Aufsatz : Sachlich, räumlich und persönlich: Wen treffen die Risikomanagementmaßnahmen aus der NIS-2-Richtlinie? : aus der RDV 3/2025, Seite 132 bis 137

1. Maßnahmen im Hinblick auf Netzwerke, Systeme und die IT-Sicherheitsorganisation
2. Maßnahmen im Zusammenhang mit Beschäftigten
3. Maßnahmen hinsichtlich der Lieferkette (Dritte)

II. Betroffenheitsprüfung

Die Frage, ob und in welchem Umfang die NIS-2-Richtlinie und die damit verbundenen Pflichten für ein Unternehmen gelten, muss stets individuell geprüft werden. Die Beurteilung, ob ein Unternehmen den Anforderungen der NIS-2-Richtlinie unterliegt, erfolgt gemäß den Art. 2 und 3 NIS-2-Richtlinie.

1. Räumlicher Anwendungsbereich

Nach Art. 2 Abs. 1 NIS-2-Richtlinie findet die NIS-2-Richtlinie Anwendung, wenn das entsprechende Unternehmen seine Dienste in der Union erbringt oder seine Tätigkeiten dort ausübt.

a) Ausnahmen

Ausnahmen ergeben sich indirekt über die Zuständigkeit der jeweiligen nationalen Aufsichtsbehörde. Nationale Aufsichtsbehörden sind für DNS-Diensteanbieter, Top Level Domain Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Managed Service Provider, Managed Security Service Provider sowie für Anbieter von Online-Marktplätzen, OnlineSuchmaschinen oder Plattformen für Dienste sozialer Netzwerk nur dann zuständig, wenn

1. deren Hauptniederlassung in der EU im entsprechenden Mitgliedstaat ist, Art. 26 Abs. 1 lit. b) NIS-2-RL, oder
2. es keine Hauptniederlassung der EU gibt, der zu benennende Vertreter in Deutschland niedergelassen ist, Art. 26 Abs. 3 S. 3 NIS-2-RL, oder
3. es auch keinen Vertreter gibt und, der Mitgliedstaat, in dem die Einrichtung Dienste erbringt, gegen die Einrichtung rechtliche Schritte wegen des Verstoßes gegen das die NIS-2-RL umsetzende nationale Gesetz einleitet, Art. 26 Abs. 3 S. 4 NIS-2-RL.

Im Übrigen ist die Aufsichtsbehörde des Mitgliedstaates zuständig, in der die Einrichtung niedergelassen ist, Art. 27 Abs. 1 NIS-2-RL. Ist eine Einrichtung in mehreren Mitgliedstaaten tätig, fällt sie unter die getrennte und parallele Zuständigkeit der betreffenden Aufsichtsbehörden in den Mitgliedstaaten, ErwG 113 S.  4 NIS-2-RL. Die zuständigen Behörden dieser Mitgliedstaaten sollen aber zusammenarbeiten, einander Amtshilfe leisten und gegebenenfalls gemeinsame Aufsichtstätigkeiten durchführen, ErwG 113 S. 5 NIS-2-RL.

b) Bestimmung der Hauptniederlassung

Die Bestimmung der Hauptniederlassung in der EU für die Einrichtungen nach Art. 26 Abs. 1 lit. b) NIS-2-RL, erfolgt abgestuft anhand der folgenden Kriterien gemäß Art. 26 Abs. 2 NIS-2-RL:

1. Derjenige Mitgliedstaat der EU, in dem die Entscheidungen der Einrichtung im Zusammenhang mit den Maßnahmen zum Cybersicherheitsrisikomanagement vorwiegend getroffen werden.
2. Ist eine Bestimmung der Hauptniederlassung danach nicht möglich, gilt als Hauptniederlassung der Mitgliedstaat, in dem die Cybersicherheitsmaßnahmen durchgeführt werden.
3. Kann ein solcher Mitgliedstaat nicht bestimmt werden, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die betreffende Einrichtung die Niederlassung mit der höchsten Beschäftigtenzahl in der EU hat.

