NIS-2 RICHTLINIE: Unser FAQ für Unternehmen

Nein. Die NIS-2-Richtlinie gilt nicht für jedes Unternehmen, sondern nur für Unternehmen, die tatsächlich unter die Regulierung fallen. 

Ob eine Betroffenheit vorliegt, hängt insbesondere davon ab, ob ein Unternehmen einem von NIS-2 erfassten Sektor zuzuordnen ist und ob bestimmte wirtschaftliche Schwellenwerte erreicht werden. Zusätzlich ist entscheidend, welche konkreten Tätigkeiten das Unternehmen tatsächlich ausübt. 

Erst nach einer strukturierten Prüfung von Sektor, Tätigkeit und Schwellenwerten lässt sich zuverlässig feststellen, ob ein Unternehmen unter die NIS-2-Richtlinie fällt.

Die Richtlinie erfasst insbesondere Unternehmen aus Bereichen wie Energieversorgung, Transport und Verkehr, Gesundheitswesen, IT- und digitale Dienstleistungen, digitale Infrastrukturen sowie Wasser- und Abfallwirtschaft. Auch Betreiber von Online-Plattformen oder digitalen Marktplätzen können betroffen sein. 

Entscheidend ist dabei jedoch nicht allein die Branche. Maßgeblich ist vielmehr, welche konkreten Leistungen ein Unternehmen tatsächlich erbringt.

Zur Feststellung der Betroffenheit eines Unternehmens spielen vor allem folgende Kennzahlen eine Rolle: 

• Mitarbeiterzahl 

• Umsatz und/oder Bilanzsumme 

Diese Schwellenwerte werden nach der EU-KMU-Definition des europäischen Beihilfenrechts bestimmt. Sie unterscheiden sich daher von den Kennzahlen, die beispielsweise nach dem Handelsgesetzbuch verwendet werden. 

So wird etwa die Mitarbeiterzahl nach der EU-Definition in sogenannten Jahresarbeitseinheiten berechnet. Auch Umsatz- und Bilanzwerte werden nach europarechtlichen Vorgaben bestimmt. Die relevanten Kennzahlen müssen daher häufig gesondert ermittelt und aufbereitet werden. 

Nein. Eine automatische Betroffenheit für einen gesamten Konzern gibt es nicht. 

Die NIS-2-Regulierung gilt grundsätzlich für jede juristische Person einzeln. In Konzernstrukturen muss daher jede Gesellschaft gesondert geprüft werden. 

In der Praxis ist häufig klar, dass mindestens eine Gesellschaft eines Konzerns betroffen sein wird. Unklar ist jedoch oft, welche konkrete Gesellschaft unter die Richtlinie fällt.

Bei der Prüfung der relevanten Schwellenwerte müssen auch Beteiligungsstrukturen berücksichtigt werden. Je nach Beteiligungsstruktur werden entweder vollständige oder anteilige Kennzahlen anderer Unternehmen zugerechnet. Auch Beteiligungen über Privatpersonen können dazu führen, dass Unternehmen als verbundene Unternehmen oder Partnerunternehmen gelten. 

Soweit private Beteiligungsverhältnisse für die KMU-Berechnung relevant sind, müssen diese offengelegt werden. Die entsprechenden Angaben werden ausschließlich für die Durchführung der Prüfung verwendet und unterliegen der berufsrechtlichen Verschwiegenheitspflicht unserer Rechtsanwaltsgesellschaft.

Grundsätzlich ist eine Selbsteinschätzung möglich. In der Praxis setzt sie jedoch vertiefte Kenntnisse der maßgeblichen gesetzlichen Regelungen voraus. 

Dazu gehören insbesondere die Vorgaben des BSI-Gesetzes, die Einordnung der tatsächlichen Unternehmensaktivitäten sowie die wirtschaftliche Bewertung nach der EU-KMU-Definition. 

Zudem müssen verbundene Unternehmen und Partnerunternehmen nach den vorgesehenen Zurechnungsregeln berücksichtigt werden. Die hierfür erforderlichen Kennzahlen liegen in Unternehmen häufig nicht in der notwendigen Form vor und müssen zunächst ermittelt werden.

Das Ergebnis der Betroffenheitsprüfung wird in einem Prüfbescheid dokumentiert. 

Dieser hält für das jeweilige Unternehmen verbindlich fest, ob eine NIS-2-Betroffenheit vorliegt oder nicht. Der Prüfbescheid schafft damit eine belastbare Grundlage für weitere Entscheidungen, etwa zur Registrierung beim BSI oder zur Umsetzung der gesetzlichen Anforderungen.

