Neue Cybersicherheitsvorgaben: Wer ist betroffen?

19. Juli 2024

Mit der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU (NIS2-RL) hat die Europäische Union (EU) auf die verschärfte Bedrohungslage durch Cyberangriffe reagiert. Am 16.1.2023 ist sie in Kraft getreten und bis Oktober 2024 von den Mitgliedstaaten umzusetzen. Obwohl die deutsche Gesetzgebung in den letzten Monaten an Fahrt aufgenommen hat, ist derzeit unklar, ob der deutsche Gesetzgeber die Frist einhalten wird. Der letzte Referentenentwurf zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verstärkt insbesondere die Pflichten zum Schutz der IT-Sicherheit und weitet den Anwendungsbereich der betroffenen Unternehmen stark aus.

Strom- und Gaslieferanten sind zukünftig erfasst

Mit dem NIS2UmsuCG wird der Anwendungsbereich der durch Cybersicherheitsvorschiften Betroffenen auf die neu eingeführten Kategorien „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ erweitert. Die Betreiber von kritischen Anlagen (zuvor noch Kritische Infrastruktur) stellen künftig lediglich einen Unterfall der besonders wichtigen Einrichtungen dar.

Neben einer Ausweitung der kritischen Sektoren werden neue Einrichtungsarten definiert, die zur Betroffenheit als (besonders) wichtige Einrichtung führen können. Zu den neu erfassten Einrichtungsarten gehören insbesondere Strom- und Gaslieferanten.

Zudem wird es künftig auf die Unternehmensgröße ankommen, die sich anhand der beschäftigten Mitarbeiteranzahl, des Jahresumsatzes sowie der Jahresbilanzsumme bestimmt. Eine besonders wichtige Einrichtung liegt vor, wenn mindestens 250 Mitarbeiter beschäftigt werden oder die Einrichtung einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweist (§ 28 Abs. 1 S. 1 Nr. 4 BSIG-E). Eine wichtige Einrichtung liegt bereits dann vor, wenn mindestens 50 Mitarbeiter beschäftigt werden oder die Einrichtung einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist (§ 28 Abs. 2 S. 1 Nr. 3 BSIG-E).

Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme

Das NIS2UmsuCG regelt, wie sich Mitarbeiteranzahl, Jahresumsatz sowie Jahresbilanzsumme bestimmen lassen (§ 28 Abs. 3 BSIG-E). Bei der Bestimmung ist auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen und die Empfehlung 2003/361/EG (KMU-Empfehlung) mit Ausnahme von Art. 3 Abs. 4 des Anhangs anzuwenden.

Bei der Bestimmung anhand der Geschäftstätigkeit sollen nur diejenigen Teile der Einrichtung berücksichtigt werden, die tatsächlich im Bereich der im BSIG-E definierten Einrichtungsarten tätig sind. Querschnittsaufgaben wie Buchhaltung sollen anteilig Berücksichtigung finden. So sollen Unternehmen, deren hauptsächliche Geschäftstätigkeit nicht einer der neu erfassten Einrichtungsarten zuzuordnen ist, vor einer unverhältnismäßigen Erfassung geschützt werden. Wie die konkrete Zuordnung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme auf die einzelnen Teile einer Einrichtung in der Praxis erfolgen soll, bleibt im aktuellen Referentenentwurf unbeantwortet. Das Gleiche gilt für die Frage der Einordnung von Querverbundunternehmen, deren Geschäftstätigkeiten verschiedenen Einrichtungsarten zuzuordnen sind.

Zudem soll auch die KMU-Empfehlung angewendet werden, die insbesondere Regelungen dazu vorsieht, wann die Mitarbeiter, der Jahresumsatz und die Jahresbilanzsumme von verbundenen Unternehmen und/oder Partnerunternehmen hinzugerechnet werden müssen. Dies kann zur Folge haben, dass ein Special Purpose Vehicle (SPV), welches keine eigenen Mitarbeiter hat, sich die Daten der weiteren Konzern-Gesellschaften zurechnen lassen muss und damit die Schwellen für Mitarbeiteranzahl etc. erreicht. Es ist jedoch eine wichtige Ausnahme vorgesehen: Wenn die Einrichtung in ihrer IT vollkommen unabhängig von den mit ihr verbundenen Unternehmen und Partnerunternehmen ist, kann von einer Anwendung der KMU-Empfehlung abgesehen werden. Darüber hinaus gibt es weitere Sonderregelungen, so sind z.B. Telekommunikationsunternehmen in der Regel stets als wichtige Einrichtungen i.S.d. NIS2UmsuCG einzuordnen.

Frühzeitige Beschäftigung ist ratsam

Die neuen Vorschriften sind komplex. Der Referentenentwurf sieht zudem keine Umsetzungsfristen vor, was grundsätzlich dazu führt, dass das Gesetz unmittelbar nach seinem Inkrafttreten angewendet werden muss. Unternehmen sollten sich deshalb frühzeitig damit beschäftigen, welche Einrichtungsart die eigene Betroffenheit begründet und welche Umsetzungsschritte nun ergriffen werden müssen.

Ansprechpartner*innen: Thomas Schmeding/Alexander Bartsch/Julien Wilmes-Horváth/Stefan Brühl

Share
Weiterlesen

18 Juli

Bundeskartellamt veröffentlicht Jahresbericht 2023/24: Entwicklungen in der Energie- und Digitalwirtschaft

Am 26.6.2024 hat das Bundeskartellamt (BKartA) seinen „Jahresbericht 2023/24“ vorgestellt. Tätigkeitsschwerpunkte des Amtes lagen u.a. in den Bereichen der Energie- und Digitalwirtschaft. Energiewirtschaft Einen Fokus legte das BKartA im Bereich der Energiewirtschaft auf die Missbrauchskontrolle. Wegen des Verdachts auf missbräuchlich...

Weiterlesen

17 Juli

Ein halbes Jahr verpflichtender Online-Vertragsabschluss für Netzbetreiber: Die Unsicherheiten bleiben

Seit Anfang 2024 sind alle Netzbetreiber verpflichtet, den Abschluss von Netzanschlussverträgen in der Niederspannung online anzubieten (§ 6 Abs. 1 NAV; § 19 Abs. 4 NAV). Selbst ein gutes halbes Jahr nach der Einführung stellen sich – auch jenseits der technischen...

Weiterlesen