Am 6. März ist eine wichtige Frist im Zusammenhang mit der NIS-2-Richtlinie verstrichen: Betroffene Unternehmen mussten sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Viele Unternehmen fragen sich nun, ob sie diese Frist möglicherweise bereits versäumt haben. In der Praxis zeigt sich jedoch häufig, dass zunächst unklar ist, ob ein Unternehmen überhaupt unter die neuen Regelungen fällt und damit eine Registrierungspflicht besteht.Das eigentliche Risiko liegt dabei häufig weniger in möglichen Bußgeldern wegen einer unterlassenen Registrierung. Entscheidend ist vielmehr, ob Unternehmen im Falle eines Cybervorfalls nachweisen können, dass angemessene Sicherheitsmaßnahmen eingerichtet und dokumentiert wurden. Eine strukturierte NIS-2-Betroffenheitsprüfung ist daher für viele Unternehmen der erste entscheidende Schritt, um Klarheit über ihre rechtlichen Pflichten zu erhalten.
Was regelt das NIS-2-Umsetzungsgesetz?
Mit dem NIS-2-Umsetzungsgesetz setzt Deutschland die europäische NIS-2-Richtlinie in nationales Recht um. Die entsprechenden Vorgaben werden im BSI-Gesetz geregelt. Ziel der Regulierung ist es, Unternehmen zu verpflichten, angemessene organisatorische und technische Maßnahmen zur IT- und Informationssicherheit umzusetzen und Sicherheitsvorfälle gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu melden.
Wer von NIS-2 betroffen sein kann
Als potenziell betroffene Unternehmen kommen beispielsweise in Betracht:
IT-Dienstleister und Cloud-Anbieter
Betreiber digitaler Plattformen oder Online-Dienste
Unternehmen aus den Bereichen Energie, Transport oder Gesundheitswesen
Industrie- und Produktionsunternehmen mit relevanten Lieferketten
Diese Beispiele zeigen, dass eine Betroffenheit nicht allein anhand der Branche beurteilt werden kann. Entscheidend ist stets die konkrete Tätigkeit eines Unternehmens.
Besonderheiten bei Konzernen und Unternehmensgruppen
Ein häufiger Irrtum besteht darin, dass ganze Unternehmensgruppen automatisch unter die NIS-2-Regulierung fallen. Tatsächlich knüpft die Regulierung grundsätzlich an die einzelne juristische Person an. Innerhalb eines Konzerns muss daher jede Gesellschaft separat geprüft werden. Dabei müssen auch Beteiligungs- und Verbundstrukturen berücksichtigt werden, da Kennzahlen anderer Unternehmen teilweise zugerechnet werden.
Gerade in Unternehmensgruppen ist daher eine strukturierte Prüfung notwendig, um festzustellen, welche Gesellschaften tatsächlich unter die NIS-2-Regelungen fallen.
Warum Unternehmen ihre Betroffenheit häufig falsch einschätzen
„Unsere Erfahrung aus Betroffenheitsprüfungen zeigt, dass Unternehmen ihre Situation häufig falsch einschätzen: Entweder wird angenommen, dass zu viele Gesellschaften eines Konzerns betroffen sind, oder es wird davon ausgegangen, dass überhaupt keine Betroffenheit besteht. Eine strukturierte Prüfung schafft hier die notwendige Klarheit und bildet die Grundlage für alle weiteren Schritte.“
– Kerstin Kiefer, Rechtsanwältin –
Warum viele Unternehmen ihre NIS-2-Betroffenheit nicht sicher einschätzen können
In der Praxis zeigt sich, dass viele Unternehmen ihre NIS-2-Betroffenheit nur schwer selbst beurteilen können. Das liegt unter anderem daran, dass die Regulierung nicht allein an Branchen oder IT-Systeme anknüpft, sondern vor allem an die konkreten Tätigkeiten eines Unternehmens. Hinzu kommt, dass die maßgeblichen wirtschaftlichen Schwellenwerte nach der EU-KMU-Definition des europäischen Beihilfenrechts bestimmt werden. Diese Kennzahlen liegen in Unternehmen häufig nicht in der erforderlichen Form vor und müssen zunächst gesondert ermittelt werden. Gerade bei Unternehmensgruppen kommt hinzu, dass Beteiligungs- und Verbundstrukturen berücksichtigt werden müssen.
Was Unternehmen jetzt tun sollten
Unternehmen sollten zunächst klären, ob sie überhaupt unter die NIS-2-Regelungen fallen.
Das Bundesamt für Sicherheit in der Informationstechnik stellt hierfür einen Online-Fragekatalog zur Verfügung. Dieser kann eine erste Orientierung bieten, führt in der Praxis jedoch häufig zu Fehleinschätzungen, da er keine abschließende Einordnung ermöglicht.
Für eine belastbare Einschätzung müssen zusätzlich berücksichtigt werden:
wirtschaftliche Schwellenwerte
tatsächliche Tätigkeiten des Unternehmens
Konzern- und Beteiligungsstrukturen
Fazit: Betroffenheit prüfen und Risiken vermeiden
Für Unternehmen und ihre Geschäftsleitungen hat die Einordnung unter die NIS-2-Regulierung erhebliche praktische Konsequenzen.
Eine strukturierte NIS-2-Betroffenheitsprüfung bildet daher den ersten entscheidenden Schritt. Erst wenn klar ist, ob ein Unternehmen unter die NIS-2-Regelungen fällt, lassen sich die erforderlichen Maßnahmen sinnvoll planen.
Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist?
Eine strukturierte Betroffenheitsprüfung schafft Klarheit darüber, ob eine Registrierungspflicht besteht und welche Maßnahmen erforderlich sind. Weitere Informationen zur NIS-2 Betroffenheitsprüfung finden Sie auf unserer Leistungsseite.
Frau Rechtsanwältin Kerstin Kiefer, geb. 1971, legte nach dem Studium und dem 1. Juristischen Staatsexamen an der Universität Trier das 2. juristische Staatsexamen vor dem OLG Koblenz ab. Nach einer Tätigkeit bei der KPMG Düsseldorf in den Bereichen des Wirtschafts- und Steuerrechts trat Frau Kiefer im Jahr 2000 in die W+ST-Gruppe ein. Seit 2024 ist sie Gesellschafterin der W+ST Rechtsanwaltsgesellschaft mbH. Frau Kiefer ist außerdem Geschäftsführerin der W+ST Data Security GmbH Rechtsanwaltsgesellschaft und Datenschutzbeauftragte. Schwerpunkte ihrer Tätigkeit sind das Datenschutzrecht, IT-Recht, AGB-Recht und Berufsrecht. Aktuell ist sie in der Fortbildung zur Fachanwältin für IT-Recht.