Die NIS-2-Richtlinie weicht insofern von der allgemeinen Bestimmung der Hauptniederlassung i.S.v. Art. 49 Abs. 1 S. 1 AEUV ab, wonach auf den Tätigkeitsschwerpunkt bzw. auf den Sitz der herrschenden Gesellschaft abgestellt wird.^[6] Für Unternehmen kann dies unterschiedliche mitgliedstaatliche Aufsichten nach sich ziehen. Bspw., wenn der Tätigkeitsschwerpunkt in der EU in Spanien ist, die IT-Sicherheit aber durch die Konzerngesellschaft in Schweden, die auch die IT-Infrastruktur in Europa erbringt, eigenverantwortlich gemanaged wird.

2. Sachlicher und persönlicher Anwendungsbereich

Sachlich und persönlich ist die NIS-2-Richtlinie auf Unternehmen anwendbar, die die Anforderungen aus Art. 3 Abs. 1 und 2 NIS-2-RL erfüllen. Konkret müssen Unternehmen prüfen, ob sie eine wesentliche oder eine wichtige Einrichtung sind. Dabei spielen neben Sektoren und Schwellenwerten auch die konkreten Tätigkeiten, Einrichtungsarten, eine Rolle. Diese finden sich in den Anhängen I und II NIS-2-RL im Zusammenhang mit den 18 Sektoren. Die konkrete Bestimmung der jeweiligen Betroffenheit ist durch die zahlreichen Verweisketten innerhalb der NIS-2-Richtlinie und vor allem auch durch die Verweise in andere Gesetze und untergesetzliche Listen komplex.

Im Wesentlichen lassen sich die Einrichtungen nach Art. 3 Abs. 1 und 2 NIS-2-RL in die folgenden Kategorien für die weitere Bestimmung einordnen:^[7]

1. Wesentliche und wichtige Einrichtungen ohne weitere Kriterien.
2. Wesentliche und wichtige Einrichtungen mit Schwellenwert.
3. Wesentliche und wichtige Einrichtungen mit Schwellenwert und besonderer Einrichtungsart nach Anhang I und II NIS-2-RL.
4. Einrichtungen der öffentlichen Verwaltung, die durch den Mitgliedstaat definierte Einrichtungen der öffentlichen Verwaltung der Zentralregierung sind (Art. 2 Abs. 2 lit. f) Ziff. i). In Deutschland sind dies Einrichtungen der Bundesverwaltung.^[8]
5. Einrichtungen, die gemäß der CER-RL ((EU) 2022/2557) als kritische Einrichtungen eingestuft wurden, Art. 2 Abs. 3 NIS-2-RL. Kritische Einrichtungen sind von den Mitgliedstaaten gem. den Kriterien aus Art.  6 CER-RL sowie anhand der in Anhang 1 CER-RL genannten Sektoren und Einrichtungsarten bis zum 17.06.2026 zu ermitteln, Art. 2 Nr. 1 CER-RL. Mit der CER-Richtlinie verlagert die EU den Schwerpunkt vom Schutz kritischer Infrastrukturen (KRITIS) hin zur Stärkung der Resilienz von Einrichtungen, die diese Infrastrukturen betreiben.^[9]
6. Monopolisten, konkret eine Einrichtung in einem Mitgliedstaat, bei der es sich um den einzigen Anbieter eines Dienstes handelt, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist, Art. 2 Abs. 2 lit. b) NIS-2-RL.

