffen, und wie kann die Betroffenheit ermittelt werden? Dieser Artikel gibt einen Überblick über die zentralen Aspekte der Betroffenheit und erläutert die notwendigen Schritte zur Betroffenheitsermittlung.

Wer ist vom NIS-2-Umsetzungsgesetz betroffen?

Das NIS-2-Umsetzungsgesetz richtet sich an Betreiber wesentlicher Dienste, die als kritisch für die Gesellschaft und Wirtschaft angesehen werden. Dabei unterscheidet das Gesetz „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“, für die das Gesetz teils unterschiedliche Verpflichtungen sowie aufsichtsrechtliche Befugnisse und Sanktionsmöglichkeiten vorsieht. Der Gesetzgeber macht den Anwendern die Ermittlung der Betroffenheit und die Einordnung in wichtige oder besonders wichtige Einrichtungen nicht gerade leicht. Zur NIS2-Betroffenheitsprüfung müssen Unternehmen ihre Sektorzugehörigkeit nach den im Gesetz beigefügten Anlagen sowie ihre relevante Unternehmensgröße ermitteln. Das BSI kann die Betroffenheit für ein Unternehmen zwar auch selbst feststellen, allerdings ist es grundsätzlich Aufgabe der Unternehmen selbst, ihre Betroffenheit zu ermitteln und sich beim BSI innerhalb von 3 Monaten zu registrieren.

Betroffene Sektoren

Die folgenden Sektoren sind von NIS 2 betroffen (vgl. die Anlagen 1 und 2 des BSIG-E). Achtung, die Sektoren(-bezeichnungen) haben sich im letzten Entwurf nochmal geändert.

• Energie
• Transport und Verkehr
• Finanzwesen
• Gesundheit
• Wasser
• Digitale Infrastruktur
• Weltraum
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe / Herstellung von Waren
• Anbieter digitaler Dienste
• Forschung

Allerdings gibt es einige Ausnahmen, die unabhängig von Größe und Sektorzugehörigkeit zur Betroffenheit führen. So gehören Betreiber kritischer Anlagen (KRITIS), Einrichtungen des Bundes (einschließlich seiner Körperschaften, Anstalten und Stiftungen sowie seiner Vereinigungen ungeachtet ihrer Rechtsform) und Qualifizierte Vertrauensdienste, TLD-Registries sowie DNS-Dienste ungeachtet ihrer Unternehmensgröße zu den besonders wichtigen Einrichtungen. Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen fest. Zu den wichtigen Einrichtungen gehören ungeachtet ihrer Unternehmensgröße insbesondere die Vertrauensdienste. 

Betroffenheit nach Größe des Unternehmens und Sonderregelungen

Für alle anderen im Gesetz genannten Branchen gilt die sogenannte „size-cap-rule“. Das heißt, dass NIS2 – vereinfacht gesagt – für Unternehmen ab 50 Mitarbeitern und Mitarbeiterinnen und 10 Mio. Euro Umsatz bzw. Bilanzsumme gilt. Unternehmen müssen zur NIS2-Betroffenheitsprüfung künftig ihre relevante Sektorzugehörigkeit und Unternehmensgröße selbst ermitteln.

Außerdem ist zunächst der Erlass der entsprechenden Rechtsverordnung abzuwarten, bevor mit Sicherheit bestimmt werden kann, welche Anlagen und damit welche Unternehmen konkret unter das Gesetz fallen. Die Rechtsverordnung soll dazu branchenspezifische Schwellenwerte festlegen. 

Demgegenüber gelten für die Bereiche Auswärtiges, Verteidigung und Nachrichtendienste Sonderregelungen. Auch für Unternehmen aus dem Energie- und Telekommunikationssektor, sprich für Betreiber öffentlicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste im Sinne des Telekommunikationsgesetzes sowie für Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes, sieht das Gesetz umfassende Bereichsausnahmen vor. Insoweit gelten spezielle Anforderungen aus den jeweiligen Sondergesetzen, die ihrerseits durch das NIS-2-Umsetzungsgesetz geändert werden. Das Gleiche gilt für Finanzunternehmen, soweit sie auch durch DORA reguliert werden.

