Der Entwurf des deutschen Gesetzgebers zum NIS2-Umsetzungs-Cybersicherheitsstärkungsgesetz (NIS2UmsuCG-E), welches das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit von Einrichtungen (BSIG-E) ändert, wirft Fragen auf.
Bislang war die Regelung vermeintlich klar: Ein Unternehmen fällt grundsätzlich in den Anwendungsbereich, wenn es als wichtige oder besonders wichtige Einrichtung gilt. Dies ist der Fall, wenn das Unternehmen Waren oder Dienstleistungen anbietet, die einer der nach dem BSIG-E maßgeblichen Einrichtungsarten zuzuordnen sind und die
a. mindestens 50 Mitarbeiter beschäftigen oder
b. einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro aufweisen.
Doch der Entwurf des deutschen Gesetzgebers führt zu einigen Fragen. Diese wurden auch mit dem vom Bundeskabinett am 24.07.2024 beschlossenen Regierungsentwurf nicht geklärt. Im Detail wird es aufgrund der ungenauen Umsetzung kompliziert. Eine Klarstellung wäre wünschenswert.
Sonderregelung: Was bedeutet das konkret?
Der deutsche Gesetzgeber sieht in § 28 Abs. 3 BSIG-E vor, dass bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme auf „die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen“ ist. Und was genau bedeutet das? Ein genauerer Blick in die Gesetzesbegründung hilft: „Bei der Bestimmung der maßgeblichen Mitarbeiterzahlen und des Umsatzes sind nur diejenigen Teile der Einrichtung einzubeziehen, die tatsächlich im Bereich der in den Anlagen 1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Querschnittsaufgaben wie beispielsweise Personal, Buchhaltung etc. sind hierbei anteilig zu berücksichtigen. Hierdurch wird sichergestellt, dass Einrichtungen, die insgesamt die Größenschwelle für Mitarbeiteranzahl, Jahresumsatz oder Jahresbilanzsumme überschreiten, deren hauptsächliche Geschäftstätigkeit jedoch nicht einer Einrichtungskategorie gemäß Anlage 1 oder 2 dieses Gesetzes zuzuordnen ist, nicht in unverhältnismäßiger Weise erfasst werden.“
Dies wirft gleich mehrere Fragen auf. Wie wird der Umsatzanteil einzelner Unternehmensbereiche, deren Tätigkeiten unter das Gesetz fallen, sicher bestimmt? Dies mag bei klar abgegrenzten Bereichen möglich sein. Oft ist eine solche strikte Trennung aber nicht vorhanden.
Darüber hinaus bleibt unklar, wie die getrennte Zählweise für die Mitarbeiter funktioniert. Dass bei der Bestimmung der maßgeblichen Mitarbeiterzahlen nur die Teile des Unternehmens einbezogen werden, die tatsächlich einer Einrichtungsart nach dem BSIG-E zuzuordnen sind, ist nachvollziehbar und angemessen. Die genaue Abgrenzung im Einzelfall ist aber schwierig. Wer zählt denn als Mitarbeiter, der eine Geschäftstätigkeit nach dem Gesetz erbringt? Erbringt der Mitarbeiter der Personalabteilung eines Krankenhauses, der für die Dienstpläne zuständig ist, keine Gesundheitsleistungen nach dem künftigen BSIG-E, weil er kein „unmittelbarer“ Erbringer von Gesundheitsleistungen ist – diese Gesundheitsleistungen jedoch offenkundig nicht ohne die Personalabteilung möglich wäre? Wird dieser Arbeitnehmer wie laut Gesetzesbegründung „anteilig berücksichtigt“ und wenn ja: In welchem Umfang wird dieser Anteil bemessen – zu einem Viertel, zur Hälfte oder vielleicht sogar zu drei Vierteln?
Europarechtswidrigkeit: NIS2-Richtlinie vs. NIS2UmsuCG-E
Doch auch bei ordnungsgemäßer Anwendung dieser Regelung besteht für Unternehmen das Risiko, dass die Bestimmung europarechtswidrig ist. Denn die NIS2-Richtlinie, deren Vorgaben umgesetzt werden, gibt eine solche Beschränkung bei der Berechnung der Schwellenwerte nicht vor.