Hinweis: In seinem bisherigen Gesetzesentwurf, BT-Drs. 20/13184, hat der deutsche Gesetzgeber die Anwendbarkeit der NIS-2-Richtlinie auf Monopolisten bislang nicht geregelt. Auch im Entwurf zum KRITIS-Dachgesetz,^[10] das der Umsetzung der CER-Richtlinie dient, findet sich keine entsprechende Regelung. Sollte der Gesetzgeber der Linie des bisherigen Gesetzesentwurfs treu bleiben, bliebe er hinter dem Schutz der NIS-2-Richtlinie zurück und es bestünde ein Umsetzungsdefizit. Jedenfalls dann, wenn entsprechende Monopolisten nicht bereits über andere Kategorien unter die NIS-2-Richtlinie fallen.

a) Wesentliche und wichtige Einrichtungen ohne weitere Kriterien

Die Prüfung in der Kategorie wesentliche oder wichtige Einrichtungen ohne weitere Kriterien gestaltet sich verhältnismäßig einfach:

aa) Wesentliche Einrichtungen ohne weitere Kriterien Immer als besonders wichtige Einrichtungen gelten nach Art. 3 Abs. 2 NIS-2-RL:

• Qualifizierte Vertrauensdiensteanbieter^[11] und Domänennamenregister der Domäne oberster Stufe, d.h. Top Level Domain Name Registries, sowie DNS-Diensteanbieter, unabhängig von ihrer Größe (lit. b)).
• Einrichtungen der Bundesverwaltung (lit. d)).
• Einrichtungen der in Anhang I oder II NIS-2-RL aufgeführten Art, die von einem Mitgliedstaat gemäß Art. 2 Abs. 2 lit. b) bis e) als wesentliche Einrichtungen eingestuft werden (lit. e)).
•  Einrichtungen, die gemäß der CER-RL ((EU) 2022/2557) als kritische Einrichtungen eingestuft wurden, Art.  2 Abs. 3 NIS-2-RL (lit. f)).
• Einrichtungen, die von den Mitgliedstaaten vor dem 16. Januar 2023 gemäß der Richtlinie (EU) 2016/1148 oder nach nationalem Recht als Betreiber wesentlicher Dienste eingestuft wurden (lit. g))

bb) Wichtige Einrichtungen ohne weitere Kriterien

Wichtige Einrichtungen ohne weitere Kriterien sind nach Art.  3 Abs.  3 NIS-2-RL Vertrauensdiensteanbieter, die keine qualifizierten Vertrauensdiensteanbieter i.S.v. Art.  3 Abs.  1 lit. b) NIS-2-RL sind.

b) Wesentliche und wichtige Einrichtungen mit Schwellenwert

aa) Wesentliche Einrichtungen mit Schwellenwert

Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze sind nur dann wesentliche Einrichtungen, wenn sie mindestens einen der folgenden Schwellenwerte für mittlere Unternehmen erreichen (Art.  3 Abs.  1 lit.  c)) NIS-2-RL i.V.m. Art. 2 des Anhangs der Empfehlung 2003/361/EG), d.h.

a) mindestens 50 Mitarbeiter beschäftigen oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen EUR aufweisen.

bb) Wichtige Einrichtungen mit Schwellenwert

Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die die Schwellenwerte für wesentliche Einrichtungen nach Art. 3 Abs. 1 lit. c) NIS-2-RL i.V.m. Art. 2 des Anhangs der Empfehlung 2003/361/EG für mittlere Unternehmen nicht erreichen, fallen nach Art. 3 Abs. 2 i.V.m. Art. 2 Abs. 1 NIS-2-RL nicht in den Anwendungsbereich.

Der deutsche Gesetzgeber hat in seinem Gesetzesentwurf in § 28 Abs. 1 S. 1 Nr. 3 BSIG-Entwurf den Anwendungsbereich für Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze dagegen erweitert. Sie gelten als wichtige Einrichtungen, wenn sie

1. a) weniger als 50 Mitarbeiter beschäftigen und
2. b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen EUR oder weniger aufweisen.

