Deep Dive NIS2 - Betroffene Unternehmen in Deutschland

Johanna Heinrich
05. Dezember 2024
8 Minuten

Bildnachweis: NomadSoul1

Wir werfen in diesem Beitrag einen genauen Blick auf die Arten von Unternehmen, die in Deutschland von NIS2 betroffen sind und beleuchten die verschiedenen Kritikalitätsstufen im Rahmen des NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG). Es wird zunächst um Einrichtungsarten nach dem NIS2UmsuCG und noch nicht um kritische Infrastrukturen und KRITIS-Sektoren im Sinne des KRITIS-Dachgesetzes gehen. Alle Infos zu KRITIS stellen wir Ihnen dann im dritten Teil unserer Blogreihe vor.

Falls Sie den Anfang unserer Blogreihe zu KRITIS und NIS2 verpasst haben, empfehlen wir Ihnen zunächst diese Artikel:

NIS2 kommt! … Oder doch noch nicht?

Deep Dive NIS2 - Eine Reise durch den Vorschriftendschungel (Teil 1)

Woher weiß ich, ob mein Unternehmen von NIS2 betroffen ist?

Leider ist diese Frage nicht ganz einfach zu beantworten, da die Kategorisierung von Unternehmen als NIS2-Einrichtungsart im oben beschriebenen Sinne nur teilweise, aber nicht ausschließlich von bestimmten Größenschwellen für Mitarbeiterzahl und Umsatz abhängig ist.

Noch anspruchsvoller wird es dann, wenn ein einzelnes mittelständisches Unternehmen, das den Schwellenwert als separat betrachtete Legaleinheit noch nicht überschreitet, einem Konzernverbund oder einer Unternehmensgruppe angehört, die die Schwellenwerte im Gesamten aber sehr wohl überschreitet und somit im Ganzen als „wichtige Einrichtung“ zu kategorisieren wäre.

Und zu allem Überfluss gibt es dann noch eine Anzahl von Dienstleistungen, die völlig größenunabhängig, also immer von NIS2 oder KRITIS betroffen sind.

Wir beginnen einmal ganz von vorne… bei der Sektorenprüfung.

Eine Übersicht aller von NIS2 betroffenen Sektoren finden Sie hier:

„Fit für die NIS2-Richtlinie: So stellen Sie Ihr Unternehmen zukunftssicher auf“

Ausgeklammert werden in diesem Beitrag der Einfachheit halber zunächst kritische Einrichtungen im Sinne des geplanten KRITIS-Dachgesetzes oder die bereits erwähnten Anbieter von Dienstleistungen, die größenunabhängig immer in den Anwendungsbereich von NIS2 fallen, bspw. Telekommunikationsanbieter oder qualifizierte Vertrauensdiensteanbieter nach der eIDAS-Verordnung. Diese Unternehmen gelten auch bei niedrigeren Schwellenwerten schon als besonders wichtige Einrichtung und werden Gegenstand unseres nächsten und dritten Teils sein.

Sofern Ihr Unternehmen also nicht einem besonders kritischen Sektor zugehörig ist, bedarf es zunächst einer Prüfung der Anlagen 1 und 2 des NIS2UmsuCG. Ein Blick in die dort aufgelisteten Sektoren hilft, um herauszufinden, ob Ihr Unternehmen möglicherweise als besonders wichtige oder wichtige Einrichtung nach der NIS2-Methodik einzuordnen ist.

NIS2-Sektoren

Möglicherweise ist Ihr Unternehmen oder ein bestimmtes Unternehmen innerhalb Ihres Konzerns von NIS2 betroffen, sofern es den folgenden Sektoren zuzuordnen ist:

·      Energie,

·      Transport,

·      Finanzmärkte,

·      Bankwesen,

·      Gesundheit,

·      digitale Infrastruktur,

·      Abfallwirtschaft,

·      Trinkwasserversorgung,

·      öffentliche Verwaltung,

·      Lebensmittelproduktion,

·      Post- und Kurierdienste,

·      Weltraum,

·      Forschung,

·      Produktion, Herstellung und Handel mit chemischen Stoffen

·      oder Maschinen- und Fahrzeugbau.

Sollte Ihr Unternehmen einer dieser Sektoren angehören, können Sie direkt hier ein kostenloses Vorgespräch für unsere NIS2 GAP-Analyse anfordern.

Zu den NIS2 verdrängenden Sonderregeln in den Sektoren Finanzen (DORA-Regulierung), Energie (EnWG) und Telekommunikation (TKG) finden Sie weitere Infos im dritten Teil unserer Blogreihe.

