Ende 2022 wurde die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) im Amtsblatt der Europäischen Union veröffentlicht und sie ist dann im Januar 2023 in Kraft getreten. Die NIS-2-Richtlinie hat das Ziel, ein europaweites Cybersicherheits-Niveau für gesellschaftlich bedeutende Bereiche, wie z.B. dem Gesundheits- oder den Energiesektor, zu schaffen und sie ist bis zum 17.10.2024 von den Mitgliedsstaaten der EU in das jeweilige nationale Recht umzusetzen.

Hierzu wird es in Deutschland anstatt eines IT-SicherheitsG 3.0 das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ geben. Wie schon beim IT-SicherheitsG handelt es sich beim NIS2UmsuCG um ein Artikelgesetz, das bereits bestehende Gesetze entsprechend der NIS2-Richtlinie verändert, insbesondere das BSiG.

Ein Entwurf des NIS2UmsuCG liegt bereits vor. Wie in der Richtlinie bereits vorgegeben, werden tausende Unternehmen in den Anwendungsbereich des Gesetzes fallen, sofern sie – vereinfach gesagt - in einem der 18 genannten Sektoren tätig sind und eine Größe von mehr als 50 bzw. 250 Mitarbeitern haben oder einen Umsatz von mehr als 10 Millionen Euro jährlich erwirtschaften.

• Cybersicherheitsstrategie der BRD, zentrale Anlaufstellen für Cybersicherheit und Einrichtung von Computer-Notfallteams (CSIRT)
• Erheblich erweiterte Aufgaben für das BSI
• Sektoren und Schwellenwerte
• Risikomanagementmaßnahmen
• Berichts- und Meldepflichten
• Haftungstatbestände, insbesondere persönliche Haftung von Geschäftsführern und Vorständen
• Zeitlicher Fahrplan zur Umsetzung der Richtlinie

Kurz gesagt: alle Unternehmen, die entweder eine kritische Anlage betreiben oder in einem der Sektoren der Anlage 1 und 2 tätig sind und eine gewisse Größe bzw. einen bestimmten Umsatz haben.

Grob kann man drei Bereiche unterscheiden:

1. Betreiber kritischer Anlagen,
2. besonders wichtige Einrichtungen und
3. wichtige Einrichtungen

Betreiber kritischer Anlagen sind in aller Regel solche, die eine KRITIS-Anlage über einen bestimmten Schwellenwert betreiben. Das bedeutet: versorgt eine Anlage in der Regel über 500.000 Personen, ist sie eine KRITIS-Anlage. Obwohl wir die entsprechende Rechtsverordnung dazu noch nicht kennen, dürften ganz grob gesagt, alle Unternehmen, die bisher KRITS waren, auch KRITIS bleiben  - und wahrscheinlich noch ein paar mehr.  

Einrichtungen, die 250 Mitarbeiter oder mehr haben oder mindestens 50 Millionen Euro Umsatz haben und eine Bilanz von mindestens 43 Millionen Euro müssen prüfen, ob sie in einem Sektor der Anlage 1 tätig sind. Falls ja, sind sie besonders wichtige Einrichtungen.

Es gibt hier Ausnahmefälle, die Unabhängig von der Größe in jedem Fall als besonders wichtige Einrichtung gelten, wie TK-Anbieter oder die oben genannten kritische Anlagen.

Einrichtungen, die 50 oder mehr Mitarbeiter haben oder 10 Millionen Euro Umsatz und eine Bilanz ab 10 Millionen Euro müssen prüfen, ob sie in einem Sektor der Anlage 1 oder 2 tätig sind. Falls ja, sind sie sonstige wichtige Einrichtungen.

Hinsichtlich Tochter- oder Schwesterunternehmen gilt § 28 Abs. 3 des geplanten BSI-Gesetzes. Dort steht: Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden.

Was steht in dieser Empfehlung 2003/361/EG?

In Art. 3 steht, dass jedes Unternehmen als ein eigenständiges Unternehmen gilt, das nicht als Partnerunternehmen im Sinne von Absatz 2 oder als verbundenes Unternehmen im Sinne von Absatz 3 gilt. Übersetzt bedeutet das: jedes Unternehmen wird erstmal für sich allein bewertet, außer, es liegen Partnerunternehmen oder verbundene Unternehmen vor.

Was ist ein Partnerunternehmen?

Partnerunternehmen sind alle Unternehmen, die nicht als verbundene Unternehmen im Sinne des Absatz 3 gelten, und zwischen denen folgende Beziehung besteht:  Ein Unternehmen hält allein oder gemeinsam mit einem oder mehreren verbundenen Unternehmen (i.S.d. Abs. 3), 25 Prozent oder mehr des Kapitals oder der Stimmenrechte eines anderen Unternehmens.

Das heißt: ein Unternehmen, das an einem anderen Unternehmen zwischen 25 und 50% der Gesellschaftsanteile hält (oder auch nur die Stimmrechte), ist ein Partnerunternehmen und wird hinsichtlich Umsatz- und Mitarbeiterzahl dem Erstunternehmen hinzugezählt. 

Gleiches gilt für verbundene Unternehmen:

Was sind verbundene Unternehmen?

Verbundene Unternehmen sind Unternehmen, die zueinander in der folgenden Beziehung stehen: Ein Unternehmen hält die Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter eines anderen Unternehmens, das Unternehmen ist berechtigt, die Mehrheit der Mitglieder des Verwaltungsgremiums eines anderen Unternehmens zu bestellen oder abzuberufen, ein Unternehmen ist berechtigt einen beherrschenden Einfluss auf ein anderes Unternehmen auszuüben, oder ein Unternehmen, das Aktionär oder Gesellschaften eines anderen Unternehmens ist, übt die Mehrheit der Stimmrechte aus.

Das heißt, v.a., dass ein Unternehmen, das an einem anderen Unternehmen zwischen 51 und 100% der Gesellschaftsanteile hält (oder auch nur die Stimmrechte), ist ein verbundenes Unternehmen und wird hinsichtlich Umsatz- und Mitarbeiterzahl dem Erstunternehmen hinzugezählt. 

Eine Firmenaufspaltung um den Verpflichtungen aus NIS2 zu entkommen wird sich nicht lohnen, weil die Unternehmen zusammengezählt werden.

Wenn Sie sich genau über diese Themen etwas genauer informieren möchten, dann kommen Sie gerne zu eines unserer Seminare zum Thema IT-Sicherheit, in denen die wichtigsten Inhalte des aktuellen Entwurfs des NIS2UmsuCG systematisch aufbereitet dargestellt werden.

Stand: März 2024