Diese Erweiterung lässt sich mit den durch die Anbieter und Betreiber ausgehenden Risiken begründen.

c) Wesentliche und wichtige Einrichtungen mit Schwellenwert und besonderer Einrichtungsart nach Anhang 1 und 2 NIS-2-RL

Am komplexesten, aber praktisch aufgrund der Vielzahl der betroffenen Unternehmen auch relevantesten, ist die Prüfung der Betroffenheit für wesentliche und wichtige Einrichtungen mit Schwellenwert und der besonderen Einrichtungsart nach Anhang 1 und 2 NIS-2-RL:

Wesentliche Einrichtungen sind nach Art. 3 Abs. 1 lit. a) NIS-2- RL zudem alle sonstigen Einrichtungen, die einer der in Anhang I NIS-2-RL bestimmten Einrichtungsart zuzuordnen sind und die nach Art.  2 des Anhangs der Empfehlung 2003/361/EG die Schwellenwerte für mittlere Unternehmen überschreiten, d.h.

a) mindestens 250 Mitarbeiter beschäftigen oder

b) einen Jahresumsatz von über 50 Millionen EUR und zudem eine Jahresbilanzsumme von über 43 Millionen EUR aufweisen.

Wichtige Einrichtungen nach Art. 3 Abs. 2 sind alle Einrichtungen, die einer der in Anhängen 1 und 2 bestimmten Einrichtungsarten zuzuordnen sind und die

a) mindestens 50 bis max. 249 Mitarbeiter beschäftigen oder

b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen EUR aufweisen.

Zusätzlich zu den elf Sektoren in Anhang 1 können wichtige Einrichtungen auch aus den weiteren sieben Sektoren Transport und Verkehr, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste und Forschung stammen.

d) Berechnung der Schwellenwerte

Für die Bestimmung der Schwellenwerte gilt die Empfehlung 2003/361 EG für kleine und mittlere Unternehmen. Anknüpfungspunkt ist danach zunächst das „Unternehmen“. Dies ist nach Art. 1 des Anhangs der Empfehlung 2003/361 EG die Einheit, die unabhängig von ihrer Rechtsform eine wirtschaftliche Tätigkeit ausübt.

aa) Konkrete Berechnung

Nach Art. 1 i.V.m. Art. 3 des Anhangs der Empfehlung 2003/361 EG hängt die Berechnung der Schwellenwerte davon ab, um welche Art von Unternehmen es sich handelt. Der von der EU-Kommission veröffentlichte Leitfaden zur Auslegung der Kriterien hilft sowohl bei der Qualifikation der Art des Unternehmens als auch der Prüfung der weiteren Kriterien.^[12] Konkret unterscheidet die Empfehlung danach ob es sich um die folgenden Unternehmenstypen handelt:

• Eigenständiges Unternehmen, Art.  3 Abs.  1 des Anhangs der Empfehlung 2003/361 EG: Eigenständige Unternehmen liegen – negativ abgegrenzt – vor, wenn sie keine Partner- und keine verbundenen Unternehmen sind. Das ist der Fall, wenn:^[13]
  • es keinerlei Beteiligungen an anderen Unternehmen hält und kein anderes Unternehmen an ihm beteiligt ist, oder
  • es weniger als 25 % des Kapitals oder der Stimmrechte (es gilt der jeweils höhere Wert) an einem oder mehreren anderen Unternehmen hält, und/ oder Außenstehende höchstens 25 % des Kapitals oder der Stimmrechte (es gilt der jeweils höhere Wert) an dem Unternehmen halten, oder
  • es mit keinem anderen Unternehmen über eine natürliche Person im Sinne von Art. 3 Abs. 3 des Anhangs der Empfehlung 2003/361 EG verbunden ist.
• Partnerunternehmen, Art.  3 Abs.  2 des Anhangs der Empfehlung 2003/361 EG, ist ein Unternehmen,^[14] dass
  • mindestens 25 % des Kapitals oder der Stimmrechte an einem anderen Unternehmen hält, umgekehrt hält ein anderes Unternehmen einen Anteil von mindestens 25 % an dem Unternehmen, dessen KMU-Status bewertet wird.
  • mit keinem anderen Unternehmen verbunden ist. Das bedeutet unter anderem, dass der Stimmrechtsanteil des Unternehmens an dem anderen Unternehmen (und umgekehrt) 50 % nicht überschreitet.
• Verbundene Unternehmen, Art. 3 Abs. 3 des Anhangs der Empfehlung 2003/361 EG, sind Unternehmen wenn sie eine der folgenden Beziehungen eingehen:^[15]
  • Ein Unternehmen hält die Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter eines anderen Unternehmens;
  • ein Unternehmen ist berechtigt, die Mehrheit der Mitglieder des Verwaltungs-, Leitungs- oder Aufsichtsgremiums eines anderen Unternehmens zu bestellen oder abzuberufen;
  • ein Unternehmen kann gemäß einem zwischen den Unternehmen geschlossenen Vertrag oder aufgrund einer Klausel in der Satzung eines der Unternehmen einen beherrschenden Einfluss auf das andere Unternehmen ausüben;
  • ein Unternehmen kann gemäß einer Vereinbarung die alleinige Kontrolle über die Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter in einem anderen Unternehmen ausüben.