Einrichtungsarten und Schwellenwerte

Das NIS2UmsuCG unterscheidet zwischen besonders wichtigen Einrichtungen ( = wesentliche Einrichtungen im Sinne der NIS2-Richtlinie) und wichtigen Einrichtungen. Diese Differenzierung spielt später beim Pflichtenkatalog eine Rolle. Näheres dazu erfahren Sie ab Teil 5 unserer Blogreihe.

Besonders wichtige Einrichtungen nach § 28 (1) NIS2UmsuCG sind Großunternehmen in den einschlägigen Sektoren ab einer Mitarbeiterzahl von über 250 Beschäftigten oder einer Jahresbilanzsumme von 43 Mio. Euro und einem Jahresumsatz von 50 Mio. Euro. Für die Qualifizierung als wichtige Einrichtung nach § 28 (2) NIS2UmsuCG muss Ihr Großunternehmen oder mittleres Unternehmen mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz von 10 Mio. Euro erwirtschaften (Bilanz muss ebenfalls mindestens 10 Mio. Euro betragen). Einrichtungen der Bundesverwaltung (Staat) sind separat reguliert und erben Pflichten der besonders wichtigen Einrichtungen § 29 NIS2UmsuCG sowie eigene Pflichten aus Kapitel 3 des NIS2UmsuCG.

Weitere Voraussetzungen für die Anwendbarkeit des NIS2UmsuCGsind:

1. Die Legaleinheit muss sich in Deutschland befinden. Anders als bei Unternehmen in kritischen Sektoren (KRITIS-Dachgesetz) genügt es nicht, wenn die Wertschöpfung Deutschland stattfindet oder hier Dienstleistungen erbracht werden. NIS2UmsuCG gilt nur für Unternehmen mit Sitz in Deutschland.

2. Darüber hinaus müssen Mitarbeiterzahl oder Umsatz und Bilanz über den Schwellenwerten für NIS2-Einrichtungsarten liegen.

Unternehmensgruppen oder verbundene Unternehmen

Sofern Sie Teil eines Konzernverbunds oder einer Unternehmensgruppe sind, Ihr Unternehmen in der Einzelbetrachtung die Schwellenwerte noch nicht überschreitet (bspw. weniger als 10 Mio. Euro Umsatz), muss geprüft werden, ob bei der Berechnung der Schwellenwerte andere Unternehmen der Gruppe mit einbezogen werden müssen.

Hierbei ist die Empfehlung 2003/361/EG der EU-Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen heranzuziehen. Darin werden einheitliche Identifikationskriterien zur Bestimmung der Unternehmensgröße für alle EU-Mitgliedstaaten definiert.

Die EU-Empfehlung zur Definition von KMU differenziert zwischen verschiedenen Unternehmenstypen, sogenannten eigenständigen Unternehmen, Partnerunternehmen und verbundenen Unternehmen (vgl. Art. 3 der EU-Empfehlung). Bei miteinander verbundenen Unternehmen oder Partnerunternehmen werden Mitarbeiteranzahl und Vorjahresumsatz der gesamten Gruppe als Berechnungsgrundlage für die Einordnung als NIS2-Einrichtungsart zugrunde gelegt.

Ob Ihr Unternehmen trotz möglicher Verbindung zu anderen Unternehmen in einer Gruppe im Hinblick auf die NIS2-Schwellenwerte einzeln zu beurteilen ist, hängt von vielen Kriterien ab.

So können unter anderem auch die Beschaffenheit und der Betrieb der informationstechnischen Systeme bei der Frage der „Verbundenheit von Unternehmen“ eine entscheidende Rolle spielen. Werden beispielsweise in einem Konzern über die Unternehmens-IT auch Dienstleistungen für Tochtergesellschaften erbracht, kann die gesamte Muttergesellschaft in den Anwendungsbereich der NIS-2-Richtlinie fallen (vgl. Hessel/Callewaert/Schneider: Die NIS-2-Richtlinie aus Unternehmensperspektive, RDi 2024, 208.).

Als Faustregel gilt: je abhängiger Ihr Unternehmen von der Unternehmensgruppe ist, desto wahrscheinlicher handelt es sich um verbundene Unternehmen.

NIS2 GAP-Analyse

Falls Sie eine ausführliche Beratung zu NIS2 benötigen, beantworten wir gerne alle Ihre Fragen. Kostenlose Termine zur Vorbesprechung der NIS2 GAP-Analyse können Sie direkt hier vereinbaren.

Wenn Sie keinen Artikel dieser Blogreihe verpassen wollen, abonnieren Sie jetzt unseren Newsletter!

Autorin: Johanna Heinrich

Senior Legal Consultant

Zwei Geschäftsmänner Icon
Close Icon

Jetzt Angebot anfordern

Informationen zur Verarbeitung Ihrer personenbezogenen Daten und zum Widerspruch finden Sie in unseren Datenschutzhinweisen.

Close Icon

Jetzt Termin buchen