Die Unternehmen im besonderen öffentlichen Interesse (sog. UBI) fallen mit dem NIS-2-Umsetzungsgesetz als eigene Gruppe weg und werden stattdessen in die besonders wichtigen und wichtigen Einrichtungen eingeordnet.

Das BSI hat ein Tool zur automatischen NIS-2-Betroffenheitsprüfung veröffentlicht. Dieses bietet aber schon nach eigener Aussage des BSI nur eine erste Orientierung. Auch andere am Markt verfügbare, oft kostenlose Tools können aufgrund ihres schablonenhaften Ansatzes keine belastbaren Aussagen über die Betroffenheit treffen. Dafür sind die gesetzlichen Definitionen zur Sektorenzugehörigkeit zu schwer greifbar.

Noch schwieriger als die Frage der Sektorenzugehörigkeit ist aber die Bestimmung der Betroffenheit nach der „size-cap-rule“. Der Gesetzesentwurf sieht in § 28 Abs. 3 vor, dass dabei auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen ist. In der Gesetzesbegründung heißt es dazu: „Bei der Bestimmung der maßgeblichen Mitarbeiterzahlen und des Umsatzes sind nur diejenigen Teile der Einrichtung einzubeziehen, die tatsächlich im Bereich der in den Anlagen 1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Querschnittsaufgaben wie beispielsweise Personal, Buchhaltung etc. sind hierbei anteilig zu berücksichtigen.“ Beim Lesen dieses Absatzes wird klar, dass dies eher zu weniger als zu mehr Klarheit führt. Dabei ist vom betroffenen Unternehmen insbesondere festzustellen, welche Querschnittsbereiche und damit Mitarbeiter überhaupt hinzuzuzählen sind und nach welchem Schlüssel. Grundsätzlich sind verschiedene Lösungen denkbar, aber der Teufel steckt im Detail. Zu allem Überfluss muss sich der Gesetzgeber auch noch die Frage gefallen lassen, ob § 28 Abs. 3 und damit die oben aufgeführte Berechnungsweise überhaupt richtlinienkonform ist, denn die NIS2-Richtlinie der EU sieht eine solche Beschränkung nicht vor. Da der deutsche Gesetzgeber das Schutzniveau mit dem § 28 Abs. 3 effektiv senkt, verhält er sich insoweit nach Ansicht vieler nicht europarechtskonform. Es ist nicht auszuschließen, dass es hier im Rahmen des Gesetzgebungsprozesses noch Änderungen geben wird, zumal auf diesen Punkt von diversen Lobbygruppen hingewiesen wird. Um auf der sicheren Seite zu sein, empfiehlt sich daher eine expansive Berechnung der Betroffenheit.

Und schließlich stehen auch Konzerne vor schwierigen Herausforderungen, wenn sie mittels der „size-cap-rule“ die eigene Betroffenheit ermitteln wollen. Denn mit dem Verweis des § 28 Abs. 3 Nr. 2 des Gesetzesentwurfs auf die KMU-Empfehlung sind Partner- und verbundene Unternehmen bei der Ermittlung des Schwellenwerts hinzuzurechnen. Der Konzern muss also NIS-2-relevante Tätigkeiten konzernweit erfassen und die betreffenden Mitarbeiter bzw. Umsätze zusammenrechnen. Hiervon sind allerdings wiederum insbesondere solche Unternehmen ausgenommen, die – vereinfacht gesagt – über ihre IT selbständig entscheiden können. Obschon letztgenannte Ausnahme vernünftig klingt, ist auch sie eine Erfindung des deutschen Gesetzgebers, die in der NIS-2-Richtlinie keine Grundlage hat. Auch insoweit steht daher die europarechtliche Konformität in Frage.

Fazit

Eine sorgfältige Ermittlung der Betroffenheit ist unerlässlich, um die Einhaltung der gesetzlichen Vorgaben sicherzustellen. Die Kriterien sind komplex – und die sichere Einordnung durch am Markt verfügbare Tools quasi nicht möglich. 

Im nächsten Artikel beleuchten wir die Fragen, die uns am häufigsten zum Thema NIS2, u.a. auch der Betroffenheitsermittlung, gestellt werden.

Sie haben Fragen zum Thema oder benötigen Unterstützung? Dann freuen wir uns auf Ihre Nachricht.