Je nach Einordnung muss die Einrichtung gemäß Art.  6 des Anhangs der Empfehlung 2003/361 EG im Fall eines Einzelunternehmens nur die eigenen Daten, im Fall eines Partnerunternehmens einen Teil der Daten und im Fall von verbundenen Unternehmen alle Daten der Unternehmensgruppe miteinbeziehen.^[16]Die geografische Herkunft der zuzurechnenden Partner- oder verbundenen Unternehmen ist dabei irrelevant,^[17] solange die für die Berechnung maßgebliche Einheit ein Unternehmen i.S.v. Art. 1 Anhang der Empfehlung 2003/361 EG mit Sitz in Deutschland ist.

Bezugsgröße ist nach Art. 4 Abs. 2 des Anhangs der Empfehlung 2003/361/EG der Stichtag des Rechnungsabschlusses des jeweiligen Geschäftsjahres. Überschreitet oder unterschreitet das Unternehmen die Schwellenwerte, wird es erst dann hochgestuft, wenn es in zwei aufeinander folgenden Geschäftsjahren zu einer Über- oder Unterschreitung kommt. Einzelne wirtschaftlich besonders erfolgreiche oder nicht erfolgreiche Geschäftsjahre führen isoliert betrachtet daher weder zu einer Erfassung als wesentliche oder wichtige Einrichtung noch zu einer Entlassung aus dem Pflichtenkatalog.

Mitarbeiter sind nach Art.  5 des Anhangs der Empfehlung 2003/361 EG grundsätzlich alle Vollzeit-, Teilzeit- und Zeitarbeitskräfte sowie Saisonpersonal, nicht aber Auszubildende oder Mitarbeiter in Elternzeit.^[18]Bezugspunkt für die Berechnung ist nach Art. 5 Abs. 1 S. 1 des Anhangs der Empfehlung 2003/361 EG die Zahl der Jahresarbeitseinheiten, d.h. der Zahl der Mitarbeiter, die in der Einrichtung oder auf Rechnung der Einrichtung während des gesamten Berichtsjahres einer Vollzeitbeschäftigung nachgegangen sind. Mitarbeiter in Teilzeit, d.h. solche, die nicht das ganze Jahr gearbeitet haben oder Saisonarbeiter, werden in Bruchteilen der jeweiligen Jahresarbeitseinheit angerechnet, Art. 5 Abs. 1 S. 2 des Anhangs der Empfehlung 2003/361 EG.

Hinweis: Der Begriff Mitarbeiter schließt nach Art. 5 des Anhangs der Empfehlung 2003/361 EG folgende Gruppen ein: Lohn- und Gehaltsempfänger; für das Unternehmen tätige Personen, die zu ihm entsandt wurden und nach nationalem Recht als Arbeitnehmer gelten (§ 611a BGB); mitarbeitende Eigentümer sowie Teilhaber, die eine regelmäßige Tätigkeit in dem Unternehmen ausüben und finanzielle Vorteile aus dem Unternehmen ziehen.^[19] Insofern unterscheidet sich der Mitarbeiterbegriff z.B. vom datenschutzrechtlichen Beschäftigtenbegriff, § 26 Abs. 8 BDSG, sowie vom Beschäftigtenbegriff in § 3 Abs. 8 HinSchG, die beide keine mitarbeitenden Eigentümer umfassen.

