sysysy
NIS-2-Richtlinie – Wer ist betroffen?

Meist verbinden Unternehmer die NIS-2-Richtlinie mit Regelungen in Bezug auf kritische Infrastrukturen. Dabei gehen der Anwendungsbereich und die damit einhergehenden Pflichten und Haftungsrisiken weit über die kritischen Infrastrukturen hinaus.

IT-Recht / Datenschutzrecht

Die Ziele der NIS-2-Richtlinie sind die Harmonisierung von Cybersicherheitsanforderungen sowie die Eindämmung von Bedrohungen für Netz- und Informationssysteme innerhalb der EU. Dabei wurden die Cybersicherheitsanforderungen der ursprünglichen NIS-Richtlinie aus dem Jahr 2016 bedeutend erweitert. Durch die Ausweitung des Anwendungsbereiches und des Pflichtenkatalogs stellt sich für viele (insbesondere mittelständische und kleinere) Unternehmen nun die Frage, ob sie dem Anwendungsbereich der NIS-2-Richtlinie unterfallen.

Anwendungsbereich

Ob ein Unternehmen dem Anwendungsbereich der NIS-2-Richtlinie unterfällt, bestimmt sich im Wesentlichen anhand folgender Faktoren:

  • Sektor (siehe Anhänge I und II der Richtlinie)
  • Mitarbeiterzahl
  • Umsatz

Trotz weniger Faktoren kann die Einordnung innerhalb der Faktoren mitunter schwierig sein. Die schwellenwertabhängigen Faktoren Sektor und Mitarbeiterzahl bzw. Sektor und Umsatz müssen grundsätzlich kumulativ, d. h. nebeneinander, vorliegen. Bei den Schwellenwerten wird zwischen mittleren und großen Unternehmen unterschieden.

Mittlere Unternehmen müssen eine Mitarbeiterzahl von mindestens 50 bis maximal 250 Mitarbeitern und einen Jahresumsatz von 10 bis 50 Mio. EUR oder eine Bilanzsumme von mehr als 10 Mio. EUR aber weniger als 43 Mio. EUR aufweisen. Als große Unternehmen gelten Unternehmen, die mindestens 250 Mitarbeiter haben oder einen Jahresumsatz von mehr als 50 Mio. EUR oder eine Bilanzsumme größer als 25 Mio. EUR aufweisen.

Daneben unterfallen Unternehmen auch bei schwellenwertunabhängigen Sektoren der Richtlinie, wenn

  • das Unternehmen eine kritische Tätigkeit ausübt,
  • die Unternehmenstätigkeit Auswirkungen auf die öffentliche Ordnung hat oder
  • bei einem Ausfall der Unternehmenstätigkeit mit grenzüberschreitenden Auswirkungen und Systemrisiken zu rechnen ist.

Dies ist insbesondere für kleine bzw. Kleinstunternehmen interessant, da diese dem Anwendungsbereich der Richtlinie in diesen Fällen unabhängig von Größe oder Umsatz unterfallen können.

Aktuelle Entwicklungen

Bis 17. Oktober 2024 sind die Vorgaben durch die jeweiligen Mitgliedsstaaten in nationales Recht umzusetzen. In Deutschland wird die Richtlinie über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz „NIS-2UmsuCG“) umgesetzt. Hierbei handelt es sich weitestgehend um eine Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (kurz „BSIG“). Bislang stellt die Umsetzung in nationales deutsches Recht allerdings einen langwierigen Prozess dar. Zwar hat das Bundesministerium für Inneres und Heimat (kurz „BMI“) am 24. Juni 2024 bereits den 4. Referentenentwurf zum NIS-2-UmsuCG veröffentlicht. Der Entwurf wurde mit Kabinettssitzung zum 24. Juli 2024 auch beschlossen. Allerdings hat das BMI bisher noch keinen genauen Termin für das Inkrafttreten genannt, da die abschließende Behandlung und Beschlussfassung im Bundestag noch ausstehen.

Praxistipp

Auch wenn die Umsetzung der Vorgaben der NIS-2-Richtlinie in Deutschland noch nicht erfolgt ist, sollte frühzeitig anhand der Vorgaben der NIS-2-Richtlinie geprüft werden, ob Ihr Unternehmen in den Anwendungsbereich fallen wird. Das BSI hat als Orientierungshilfe z. B. folgende Unterstützungsangebote veröffentlicht:

  • Betroffenheitsanalyse, welche dem Unternehmen die Einordnung in den Anwendungsbereich erleichtern soll, sowie
  • Bereitstellung eines FAQ-Kataloges, der die wichtigsten Themen der NIS-2-Richtlinie komprimiert zusammenfasst.

Um eine rechtlich bindende Einschätzung vornehmen zu können, bedarf es jedoch einer um-fangreichen Einzelfallprüfung.

Gerne unterstützen wir Sie hierbei.

Wir beraten persönlich.

Ihre Ansprechpartner
Stefan Ansgar Strewe
Stefan Ansgar Strewe

Rechtsanwalt, Fachanwalt für IT-Recht, Verfassungsrichter

esb Rechtsanwälte Strewe, Hänsel & Partner mbB

Heike Nikolov
Heike Nikolov

Rechtsanwältin, Fachanwältin für IT-Recht, Fachanwältin für Urheber- und Medienrecht

esb Rechtsanwälte Strewe, Hänsel & Partner mbB

Nicole Marquardt
Nicole Marquardt

Angestellte Rechtsanwältin

esb Rechtsanwälte Strewe, Hänsel & Partner mbB

    Zur Beantwortung meiner Anfrage aus dem Kontaktformular werden meine Daten erfasst und gespeichert.

    eureos Infoservice

    Wir behalten den Überblick für Sie: Mit unserem multidisziplinären Newsletter informieren wir Sie einmal monatlich über aktuelle Fachthemen und senden Ihnen Einladungen zu unseren Fach- und Netzwerkveranstaltungen.

    Jetzt anmelden