Umsetzung der NIS- 2 in deutsches Recht. Da kommt was auf uns zu!

05.07.2024

Das Bundesministerium des Inneren und für Heimat (BMI) hat im Rahmen einer Verbände-beteiligung am 7. Mai 2024 einen Referentenentwurf zur Umsetzung der sog. NIS-2 Richtlinie[1] in Deutschland vorgelegt. Hiermit sollen EU-weite Mindeststandards für Cybersecurity in die nationale Gesetzgebung überführt werden. Die Überführung der Richtlinie in deutsches Recht muss bis zum 24. Oktober 2024 erfolgen. Die deutschen Anforderungen gelten dann für alle in den Anwendungsbereich des Gesetzes fallenden Unternehmen.

Das deutsche Umsetzungsgesetz wird eine Reihe von wesentlichen Änderungen mit sich bringen. So wird, wie in der NIS-2, der Adressatenkreis durch neue Sektoren erweitert werden. Die neuen Vorgaben werden nicht mehr zwischen „Betreibern wesentlicher Dienste“ und „Anbietern digitaler Dienste“ unterscheiden, sondern für Unternehmen, welche als „besonders wichtige“ und „wichtige Einrichtungen“ definiert sind, gelten. Als „wichtige Einrichtungen“ gelten dann nach der neuen size-cap-Regel alle Unternehmen in den relevanten Sektoren, die die Schwellenwerte für kleine und mittlere Unternehmen (KMU) überschreiten. Als Faustformel kann insofern gelten, dass selbst Unternehmen mit weniger als 50 Beschäftigen, aber einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio. EUR[2] in den Anwendungsbereich fallen können.

Hierbei fällt auf, dass der Referentenentwurf bei der Bestimmung des Schwellenwertes von den Vorgaben der NIS-2 abweicht und damit den Anwendungsbereich des deutschen Gesetzes sogar erweitert.

Zudem wird es insbesondere im Bereich der EE- Anlagen noch schwer zu bestimmen sein, ob ein Unternehmen unter den Anwendungsbereich des Gesetzes fällt oder nicht.

Gemäß § 28 Abs. 3 des Referentenentwurfs ist bei der Bestimmung der Mitarbeiterzahl, des Jahresumsatzes und der Jahresbilanz auf die der Einrichtung zuzuordnende Geschäftstätigkeit abzustellen. Stellt man nur auf die Betreibergesellschaft einer EE-Anlage ab und vertritt die Auffassung, dass jedes Unternehmen einzeln zu betrachten ist, werden viele Betreiber-gesellschaften selbst nicht unmittelbar unter die Kategorien „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“ erfüllen. Anders sieht es aber aus, wenn eine Tochtergesellschaft eine Betreibergesellschaft eines Windparks ist und ein verbundenes Unternehmen zentrale Funktionen für die Betreiberin übernimmt.  Denn im Referentenentwurf wird für die Bestimmung von Mitarbeiterzahl, des Jahresumsatzes und Jahresbilanzsumme auf die Empfehlung 2003/361/EG verwiesen, um festzustellen, ob ein Unternehmen unter die Kategorien „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ fällt. Diese sieht grundsätzlich vor, dass die Kennzahlen von sog. „Partnerunternehmen“ oder „verbundenen Unternehmen“ dem Unternehmen – zumindest anteilig – zugerechnet werden können. Folgt man dieser Berechnungsmethode, würden viele Betreibergesellschaften, die Tochter-gesellschaften größerer Unternehmen sind, mindestens unter die Kategorie „wichtige Einrichtung“, wenn nicht sogar unter die Kategorie „besonders wichtige Einrichtung“, einzuordnen sein.

Eingeschränkt wird dies zwar gemäß § 28 Abs. 3 Satz 2 des Referentenentwurfs, nach dem die Anrechnung der Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung dann nicht erfolgen soll, wenn „…. das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinem Partner oder verbundenen Unternehmen ist.“ Es dürfte aber eher der Ausnahmefall sein, dass dies für Betreibergesellschaften als Tochtergesellschaften von größeren Unternehmen zutrifft.  

Obwohl derzeit noch vieles im Entwurf hinterfragt und diskutiert wird, ist davon auszugehen, dass sich nun auch Unternehmen wie Betreiber von EE-Anlagen, die bisher nicht von den Vorschriften für Cybersicherheit betroffen waren, mit den strengeren Vorgaben befassen und diese bei Erfüllung der Anwendungsvoraussetzungen rechtzeitig in ihren technischen und organisatorischen Abläufen umsetzen müssen.

Mit der neuen Richtlinie werden u.a. die auch die Pflicht zur Erstellung einer Risikobewertung zur Erkennung bestehender oder potenzieller Sicherheitsrisiken, die Implementierung neuer Sicherungsprozesse, die Erweiterung eines Informations-Sicherheitsmanagement-Systems, eine Meldung der Ergebnisse der Sicherheitsüberprüfung an die zuständigen Behörden, das Betreiben eines effektiven Risikomanagements und die Überprüfung der Informationssicherheit in der Lieferkette hinzukommen.

Informieren Sie sich rechtzeitig, was zu tun ist. Denn auch die Sanktionen bei Verstößen gegen die neuen Vorschriften werden verschärft.

 

[1] (Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148)

[2] Oder 250 Beschäftigte und ein Jahresumsatz von über 50 Mio. EUR und einer Jahresbilanzsummer von über 43 Mio. EUR.

zurück