Jahresumsatz und Jahresbilanzsumme sind nach Art.  4 Abs.  1 des Anhangs der Empfehlung 2003/361/EG grds. auf den letzten Rechnungsabschluss der Einrichtung und auf Jahresbasis zu berechnen. Der Jahresumsatz ist abzüglich der Mehrwertsteuer und sonstiger indirekter Steuern oder Abgaben zu berechnen (Art. 4 Abs. 1 S. 3 des Anhangs der Empfehlung 2003/361/EG).

bb) Abweichende Berechnung nach dem NIS-2-Umsetzungsgesetzentwurf

Da die Berechnungsmethode zu einem sehr weiten Betroffenenkreis führt und um zu verhindern, dass Einrichtungen mit einem Tätigkeitsschwerpunkt außerhalb der genannten Einrichtungskategorien, „nicht in unverhältnismäßiger Weise erfasst werden“,^[20] hat der deutsche Gesetzgeber in seinem NIS-2-Umsetzungsgesetzentwurf^[21] in § 28 Abs. 3 Nr. 1 BSIG-E eine andere Berechnungsmethode vorgesehen. Danach soll bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen sein.^[22] Für die Berechnung der Schwellenwerte sollen danach nur die Geschäftsteile einer in den Anlagen des BSIG-E genannten Einrichtung berücksichtigt werden, die tatsächlich in den dort genannten Einrichtungskategorien auch tätig sind.^[23] Querschnittsaufgaben, wie bspw. Personal, Buchhaltung etc. sollen nur anteilig berücksichtigt werden.^[24]

Beispiele Betrieb und Bereitstellung von IT-Infrastruktur:

Variante 1

: Betreibt eine Tochtergesellschaft einer Unternehmensgruppe eine eigene, von der Unternehmensgruppe unabhängige IT-Infrastruktur, sind die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG nicht hinzuzurechnen (siehe II. 2. d)), nach dem Umsetzungsgesetz-Entwurf aber nicht, § 28 Abs. 3 Nr. 1 BSIG-Entwurf.

Variante 2:

Betreibt aber eine Tochtergesellschaft mit 400 Mitarbeitern und einem Jahresumsatz von 9 Millionen EUR und einer Jahresbilanzsumme von 7 Millionen EUR zentral für eine Konzerngruppe die IT-Infrastruktur, wären sie nach Anhang I Nr. 9 im Sektor 9. Verwaltung von IKT-Diensten (Business-to-Business) die Einrichtungsart „Anbieter verwalteter Dienste“ und überschritten nach Art. 3 Abs. 1 lit. a) NIS-2-RL i.V.m. Anhang I NIS-2- RL die Schwellenwerte für eine wesentliche Einrichtung.

Entfallen davon aber von den 400 Mitarbeitern nur (i) 200 oder (ii) 48 auf den Geschäftsbereich Bereitstellung IT-Infrastruktur, wäre die Tochtergesellschaft nach § 28 Abs. 3 Nr. 1 BSIG-E im Fall von (i) nur eine wichtige Einrichtung, im Fall von (ii) wäre sie gar nicht von den Pflichten aus betroffen.

Insofern können die NIS-2-Richtlinie und § 28 Abs. 3 Nr. 1 BSIG-E je nach Schwellenwerten zu sehr unterschiedlichen Ergebnissen kommen.

