NIS-2-Richtlinie – Wer ist betroffen?

Die neue NIS-2-Richtlinie

Meist verbinden Unternehmer die NIS-2-Richtlinie mit Regelungen in Bezug auf kritische Infrastrukturen. Dabei gehen der Anwendungsbereich und die damit einhergehenden Pflichten und Haftungsrisiken weit über die kritischen Infrastrukturen hinaus.

Ziel der NIS-2-Richtlinie ist die Harmonisierung von Cybersicherheitsanforderungen sowie die Eindämmung von Bedrohungen für Netz- und Informationssysteme innerhalb der EU. Dabei wurden die Cybersicherheitsanforderungen der ursprünglichen NIS-Richtlinie aus dem Jahre 2016 bedeutend erweitert. Durch die Ausweitung des Anwendungsbereiches und des Pflichtenkatalogs stellt sich für viele (insbesondere mittelständische und kleinere) Unternehmen nun die Frage, ob sie dem Anwendungsbereich der NIS-2-Richtlinie unterfallen.

Anwendungsbereich

Ob ein Unternehmen dem Anwendungsbereich der NIS-2-Richtlinie unterfällt, bestimmt sich im Wesentlichen anhand folgender Faktoren:

  • Sektor (siehe Anhänge I und II der Richtlinie)
  • Mitarbeiterzahl
  • Umsatz

Trotz weniger Faktoren, kann die Einordnung innerhalb der Faktoren mitunter schwierig sein. Die schwellenwertabhängigen Faktoren Sektor und Mitarbeiterzahl bzw. Sektor und Umsatz müssen grundsätzlich kumulativ, d.h. nebeneinander, vorliegen. Bei den Schwellenwerten wird zwischen mittleren und großen Unternehmen unterschieden.

Mittlere Unternehmen müssen eine Mitarbeiterzahl von mindestens 50 bis maximal 250 Mitarbeitern und einen Jahresumsatz von 10 bis 50 Mio. EUR oder eine Bilanzsumme von mehr als 10 Mio. EUR aber weniger als 43 Mio. EUR aufweisen. Als große Unternehmen gelten Unternehmen, die mindestens 250 Mio. Mitarbeiter haben oder einen Jahresumsatz von mehr als 50 Mio. EUR oder eine Bilanzsumme größer als 25 Mio. EUR aufweisen.

Daneben unterfallen Unternehmen auch bei schwellenwertunabhängigen Sektoren der Richtlinie, wenn

  • das Unternehmen eine kritische Tätigkeit ausübt,
  • die Unternehmenstätigkeit Auswirkungen auf die öffentliche Ordnung hat oder
  • bei einem Ausfall der Unternehmenstätigkeit mit grenzüberschreitenden Auswirkungen und Systemrisiken zu rechnen ist.

Dies ist insbesondere für kleine bzw. Kleinstunternehmen interessant, da diese dem Anwendungsbereich der Richtlinie in diesen Fällen unabhängig von Größe oder Umsatz unterfallen können.

Aktuelle Entwicklungen

Bis 17.10.2024 sind die Vorgaben durch die jeweiligen Mitgliedsstaaten in nationales Recht umzusetzen. In Deutschland wird die Richtlinie über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz „NIS-2UmsuCG“) umgesetzt. Hierbei handelt es sich weitestgehend um eine Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (kurz „BSIG“). Bislang stellt die Umsetzung in nationales deutsches Recht allerdings einen langwierigen Prozess dar. Zwar hat das Bundesministerium für Inneres und Heimat (kurz „BMI“) am 24.06.2024 bereits den 4. Referentenentwurf zum NIS-2-UmsuCG veröffentlicht. Der Entwurf wurde mit Kabinettssitzung zum 24.07.2024 auch beschlossen. Bisher hat das BMI allerdings noch keinen genauen Termin für das In-Kraft-Treten genannt, da die abschließende Behandlung und Beschlussfassung im Bundestag noch aussteht.

Praxistipp

Auch wenn die Umsetzung der Vorgaben der NIS-2-Richtlinie in Deutschland noch nicht erfolgt ist, sollte frühzeitig anhand der Vorgaben der NIS-2-Richtlinie geprüft werden, ob Ihr Unternehmen in den Anwendungsbereich fallen wird. Das BSI hat als Orientierungshilfe z.B. folgende Unterstützungsangebote veröffentlicht:

  • Betroffenheitsanalyse, welche dem Unternehmen die Einordnung in den Anwendungsbereich erleichtern soll, sowie
  • Bereitstellung eines FAQ-Katalog, der die wichtigsten Themen der NIS-2-Richtlinie komprimiert zusammenfasst.

Um eine rechtlich bindende Einschätzung vornehmen zu können, bedarf es jedoch einer umfangreichen Einzelfallprüfung. Gerne unterstützen wir Sie hierbei.

Ihre Ansprechpartner in unserem Büro Dresden im Zusammenhang mit der neuen NIS-2-Richtlinie sind:

Rechtsanwältin und Fachanwältin für IT-Recht sowie für Urheber- und Medienrecht Heike Nikolov

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe

Rechtsanwältin Nicole Marquardt

Autor: Heike Nikolov

Autor: Heike Nikolov

Rechtsanwältin
Fachanwältin für IT-Recht
Fachanwältin für Urheber- und Medienrecht

Partnerin bei esb Rechtsanwälte Strewe, Hänsel & Partner mbB


Veröffentlicht am 11.09.2024
unter #IT-Recht