Update Datenschutz Nr. 175
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
Seit Dezember 2022 gilt die Netzwerk- und Informationssicherheitsrichtlinie 2 („NIS2-Richtlinie“) in der EU. Ein wesentliches Ziel der NIS2-Richtlinie ist die Verbesserung der Cybersicherheit in Unternehmen und Organisationen in allen Mitgliedstaaten der EU, um die Widerstandsfähigkeit gegen Cyberangriffe insgesamt zu erhöhen. Die Mitgliedsstaaten haben nach vorgesehenen Umsetzungsfrist nun noch bis Oktober 2024 Zeit, die NIS2-Richtlinie in nationales Recht umzusetzen.
Der deutsche Gesetzgeber hat bereits mehrere Entwürfe für das NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz („NIS2UmsuCG“) veröffentlicht. Der letzte Referentenentwurf des NIS2UmsuCG datiert vom 22. Dezember 2023. Zentraler Bestandteil wird das grundlegend überarbeitete Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen („BSIG-neu“).
Wie bereits die vorherigen Entwürfe, lässt sich der aktuelle Referentenentwurf deutlich erkennen, dass der deutsche Gesetzgeber den ohnehin schon weiten Anwendungsbereich der NIS2-Richtlinie noch einmal deutlich erweitern will. Gleichzeitig werfen die aktuell vorgesehenen Vorschriften erhebliche Fragen bei der Bestimmung des Anwendungsbereichs auf. Dies gilt vor allem im Falle von Unternehmen, die Bestandteil von Konzernstrukturen sind.
Nachfolgend soll basierend auf dem aktuellen Referentenentwurf des NIS2UmsuCG eine erste Übersicht zur Bestimmung des Anwendungsbereichs in Konzernverhältnissen und die damit verbundenen Herausforderungen gegeben werden.
A. Für wen soll das BSIG-neu gelten?
Bei der Bestimmung des Anwendungsbereichs des BSIG-neu sind im Kern zwei Kriterien relevant:
Maßgeblich ist zum einen die Art des Tätigkeitbereichs eines Unternehmens bzw. einer Organisation (Details zu den erfassten Sektoren hier). Zum anderen kommt es darauf an, dass die jeweiligen Unternehmen und Organisation die erforderlichen Schwellenwerte erreichen. Dies soll anhand der Mitarbeiter- und Jahresumsatzzahl bzw. Jahresbilanzsumme berechnet werden.
Unternehmen und Organisationen müssen somit prüfen, ob sie einerseits in die erfassten Sektoren fallen und andererseits die maßgeblichen Schwellenwerte erfüllen. Gerade bei Konzerngesellschaften, die Bestandteil einer Unternehmensgruppe sind, können sich dabei regelmäßig besondere Herausforderungen stellen.
B. IT-Konzerngesellschaften als eigener Adressat
Regelmäßig werden in Konzernstrukturen die Beschaffung und die Erbringung von IT-Leistungen in einzelne Konzerngesellschaften ausgelagert. In diesem Fall stellt sich die Frage, ob solche IT-Konzerngesellschaften in den Anwendungsbereich des BSIG-neu fallen.
Zu den von Konzerngesellschaften erbrachten IT-Leistungen gehören insbesondere Rechenzentrumsleistungen. Anbieter von Rechenzentrumsleistungen werden in dem aktuellen Entwurf des BSIG-neu im Zusammenhang mit dem Sektor „Informationstechnik und Telekommunikation“ explizit erfasst. Zwar sollen nach dem ErwGr. 35 zur NIS2-Richtlinie nicht solche Unternehmen und Organisationen als Anbieter von Rechenzentrumsdiensten gelten, die lediglich „interne Rechenzentren“ betreiben. Hiervon erfasst werden aber nur solche Rechenzentren, die innerhalb des eigenen Unternehmens bzw. der eigenen Organisation betrieben werden. Die Ausnahme in ErwGr. 35 erfassen gilt somit nicht für Anbieter von Rechenzentrumsleistungen, die (ausschließlich) anderen Konzernunternehmen bereitgestellten werden.
Dies bedeutet somit, dass klassische IT-Konzerngesellschaften regelmäßig als „Anbieter von Rechenzentrumsdiensten“ eingestuft werden können, sofern diese innerhalb der Unternehmensgruppe entsprechende Rechenzentrumsleistungen anbieten.
Daneben können je nach Konstellationen auch andere IT-Konzerngesellschaften von dem BSIG-neu erfasst werden, wenn diese zwar keine Rechenzentrumsleistungen aber zumindest andere IT-Leistungen innerhalb der Unternehmensgruppe erbringen. Denn nach dem BSIG-neu werden auch Anbieter verwaltender Dienste (sog. Managed Service Provider) und Anbieter verwaltender Sicherheitsdienste (sog. Managed Security Service Provider) erfasst.
In die Kategorie der Managed Service Provider gehören begriffstechnisch Konzerngesellschaften, die Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung erbringen. Managed Security Service Provider umfassen wiederum Anbieter verwalteter Dienste, die speziell Unterstützung für Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicherheit durchführt oder erbringt.
