Meist verbinden Unternehmer die NIS-2-Richtlinie mit Regelungen in Bezug auf kritische Infrastrukturen. Dabei gehen der Anwendungsbereich und die damit einhergehenden Pflichten und Haftungsrisiken weit über die kritischen Infrastrukturen hinaus.
Die Ziele der NIS-2-Richtlinie sind die Harmonisierung von Cybersicherheitsanforderungen sowie die Eindämmung von Bedrohungen für Netz- und Informationssysteme innerhalb der EU. Dabei wurden die Cybersicherheitsanforderungen der ursprünglichen NIS-Richtlinie aus dem Jahr 2016 bedeutend erweitert. Durch die Ausweitung des Anwendungsbereiches und des Pflichtenkatalogs stellt sich für viele (insbesondere mittelständische und kleinere) Unternehmen nun die Frage, ob sie dem Anwendungsbereich der NIS-2-Richtlinie unterfallen.
Anwendungsbereich
Ob ein Unternehmen dem Anwendungsbereich der NIS-2-Richtlinie unterfällt, bestimmt sich im Wesentlichen anhand folgender Faktoren:
- Sektor (siehe Anhänge I und II der Richtlinie)
- Mitarbeiterzahl
- Umsatz
Trotz weniger Faktoren kann die Einordnung innerhalb der Faktoren mitunter schwierig sein. Die schwellenwertabhängigen Faktoren Sektor und Mitarbeiterzahl bzw. Sektor und Umsatz müssen grundsätzlich kumulativ, d. h. nebeneinander, vorliegen. Bei den Schwellenwerten wird zwischen mittleren und großen Unternehmen unterschieden.
Mittlere Unternehmen müssen eine Mitarbeiterzahl von mindestens 50 bis maximal 250 Mitarbeitern und einen Jahresumsatz von 10 bis 50 Mio. EUR oder eine Bilanzsumme von mehr als 10 Mio. EUR aber weniger als 43 Mio. EUR aufweisen. Als große Unternehmen gelten Unternehmen, die mindestens 250 Mitarbeiter haben oder einen Jahresumsatz von mehr als 50 Mio. EUR oder eine Bilanzsumme größer als 25 Mio. EUR aufweisen.
Daneben unterfallen Unternehmen auch bei schwellenwertunabhängigen Sektoren der Richtlinie, wenn
- das Unternehmen eine kritische Tätigkeit ausübt,
- die Unternehmenstätigkeit Auswirkungen auf die öffentliche Ordnung hat oder
- bei einem Ausfall der Unternehmenstätigkeit mit grenzüberschreitenden Auswirkungen und Systemrisiken zu rechnen ist.
Dies ist insbesondere für kleine bzw. Kleinstunternehmen interessant, da diese dem Anwendungsbereich der Richtlinie in diesen Fällen unabhängig von Größe oder Umsatz unterfallen können.
Aktuelle Entwicklungen
Bis 17. Oktober 2024 sind die Vorgaben durch die jeweiligen Mitgliedsstaaten in nationales Recht umzusetzen. In Deutschland wird die Richtlinie über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz „NIS-2UmsuCG“) umgesetzt. Hierbei handelt es sich weitestgehend um eine Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (kurz „BSIG“). Bislang stellt die Umsetzung in nationales deutsches Recht allerdings einen langwierigen Prozess dar. Zwar hat das Bundesministerium für Inneres und Heimat (kurz „BMI“) am 24. Juni 2024 bereits den 4. Referentenentwurf zum NIS-2-UmsuCG veröffentlicht. Der Entwurf wurde mit Kabinettssitzung zum 24. Juli 2024 auch beschlossen. Allerdings hat das BMI bisher noch keinen genauen Termin für das Inkrafttreten genannt, da die abschließende Behandlung und Beschlussfassung im Bundestag noch ausstehen.
Praxistipp
Auch wenn die Umsetzung der Vorgaben der NIS-2-Richtlinie in Deutschland noch nicht erfolgt ist, sollte frühzeitig anhand der Vorgaben der NIS-2-Richtlinie geprüft werden, ob Ihr Unternehmen in den Anwendungsbereich fallen wird. Das BSI hat als Orientierungshilfe z. B. folgende Unterstützungsangebote veröffentlicht:
- Betroffenheitsanalyse, welche dem Unternehmen die Einordnung in den Anwendungsbereich erleichtern soll, sowie
- Bereitstellung eines FAQ-Kataloges, der die wichtigsten Themen der NIS-2-Richtlinie komprimiert zusammenfasst.
Um eine rechtlich bindende Einschätzung vornehmen zu können, bedarf es jedoch einer um-fangreichen Einzelfallprüfung.
Gerne unterstützen wir Sie hierbei.