Die Berechnungsmethode in beiden Beispielen nach dem NIS-2-Umsetzungsgesetz sind vom Umsetzungsspielraum der NIS-2-Richtlinie nicht erfasst. Die Regelung ist daher europarechtswidrig.^[25]Denn Art. 2 Abs. 1 NIS-2-Richtlinie, der auf die Berechnung nach der Empfehlung 2003/361 EG verweist, enthält keinen Ermessensspielraum für die Umsetzung. Es handelt sich vielmehr um eine abschließende Harmonisierung, sodass die Mitgliedstaaten keinen Spielraum hinsichtlich des Inhalts haben.^[26]Mitgliedstaaten haben insbesondere auch kein Recht, Unternehmen vom Anwendungsbereich nach nationalem Recht auszunehmen, wenn diese, wie hier nach der NIS-2-Richtlinie, vom Anwendungsbereich erfasst sind.^[27]

Das mit der NIS-2-Richtlinie angestrebte kohärente höhere Cybersicherheitsniveau, Art. 1 Abs. 1 NIS-2-RL, wird durch die deutsche Einschränkung von weniger Unternehmen getragen als von der NIS-2-RL vorgesehen. Die deutsche Regelung weist durch den beschränkten Anwendungsbereich folglich nicht die gleiche praktische Wirksamkeit wie die NIS2-RL auf. Der deutsche Gesetzgeber muss nach Art. 288 Abs. 3 AEUV die Berechnung der Schwellenwerte nach der Empfehlung 2003/361 EG vollständig umsetzen. Es bleibt zu hoffen, dass der deutsche Gesetzgeber dies – auch aus Gründen der Rechtssicherheit für Unternehmen – bei den (Neu)Verhandlungen des Umsetzungsgesetzes noch berücksichtigt.

III. Fazit

Die Ziele des Gesetzgebers, einen einheitlichen Rechtsrahmen für die Aufrechterhaltung der Cybersicherheit in den ausgewählten 18 kritischen Sektoren zu schaffen, und dadurch wesentliche und wichtige Einrichtungen resilienter gegen Cyberangriffe zu machen, sind richtig und wichtig. Die damit verbundenen Mindest-Risikomanagementmaßnahmen sind notwendig und dringend geboten, um den Wirtschaftsstandort Deutschland und die EU gegen gezielte Angriffe zur Schwächung zu wappnen und Spionage sowie Abflüsse von Geschäftsgeheimnissen zu erschweren. Nicht erforderlich sind dagegen Rechtsunsicherheiten, die aus nicht dem angestrebten Schutzniveau entsprechenden Umsetzungen in nationales Recht entstehen können. Zum einen ist die Prüfung der Betroffenheit für zahlreiche Unternehmen im Einzelfall bereits komplex genug. Zum anderen arbeiten die meisten Unternehmen grenzüberschreitend. Der Umgang mit unterschiedlichen Umsetzungsgesetzen in den Mitgliedstaaten erhöht die Komplexität lediglich.

Es bleibt daher zu hoffen, dass der Gesetzgeber davon Abstand nimmt, das Niveau der NIS-2-Richtlinie schwächende Regelungen zu treffen. Die NIS-2-Richtlinie sollte als entsprechend ihrem übergeordneten Ziel, als Mindeststandard für ein kohärentes Cybersicherheitsniveau in den EU-Mitgliedstaaten gesehen werden. Auch Cybersicherheit kann ein Wettbewerbsvorteil sein, z.B. wenn es dafür sorgt, dass Geschäftsgeheimnisse beim Unternehmen verbleiben. Dafür muss aber verpflichtend in die Cybersicherheit investiert werden. Eine schnelle und richtlinienkonforme Umsetzung schafft dafür Anreize.