Grundsätzlich bleibt es den einzelnen EU-Mitgliedsstaaten überlassen, wie sie die Richtlinie umsetzen. Allerdings sollten die Mindestvoraussetzungen, die in der EU-Richtlinie vorgegeben sind, nicht unterschritten werden (ein „Weniger“ an Umsetzung). Eine überschießende Umsetzung (ein „Mehr“ an Umsetzung) ist möglich, denn die NIS2-Richtlinie hindert die Mitgliedsstaaten ausdrücklich nicht daran, Bestimmungen zu erlassen, die ein höheres Cybersicherheitsniveau gewährleisten.
Die NIS2-Richtlinie gibt an, dass für die Ermittlung des Schwellenwerts die in Artikel 2 Absatz 1 des Anhangs der Empfehlung 2003/361/EG (KMU-Empfehlung) genannten Schwellenwert für mittlere Unternehmen überschritten werden. Eine Einschränkung, dass nur Mitarbeiter eines Unternehmens berücksichtigt werden, die einer Einrichtungsart nach der NIS2-Richtlinie zugehören, sehen die NIS2-Richtlinie und der Verweis auf die KMU-Empfehlung nicht vor. Es handelt sich bei der Regelung im deutschen Gesetzesentwurf um eine einschränkende Umsetzung (ein „Weniger“), weil hierdurch weniger Unternehmen in den Anwendungsbereich fallen werden und die Cybersicherheit durch die Bestimmung folglich nicht gestärkt wird.
Der sicher gut gemeinte Vorschlag im Gesetzesentwurf führt also nur zu größerer Verwirrung und Unsicherheiten. Unternehmen, die keine Risiken eingehen möchten, sollten sich an die Vorgaben aus der NIS2-Richtlinie halten.
Komplexe Berechnung des Schwellenwerts in Konzernunternehmen
Für Konzernunternehmen wird die Situation nicht weniger komplex. Die Ermittlung der Unternehmenskennzahlen in Konzernen ist ebenfalls anspruchsvoll.
Durch den Verweis auf die Berechnung des Schwellenwerts nach § 28 Abs. 3 Nr. 2 BSIG-E auf die KMU-Empfehlung sind die sog. Partner- oder verbundene Unternehmen bei der Ermittlung des Schwellenwerts für die Betroffenheit zusammenzurechnen. Das bedeutet, dass konzernübergreifend alle Mitarbeiter, die eine nach NIS2 maßgebliche Tätigkeit erbringen, zusammengerechnet werden bzw. die konzernübergreifenden Umsätze, die sich auf diese Tätigkeiten beziehen, berücksichtigt werden sollen.
Es gibt eine Ausnahme: Die Daten von Partner- oder verbundenen Unternehmen müssen nicht hinzugerechnet werden, wenn das Unternehmen rechtlich, wirtschaftlich und tatsächlich unabhängig von seinen Partner- oder verbundenen Unternehmen agiert. Dies trifft zu, wenn eine Tochtergesellschaft eigenverantwortliche Entscheidungen bezüglich seiner IT-Systeme und –Prozesse trifft. Das ist laut Gesetzesbegründung nicht der Fall, wenn die Konzernmutter die IT-Systeme und -Prozesse betreibt. Konzerngesellschaften, die für sich alleine gesehen die Schwellenwerte nicht erreichen, sollen daher nur als maßgebliche Einrichtung i.S.d. Gesetzesentwurfs gelten, wenn sie keinen bestimmenden Einfluss auf ihre eigenen IT-Systeme und –Prozesse haben.
Handlungsempfehlungen für Unternehmen: Was ist jetzt zu tun?
Der deutsche Gesetzesentwurf weist handwerkliche Mängel auf, die Unsicherheiten hervorrufen. Da die Umsetzungsfrist, der 17.10.2024, immer näher rückt, ist nicht mehr von großartigen Änderungen auszugehen.
Bei einem klar abgegrenzten Tätigkeitsbereich können Unternehmen von der deutschen Sonderregelung profitieren. Dies setzt voraus, dass tatsächlich nicht mehr als 50 Mitarbeiter einer Tätigkeit nachgehen, die unter NIS2 fällt und der Umsatz dieser Abteilung – sofern feststellbar – unter 10 Millionen Euro liegt. Mit Blick auf die Gefahr der Europarechtswidrigkeit wird es aber sinnvoll sein zu erwägen, sich an die Vorschriften der europäischen NIS2-Richtlinie zu halten.
Angesichts der komplexen Bestimmungen kann es bereits bei der Bestimmung der Betroffenheit zu Unsicherheiten kommen – unsere IT- und Datenschutz-Experten helfen Ihnen gerne weiter.