Es ist somit gerade in Konzernstrukturen zu prüfen, ob und inwieweit bestimmte Konzerngesellschaften entsprechende Rechenzentrumsleistungen oder verwaltende Dienste im Zusammenhang mit der IKT und Security-Infrastruktur erbringen.
C. Berechnung der Unternehmenskennzahlen in Konzernstrukturen
Ein weiteres in Konzernstrukturen regelmäßig auftretendes Problem betrifft die Frage, welche Unternehmen innerhalb der erfassten Sektoren die maßgeblichen Schwellenwerte erfüllen und wie Unternehmen diese konkret ermitteln sollen.
Dabei ist die Vorgabe der NIS2-Richtlinie zunächst durchaus klar:
Nach Art. 2 der NIS2-Richtlinie gilt diese für alle öffentlichen oder privaten Einrichtungen, die nach Art. 2 des Anhangs der Empfehlung 2003/361/EG („KMU-Empfehlung“) als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen überschreiten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben.
Nach dieser Definition gilt die NIS2-Richtlinie für alle mindestens „mittleren Unternehmen“, als alle Unternehmen, die mindestens 50 Mitarbeiter und entweder einen Jahresumsatz von 10 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf mindestens 10 Mio. EUR beläuft.
Das BSIG-neu weicht hiervon ab, indem nunmehr alle Unternehmen und Organisationen, die entweder (unabhängig vom Umsatz oder der Bilanzsumme) mindestens 50 Mitarbeiter beschäftigen oder (unabhängig von der Mitarbeiterzahl) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen. Dies wird erwartungsgemäß zu einer erheblichen Ausweitung des Anwendungsbereichs der BSIG-neu führen.
Gerade im Zusammenhang mit der Berechnung der maßgeblichen Kennzahlen in Konzernverhältnissen ist große Sorgfalt gefordert. Denn nach der KMU-Empfehlung ist dabei nicht immer auf das einzelne Unternehmen abzustellen. Vielmehr sind in bestimmten Verhältnissen auch die Unternehmenskennzahlen von anderen Unternehmen zu berücksichtigen. Besitzt ein Unternehmen demnach sog. Partner- oder verbundene Unternehmen im Sinne der KMU-Empfehlung, werden bei der Ermittlung der o. g. Schwellwerte nicht nur die Unternehmenskennzahlen des eigentlichen Unternehmens herangezogen, sondern auch die Unternehmenskennzahlen aller Partner- bzw. verbundenen Unternehmen.
Im Rahmen des Entwurfs des BSIG-neu wird dieses Problem noch verschärft. Denn danach soll eine solche Zurechnung der Kennzahlen nicht erfolgen in den folgenden zwei Ausnahmefällen:
- Rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft und
- Unternehmen, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse, unabhängig von Partner- oder verbundenen Unternehmen sind.
Im Hinblick auf den zweiten Ausnahmefall ist die Intention des Gesetzgebers durchaus zu begrüßen: Dahinter steht der Gedanke, dass eine Konzerngesellschaft, die eigenständig über Ihre IT-Infrastruktur entscheiden kann, auch eigenständig bei der Schwellwertberechnung betrachtet werden muss. Gleichwohl bleibt aber dennoch zu konstatieren, dass diese Ausnahme in der NIS2-Richtlinie nicht angelegt sind und daher die Unionsrechtskonformität höchst zweifelhaft ist. Im Zweifel besteht somit das Risiko, dass diese Regelung in Zukunft vom EuGH für unwirksam erklärt wird.
D. Fazit
Die NIS2-Richtlinie ist ein zentraler Baustein der europäischen Cybersicherheitsstrategie und kann dazu beitragen, das Maß der Cybersicherheit in der EU deutlich zu erhöhen.
Gerade in Konzernstrukturen stellen sich bei der Frage des Anwendungsbereichs des vorgesehenen BSIG-neu als Teil des deutschen Umsetzungsgesetzes für die NIS2-Richtlinie jedoch verschiedene Herausforderungen. Dies gilt mit Blick auf die Identifizierung der maßgeblichen Tätigkeitsbereiche bzw. Sektoren sowie die Berechnung der relevanten Schwellwerte. Wie vorstehend aufgezeigt, besteht hier die Gefahr, dass für Konzerngesellschaften der Anwendungsbereich nicht richtig festgelegt wird. Konsequenz können in dem Fall empfindliche aufsichtsbehördliche Maßnahmen sein.
Ob der aktuelle Entwurf des BSIG-neu in dieser Form in Kraft tritt und vor allem wann dies der Fall ist, kann derzeit noch nicht abgesehen werden. Nach aktuellem Stand ist eine fristgemäße Verabschiedung des NIS2UmsuCG bis Oktober 2024 nicht zu erwarten. Unternehmen, insbesondere konzernangehörige, sollten das weitere Gesetzgebungsverfahren daher genau verfolgen. Es bleibt spannend!