IT-Compliance Julia Luksan IT-Compliance Julia Luksan

Zur Frage der Anwendbarkeit der NIS2-Richtlinie auf konzernverbundene Unternehmen

Zur Frage der Anwendbarkeit der NIS2-Richtlinie auf konzernverbundene Unternehmen

Die Umsetzung der NIS2-Richtlinie (NIS2) steht vor der Tür. Bei der Vorbereitung bzw Anpassung von entsprechenden Sicherheitsmaßnahmen ergibt sich für viele Unternehmen eine Reihe von Detailfragen. Zu Beginn steht die Einschätzung, ob und in welchem Umfang NIS2 auf das Unternehmen anwendbar ist. Dafür ist unter anderem die Unternehmensgröße relevant. Vor allem Konzernunternehmen kann die Berechnung von Beschäftigtenzahlen und finanziellen Schwellenwerten Probleme bereiten, weil in diesem Bereich Sonderregeln bestehen. Der folgende Beitrag soll eine erste Hilfestellung geben.

1. Wer ist von NIS2 unmittelbar betroffen?

a) Erweiterter Anwendungsbereich

NIS2 wird den bisherigen Anwendungsbereich des Netz- und Informationssystemsicherheitsgesetzes (NISG) deutlich erweitern - so viel steht seit geraumer Zeit fest. Das NISG erfasste bisher nur die Sektoren Energie, Verkehr, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser und Digitale Infrastruktur in einem vergleichsweise geringeren Umfang.

Nunmehr werden alle öffentlichen oder privaten Einrichtungen in relevanten Sektoren, die als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen überschreiten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben, vom Anwendungsbereich erfasst. Bisher betroffene Sektoren wurden inhaltlich erweitert. Zudem wurden neue Branchen ergänzt.

Hochkritische Sektoren sind laut Anhang I NIS2:

  • Energie

  • Transport und Verkehr

  • Bankwesen

  • Finanzmärkte

  • Gesundheit

  • Trinkwasser

  • Abwasser

  • Digitale Infrastruktur / Verwaltung von IKT-Diensten

  • Öffentliche Verwaltung

  • Raumfahrt

Sonstige kritische Sektoren sind laut Anhang II NIS2:

  • Post und Kurier

  • Abfall

  • Chemie

  • Lebensmittel

  • Produktion

  • Digitale Dienste

  • Forschung 

b) „size-cap-rule“ dient der weiteren Einstufung

Als mittleres Unternehmen werden solche ab 50 Beschäftigten oder einem Jahresumsatz bzw einer Jahresbilanzsumme von mehr als 10 Mio Euro eingestuft. Die Schwellenwerte werden überschritten, wenn das Unternehmen zumindest 250 Personen beschäftigt oder einen Jahresumsatz von über 50 Mio Eur bzw eine Jahresbilanzsumme von über 43 Mio Eur erreicht.

Die Richtlinie unterscheidet folgende Kategorien von Unternehmen:

  • Kategorie A: Unternehmen, die Tätigkeiten in bestimmten Sektoren ausüben und größenunabhängig erfasst werden

  • Kategorie B: Mittlere Unternehmen ab 50 Beschäftigten oder >10 Mio Eur Jahresumsatz bzw Jahresbilanzsumme, die Tätigkeiten in den erfassten Sektoren ausüben

  • Kategorie C: Große Unternehmen ab 250 Beschäftigten oder >50 Mio Eur Jahresumsatz bzw einer Jahresbilanzsumme von >43 Mio Eur, die Tätigkeiten in den erfassten Sektoren ausüben

Anhand dieser Kriterien und der sektorenspezifischen Tätigkeit werden Unternehmen weiter als wesentliche oder wichtige Einrichtungen eingestuft oder unabhängig von ihrer Größe zugeordnet. Wesentliche Einrichtungen treffen die umfangreichsten Pflichten und Kontrollen, während wichtige Einrichtungen zwar ebenfalls Sicherheitsmaßnahmen zu implementieren haben, jedoch weniger strengen Kontrollen unterliegen und geringere Bußgelder befürchten müssen.

2. Wie erfolgt die Berechnung der Unternehmensgröße im Konzernverbund?

a) Sonderregel bei verbundenen Unternehmen

Bei der Berechnung der Beschäftigtenzahlen und der finanziellen Schwellenwerte ist zu berücksichtigen, dass es zu einer Berücksichtigung der Kennzahlen mehrerer Unternehmen kommen kann. Davon sind unter anderem verbundene Unternehmen umfasst, die etwa im Fall von Mehrheitsbeteiligungen oder umfassenden Kontrollrechten eines Unternehmens vorliegen können. Ein typisches Beispiel wären 100%ige Tochtergesellschaften.

