Die Umsetzungsfrist für das nationale NIS 2-Umsetzungsgesetz läuft am 17. Oktober 2024 aus. Die Zeit drängt also. Leider sind viele zentrale Fragen zum Anwendungsbereich bis heute noch ungeklärt.

Hintergrund

Die Umsetzung der NIS 2-Richtlinie ist ein Teil der EU-Cybersicherheitsstrategie zur Stärkung und Vereinheitlichung des IT-Sicherheitsniveaus innerhalb der EU. In Deutschland erfolgt die Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), wodurch das BSIG völlig neu gestaltet wird.

Klar ist, dass von der Umsetzung von NIS 2 nicht wie bisher nur “kritische Infrastrukturen” (“Kritis”), sondern auch viele weitere Unternehmen bzw. Einrichtungen betroffen sein werden (der Gesetzgeber geht von circa 25.000 weiteren betroffenen Unternehmen aus). Es ist aber noch unklar, welche Unternehmen konkret betroffen sein werden.

Eröffnung des Anwendungsbereiches

Um zu ermitteln, ob ein Unternehmen bzw. eine Einrichtung in den Anwendungsbereich des NIS2UmsuCG fällt, müssen im wesentlichen die folgenden Fragen beantwortet werden:

1. Fällt die Geschäftstätigkeit unter eine Einrichtungskategorie der Anlage n1 und 2 des NIS2UmsuCG?

2. Werden die Schwellenwerte aus § 28 BSIG-E erreicht?

Die Feststellung, ob eine Einrichtungskategorie der Anlagen 1 und 2 einschlägig ist, erscheint relativ einfach. Komplizierter gestaltet sich unter Umständen aber die Prüfung, ob die relevanten Schwellenwerte erreicht werden. Herausforderungen bestehen hierbei insbesondere für Konzernunternehmen und Unternehmen, deren hauptsächliche Geschäftstätigkeit zwar nicht unter eine Einrichtungskategorie fällt, eine Nebentätigkeit des Unternehmens aber davon umfasst sein könnte.

Die Frage des räumlichen Anwendungsbereichs beantwortet § 64 BSIG-E.  Entscheidend für die Qualifikation als "Hauptniederlassung" einer Einrichtung ist, in welchem EU-Mitgliedstaat die Maßnahmen zum Cybersicherheitsrisikomanagement vorwiegend getroffen bzw. wo diese durchgeführt werden. Einrichtungen, die keine Niederlassung in der EU haben aber innerhalb der EU Dienste erbringen ,sind dazu verpflichtet, dem BSI einen Vertreter zu benennen.

Besonderheiten für (internationale) Konzernunternehmen

Grundsätzlich gilt für verbundene und Partnerunternehmen hinsichtlich der Ermittlung der Schwellenwerte eine Zurechnung der Mitarbeiter- und Umsatzzahlen gemäß der KMU-Empfehlung. Dies gilt jedoch nur für solche Unternehmen, die nicht als unabhängig „hinsichtlich der rechtlichen, wirtschaftlichen und tatsächlichen Abhängigkeitsmerkmale“ anzusehen sind.

Wichtig ist: Die Anwendbarkeit der NIS 2-Richtlinie bzw. des NIS2UmsuCG auf beispielsweise eine Tochtergesellschaft führt nicht automatisch dazu, dass die gesamte Unternehmensgruppe (auch außerhalb der EU) unter den Anwendungsbereich fällt. Jedoch müssen die verbundenen Unternehmen ggf. bei der Schwellenwertberechnung berücksichtigt werden. 

Bislang wenig diskutiert: anteilige Berechnung der „Querschnittsaufgaben“

Nach der Gesetzesbegründung (zu § 28 Abs. 3 BSIG-E) sind „nur diejenigen Teile der Einrichtung einzubeziehen, die tatsächlich im Bereich der in den Anlagen 1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Querschnittsaufgaben wie beispielsweise Personal, Buchhaltung etc. sind hierbei anteilig zu berücksichtigen“.