Unternehmen, die unter die NIS-2-Richtlinie fallen, müssen verschiedene organisatorische, technische und dokumentarische Maßnahmen umsetzen. 

Dazu gehören insbesondere Maßnahmen des Cybersicherheits-Risikomanagements, klare Verantwortlichkeiten innerhalb der Organisation, Notfall- und Wiederanlaufkonzepte, Meldeprozesse für Sicherheitsvorfälle sowie eine kontinuierliche Dokumentation der getroffenen Sicherheitsmaßnahmen. 

Wichtig ist, dass NIS-2 kein einmaliges Projekt darstellt. Vielmehr handelt es sich um einen dauerhaften Compliance-Prozess, der regelmäßig überprüft und angepasst werden muss. 

Besteht die NIS-2-Betroffenheit bereits mit Inkrafttreten des neuen BSI-Gesetzes, muss die Registrierung innerhalb von drei Monaten erfolgen. Für den ersten Umsetzungszeitraum ergibt sich daraus der Stichtag 06.03.2026. 

Wird die Betroffenheit erst später festgestellt, etwa aufgrund einer Änderung der Tätigkeit, der Schwellenwerte oder der Konzernstruktur, beginnt die Frist mit dem Zeitpunkt der Feststellung der Betroffenheit.

Bei erheblichen Sicherheitsvorfällen besteht eine gestufte Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). 

Die Richtlinie sieht insbesondere folgende Fristen vor: 

• Erstmeldung innerhalb von 24 Stunden 

• Folgemeldung innerhalb von 72 Stunden 

• abschließende Bewertung des Vorfalls 

Da das BSI zugleich Aufsichtsbehörde ist und bei Pflichtverstößen Bußgelder verhängen kann, ist eine rechtlich präzise Kommunikation besonders wichtig. 

Die gesetzlichen Vorgaben verlangen, dass angemessene Cybersicherheitsmaßnahmen umgesetzt und nachvollziehbar dokumentiert werden. Dabei handelt es sich nicht um eine Bewertung der Qualität der bestehenden IT-Arbeit. In vielen Unternehmen leisten IT-Leiter und IT-Teams bereits sehr gute Arbeit. Die Prüfung setzt genau hier an und erfolgt überwiegend dokumenten- und konzeptbasiert. 

Auf Grundlage vorhandener Unterlagen, Prozesse und Sicherheitskonzepte wird bewertet, ob die organisatorischen und Managementmaßnahmen den gesetzlichen Anforderungen entsprechen. Ergänzend können technische Prüfungen durch spezialisierte Partnerunternehmen sinnvoll sein, etwa Schwachstellenanalysen oder Penetrationstests. 

Zertifizierungen wie ISO 27001 oder TISAX verfolgen ähnliche Ziele wie die NIS-2-Richtlinie, sind jedoch nicht identisch mit den gesetzlichen Anforderungen. 

Sie können bei der Umsetzung hilfreich sein, ersetzen die NIS-2-Pflichten jedoch nicht automatisch. Entscheidend bleibt stets, ob das konkrete Unternehmen die gesetzlichen Anforderungen erfüllt.

Die gesetzlichen Pflichten treffen das betroffene Unternehmen, die Verantwortung für ihre Umsetzung liegt jedoch bei der Geschäftsleitung. 

Diese muss sicherstellen, dass die erforderlichen Maßnahmen organisiert, umgesetzt und überwacht werden. In Konzernstrukturen haftet ausschließlich die Geschäftsleitung derjenigen Gesellschaft, die tatsächlich unter NIS-2 fällt. 

Die Haftung richtet sich nach den allgemeinen Regeln des Gesellschaftsrechts.

Ja. Die NIS-2-Richtlinie verlangt, dass die Geschäftsleitung über ausreichende Kenntnisse im Bereich Cybersicherheit verfügt und entsprechende Maßnahmen unterstützt. 

Wir bieten hierzu Schulungen für Geschäftsleitungen an, die vor Ort, online oder als kompakte Entscheiderschulung durchgeführt werden können. Ziel ist es, Pflichten, Risiken und Verantwortlichkeiten verständlich darzustellen.

In Konzernstrukturen kann es organisatorisch sinnvoll sein, dass die Muttergesellschaft die Umsetzung der NIS-2-Pflichten koordiniert oder unterstützt, beispielsweise durch einheitliche Prozesse oder zentrale Dokumentationssysteme. 

Rechtlich bleibt jedoch maßgeblich, dass die Verantwortung bei der jeweils betroffenen Gesellschaft liegt. Entsprechend trifft die persönliche Verantwortung die Geschäftsleitung der jeweiligen Gesellschaft.