Wenn es sich somit um zwei oder mehrere verbundene Unternehmen handeln würde, wären die Kennzahlen dieser Unternehmen aus Sicht jedes einzelnen Unternehmens für die Frage, ob es den Pflichten nach NIS2 unterliegt, zusammenzurechnen. Das kann mitunter zu unverhältnismäßigen Ergebnissen führen. So könnte eine kleine Konzerntochter, die lediglich ausgelagerte Tätigkeiten im Sektorenbereich wahrnimmt, aufgrund ihres Verbundes in den vollen Anwendungsbereich des Gesetzes fallen.

b) Richtlinie ermöglicht Ausnahme

NIS2 berücksichtigt diesen Umstand und eröffnet den Mitgliedstaaten einen Spielraum bei der Umsetzung. Demnach können die Mitgliedstaaten […] den Grad der Unabhängigkeit einer Einrichtung gegenüber ihren […] verbundenen Unternehmen berücksichtigen. Ein Beispiel dafür wäre, dass eine Einrichtung in Bezug auf die Netz- und Informationssysteme, die sie bei der Erbringung ihrer Dienste nutzt, und in Bezug auf die von ihr erbrachten Dienste unabhängig von ihren Partnerunternehmen oder verbundenen Unternehmen ist. Bei Vorliegen der erforderlichen Unabhängigkeit wäre es also möglich, dass nur die eigenen Zahlen des betroffenen (verbundenen) Unternehmens zu berücksichtigen sind. Der Frage, ob das Unternehmen ein eigenständiges IT-System hat und demnach von anderen Konzerngesellschaften “abgekoppelt” ist, könnte daher künftig Bedeutung zukommen.

3. Was bedeutet das für österreichische Unternehmen?

a) Keine Ausnahme im österreichischen Begutachtungsentwurf (Stand: 04.04.2024)

Das Bundeskanzleramt hat am 03.04.2024 den Entwurf für das Netz- und Informationssystemsicherheitsgesetz 2024 (NIS 2024) zur Begutachtung eingebracht. Darin findet sich aktuell keine Ausnahme von der Berechnung, wie sie NIS2 ermöglichen würde. Die Erläuterungen verweisen diesbezüglich nur auf die Besonderheiten in der Berechnung bei verbundenen Unternehmen.

b) Abstellen auf “bestimmenden Einfluss” in Deutschland

In Deutschland wurde die Ausnahme von der Zusammenrechnung im Entwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gesetzlich berücksichtigt (Bearbeitungsstand: 22.12.2023):

Die Daten von […] verbundenen Unternehmen […] sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse, unabhängig von seinen […] verbundenen Unternehmen ist.

Der Referentenentwurf stellt in den Erläuterungen auf einen “bestimmenden Einfluss” des Unternehmens ab, der insbesondere dann vorliegt, wenn grundsätzliche Entscheidungen zur Beschaffung, zum Betrieb und zur Konfiguration der informationstechnischen Systeme, Komponenten und Prozesse durch die Einrichtung eigenverantwortlich getroffen werden können. Außerdem sollen bei der Bestimmung der maßgeblichen Mitarbeiterzahlen und des Umsatzes nur diejenigen Teile der Einrichtung einbezogen werden, die tatsächlich im Bereich der kritischen Sektoren tätig sind. Dagegen sollen Querschnittsaufgaben wie beispielsweise Personal, Buchhaltung nur anteilig berücksichtigt werden.

Es bleibt zu hoffen, dass Österreich von der genannten Ausnahme noch Gebrauch machen und eine ähnliche Regelung schaffen wird. Das würde Unternehmen entlasten, deren formale Einbeziehung als mittleres oder großes Unternehmen unverhältnismäßig wäre. Für Konzernunternehmen kann es somit sinnvoll sein, im Rahmen der NIS2-Compliance-Maßnahmen auch zu prüfen, ob die eigenen Systeme autonom sind und ob und gegebenenfalls welche Abhängigkeiten zu anderen Gesellschaften bestehen.

- - -

IN A NUTSHELL:

  • NIS2 ist seit 16. Jänner 2023 in Kraft und setzt sich zum Ziel, die Cybersicherheit in Unternehmen zu erhöhen. Zu diesem Zweck sind IT-sicherheitsrelevante Compliance-Maßnahmen umzusetzen.

  • NIS2 ist als EU-Richtlinie grundsätzlich nicht unmittelbar anwendbar und muss zunächst in nationales Recht umgesetzt werden. Die Frist für die Umsetzung endet am 17.10.2024. Am 03.04.2024 wurden Entwürfe für das österreichische Gesetz zur Begutachtung eingebracht. Die Begutachtungsfrist endet am 01.05.2024.

  • Unternehmen unterliegen den Pflichten nach NIS2, wenn sie in bestimmten Bereichen tätig sind, die die Gesetzgebung als besonders kritisch bzw sensibel einstuft (kritische Sektoren). Zudem hängt der Umfang der Aufsichts- und Durchsetzungsmaßnahmen von der Größe der Unternehmen ab, die im Sinn der Richtlinie zu ermitteln ist. Bei Unternehmen im Konzernverbund ist überdies zu prüfen, ob und gegebenenfalls welche Unternehmenskennzahlen zusammenzurechnen sind.

  • Auch Unternehmen in der Lieferkette, die nicht in den direkten Anwendungsbereich von NIS2 fallen, werden als Zuliefer:innen oder Dienstleister:innen von erfassten Unternehmen indirekt betroffen sein: Die Umsetzung der Maßnahmen wird zu einer erhöhten Achtsamkeit bei der Auswahl und Vertragsgestaltung mit potenziellen und bestehenden Geschäftspartner:innen führen.

Weiterführende Quellen:

Begutachtungsentwürfe - Bundesgesetz, mit dem ein Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden

Richtlinie (EU) 2022/2555 des europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)

Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (2003/361/EG)

Netz- und Informationssystemsicherheitsgesetz – NISG idgF

Netz- und Informationssystemsicherheitsverordnung idgF

Bitte beachten Sie: Die Informationen in diesem Beitrag wurden mit größtmöglicher Sorgfalt zusammengestellt, dienen der allgemeinen Auskunft und können eine Rechtsberatung im Einzelfall nicht ersetzen.

Weiterlesen