Die Frage ist nun aber, wie diese anteilige Berücksichtigung konkret zu erfolgen hat. Mögliche Berechnungsmodelle:

1. Rein statistische Betrachtung:
Ein Weg wäre, eine rein statistische Berechnung vorzunehmen. Beispielsfall: In einem Unternehmen mit insgesamt 450 Mitarbeiter arbeiten 45 in einer „kritischen“ Einrichtung. In der HR-Abteilung sind 10 Personen beschäftigt, wovon 1 Person prozentual anteilig zu den 45 Personen hinzuzurechnen wäre.

2. Tatsächliche Betrachtung:
Eine tatsächliche Betrachtungsweise gestaltet sich aufwändiger. Hierbei wäre zu bestimmen, wie viele FTE der (bspw. HR-) Abteilung tatsächlich für die 45 Mitarbeiter der „kritischen“ Einrichtung tätig sind. Dies könnten beispielsweise nur 0,5 FTE oder auch 7,5 FTE sein, je nach diesbezüglichem HR-Aufwand. Entsprechend würde sich eine Zurechnung auf 45,5 oder 52,5 ergeben. Im zweiten Fall wäre der ggf. maßgebliche Schwellenwert für wichtige EInroichtungen gem. § 28 Abs. 2 BSIG-E (50 Mitarbeiter) überschritten. 

Es erscheint sachgerecht und entspricht dem Zweck der Zurechnungsregelung (Wahrung der Verhältnismäßigkeit), auf die tatsächliche Berechnung abzustellen. Sollte es jedoch nicht oder nur mit unverhältnismäßigem Aufwand möglich sein, eine belastbare tatsächliche Betrachtung anzustellen, dürfte als „Hilfsmittel“ auch die rein statistische Betrachtung möglich sein, jedenfalls stehen dem weder der Gesetzeswortlaut noch die -begründung entgegen. Sobald behördliche Interpretationshilfen vorliegen, können hierzu genauere Aussagen getroffen werden.

3. Kontrollüberlegung:
Aufgrund dieser (derzeit leider vorliegenden) Unwägbarkeiten, kann folgende Kontrollüberlegung angestellt werden: Wie viele Personen mit „Querschnittsaufgaben“ würden im Falle einer Auslagerung der „kritischen“ Einrichtung für einen eigenständigen Weiterbetrieb derselben benötigt werden (z.B. 2 HR, 1 Buchhaltung etc...). Dementsprechend wäre die Zurechnung vorzunehmen, die nahe an der unter Ziff. 2 skizzierten tatsächlichen Betrachtung liegen dürfte.

Status des Gesetzgebungsverfahrens und Ausblick

Derzeit laufen die Auswertungen der 62 Stellungnahmen aus Fachkreisen und Verbänden zu dem dritten Referentenentwurf des NIS2UmsuCG vom 7. Mai 2024 durch das BMI. Es folgt ein vierter Referententwurf des NIS2UmsuCG, der einer finalen (?) Abstimmung mit den Ressorts unterliegt. Der entsprechende Kabinettsentschluss soll dem Vernehmen nach noch in diesem Sommer erfolgen. Die Verkündung und das Inkrafttreten des NIS2UmsuCG erfolgen voraussichtlich erst im Frühjahr 2025.

Praxistipps

1. Bei der Prüfung des Anwendungsbereichs sollte im Zweifel die “ungünstige” Berechnungsmethode angewendet werden.

2. Es sollte insbesondere eine detaillierte Dokumentation der Prüfung des Anwendungsbereiches vorgenommen werden, vorallem wenn die Prüfung ergibt, dass das Unternehmen nicht unter den Anwendungsbereich fällt. Dadurch kann im Falle einer Überprüfung durch die Aufsichtsbehörde (BSI) nachgewiesen werden, dass nicht fahrlässig gegen das BSIG verstoßen wurde.

3. In jedem Fall sollten sich Unternehmen mit Risikomanagementmaßnahmen auseinandersetzen. Denn auch unabhängig von gesetzlichen Verpflichtungen ist eine freiwillige Umsetzung ratsam (sichere IT-Infrastruktur als ureigenes unternehmerisches Interesse).

4. “GAP-Analyse”, ggf. unter Einbeziehung der ISO 27001:2022: Die Pflichten zur Implementierung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS) decken sich teilweise mit den NIS-2-Risikomanegementmaßnahmen. Deshalb lohnt im Rahmen einer “GAP-Analyse” ein entsprechender Abgleich.