^{[1] RL (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14.12.2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der VO (EU) Nr. 910/2014 und der RL (EU) 2018/1972 sowie zur Aufhebung der RL (EU) 2016/1148, ABl. L 333, 80 v. 27.12.2022.}

^{[2] Die Digitalstrategie der EU: https://digital-strategy.ec.europa.eu/de/policies/nis2-directive.}

^{[3] RL (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14.12.2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der RL 2008/114/EG des Rates, ABl. L 333/164 v. 27.12.2022.}

^{[4] EU-Kommission, Pressemitteilung vom 28.11.2024, https://germany.representation.ec.europa.eu/news/cybersicherheit-und-resilienz-kritischer-einrichtungen-vertragsverletzungsverfahren-gegen-2024-11-28_de.}

^{[5]Https://germany.representation.ec.europa.eu/news/vertragsverletzungsverfahren-zwei-entscheidungen-zu-deutschland-2025-05-07_de.}

^{[6] Korte, in: Callies/Ruffert, EUV/AEUV, 6. Aufl. 2022, AEUV Art. 49, Rn. 33.}

^{[7] Ein visualisierter Entscheidungsbaum kann beim BSI abgerufen werden: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html.}

^{[8] Davon hat der deutsche Gesetzgeber in seinem Gesetzesentwurf in §  29 Abs.  1 BSIG (BT-Drs. 20/13184) Institutionen der Sozialen Sicherung und der Bundesbank ausgenommen.}

^{[9] In Deutschland gab es bislang 9 Sektoren im Bereich der kritischen Infrastrukturen, Überblick abrufbar unter: https://www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/Sektoren-Branchen/sektoren-branchen_node.html. Mit der CER-Richtlinie sind künftig 11 Sektoren erfasst.}

^{[10] Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-DachG), 27.11.2024, BT-Drs. 20/13961.}

^{[11] Der Gesetzgeber definiert zwar nicht, was qualifizierte Vertrauensdiensteanbieter im Gegensatz zu sonstigen Vertrauensdiensteanbietern sind. Mit dem Verweis bei der Definition des Vertrauensdiensteanbieters in Art. 6 Nr. 25 NIS2-RL in die VO (EU) Nr. 910/2014 macht er aber deutlich, dass damit nach Art. 3 Nr. 17 VO (EU) Nr. 910/2014 solche gemeint sind, die die Anforderungen der Art. 20 ff. VO (EU) Nr. 910/2014 erfüllen.}

^{[12] EU-Kommission, Leitfaden KMU, 2020.}

^{[13] Übersicht bei EU-Kommission, Leitfaden KMU, 2020, 16.}

^{[14] Übersicht bei EU-Kommission, Leitfaden KMU, 2020, 18 (Beispiele ab Seite 25).}

^{[15] Übersicht bei EU-Kommission, Leitfaden KMU, 2020, 21.}

^{[16] Beispiele und konkrete Berechnung im EU-Kommission, Leitfaden KMU, 2020, 17 ff.}

^{[17] EU-Kommission Leitfaden, KMU, 2020, 15.}

^{[18] EU-Kommission Leitfaden, KMU, 2020, 12.}

^{[19] EU-Kommission Leitfaden, KMU, 2020, 12.}

^{[20] BT-Drs. 20/13184, 135.}

^{[21] BT-Drs. 20/13184.}

^{[22] Hessel/Callewaert/Schneider, RDi 2024, 208 (210); Schmidt, RDi 2024, 550 Rn. 14.}

^{[23] BT-Drs. 20/13184, 135; Schmidt RDi, 2024, 550 Rn. 14.}

^{[24] BT-Drs. 20/13184, 135.}

^{[25] So auch Hessel/Callewaert/Schneider, RDi 2024, 208 (210); Hessel/Callewaert/Schneider, RFamU 2024, 200 (201); Schmidt, RDi 2024, 550 Rn.  14; kritisch auch Voigt/Schmalenberger, CR 2023, 717 Rn. 16; abstrakt EuGH, Urt. v. 28.11.2024 – C-293/23; EuZW 2025, 88 Rn. 67 mAnm Scholtka.}

^{[26] EuGH, Urt. v. 28.11.2024 – C-293/23; EuZW 2025, 88 Rn. 54 ff. mAnm Scholtka.}

^{[27] EuGH, Urt. v. 28.11.2024 – C-293/23; EuZW 2025, 88 Rn. 67 mAnm Scholtka.}