Neue Cybersicherheitsvorgaben: Wer ist betroffen?

Mit der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU (NIS2-RL) hat die Europäische Union (EU) auf die verschärfte Bedrohungslage durch Cyberangriffe reagiert. Am 16.1.2023 ist sie in Kraft getreten und bis Oktober 2024 von den Mitgliedstaaten umzusetzen. Obwohl die deutsche Gesetzgebung in den letzten Monaten an Fahrt aufgenommen hat, ist derzeit unklar, ob der deutsche Gesetzgeber die Frist einhalten wird. Der letzte Referentenentwurf zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verstärkt insbesondere die Pflichten zum Schutz der IT-Sicherheit und weitet den Anwendungsbereich der betroffenen Unternehmen stark aus.

Strom- und Gaslieferanten sind zukünftig erfasst

Mit dem NIS2UmsuCG wird der Anwendungsbereich der durch Cybersicherheitsvorschiften Betroffenen auf die neu eingeführten Kategorien „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ erweitert. Die Betreiber von kritischen Anlagen (zuvor noch Kritische Infrastruktur) stellen künftig lediglich einen Unterfall der besonders wichtigen Einrichtungen dar.

Neben einer Ausweitung der kritischen Sektoren werden neue Einrichtungsarten definiert, die zur Betroffenheit als (besonders) wichtige Einrichtung führen können. Zu den neu erfassten Einrichtungsarten gehören insbesondere Strom- und Gaslieferanten.

Zudem wird es künftig auf die Unternehmensgröße ankommen, die sich anhand der beschäftigten Mitarbeiteranzahl, des Jahresumsatzes sowie der Jahresbilanzsumme bestimmt. Eine besonders wichtige Einrichtung liegt vor, wenn mindestens 250 Mitarbeiter beschäftigt werden oder die Einrichtung einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweist (§ 28 Abs. 1 S. 1 Nr. 4 BSIG-E). Eine wichtige Einrichtung liegt bereits dann vor, wenn mindestens 50 Mitarbeiter beschäftigt werden oder die Einrichtung einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist (§ 28 Abs. 2 S. 1 Nr. 3 BSIG-E).

Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme

Das NIS2UmsuCG regelt, wie sich Mitarbeiteranzahl, Jahresumsatz sowie Jahresbilanzsumme bestimmen lassen (§ 28 Abs. 3 BSIG-E). Bei der Bestimmung ist auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen und die Empfehlung 2003/361/EG (KMU-Empfehlung) mit Ausnahme von Art. 3 Abs. 4 des Anhangs anzuwenden.

Bei der Bestimmung anhand der Geschäftstätigkeit sollen nur diejenigen Teile der Einrichtung berücksichtigt werden, die tatsächlich im Bereich der im BSIG-E definierten Einrichtungsarten tätig sind. Querschnittsaufgaben wie Buchhaltung sollen anteilig Berücksichtigung finden. So sollen Unternehmen, deren hauptsächliche Geschäftstätigkeit nicht einer der neu erfassten Einrichtungsarten zuzuordnen ist, vor einer unverhältnismäßigen Erfassung geschützt werden. Wie die konkrete Zuordnung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme auf die einzelnen Teile einer Einrichtung in der Praxis erfolgen soll, bleibt im aktuellen Referentenentwurf unbeantwortet. Das Gleiche gilt für die Frage der Einordnung von Querverbundunternehmen, deren Geschäftstätigkeiten verschiedenen Einrichtungsarten zuzuordnen sind.

Zudem soll auch die KMU-Empfehlung angewendet werden, die insbesondere Regelungen dazu vorsieht, wann die Mitarbeiter, der Jahresumsatz und die Jahresbilanzsumme von verbundenen Unternehmen und/oder Partnerunternehmen hinzugerechnet werden müssen. Dies kann zur Folge haben, dass ein Special Purpose Vehicle (SPV), welches keine eigenen Mitarbeiter hat, sich die Daten der weiteren Konzern-Gesellschaften zurechnen lassen muss und damit die Schwellen für Mitarbeiteranzahl etc. erreicht. Es ist jedoch eine wichtige Ausnahme vorgesehen: Wenn die Einrichtung in ihrer IT vollkommen unabhängig von den mit ihr verbundenen Unternehmen und Partnerunternehmen ist, kann von einer Anwendung der KMU-Empfehlung abgesehen werden. Darüber hinaus gibt es weitere Sonderregelungen, so sind z.B. Telekommunikationsunternehmen in der Regel stets als wichtige Einrichtungen i.S.d. NIS2UmsuCG einzuordnen.

Frühzeitige Beschäftigung ist ratsam

Die neuen Vorschriften sind komplex. Der Referentenentwurf sieht zudem keine Umsetzungsfristen vor, was grundsätzlich dazu führt, dass das Gesetz unmittelbar nach seinem Inkrafttreten angewendet werden muss. Unternehmen sollten sich deshalb frühzeitig damit beschäftigen, welche Einrichtungsart die eigene Betroffenheit begründet und welche Umsetzungsschritte nun ergriffen werden müssen.

Ansprechpartner*innen: Thomas Schmeding/Alexander Bartsch/Julien Wilmes-Horváth/Stefan Brühl

Share
Weiterlesen

14 November

„Mit Tempo in die Tiefe (Teil 2)“: Ausbautempo, Trinkwasserschutz und andere Baustellen

Das Bundeswirtschaftsministeriums (BMWK) will mit dem im Sommer vorgestellten „Gesetz zur Beschleunigung von Genehmigungsverfahren für Geothermieanlagen, Wärmepumpen und Wärmespeichern sowie weiterer rechtlicher Rahmenbedingungen (GeoWG-E)“ den Ausbau von Geothermieanlagen erheblich beschleunigen. Neben dem neuen Stammgesetz, dem GeoWG-E, sind Änderungen im Wasserhaushaltsgesetz...

13 November

Großspeicher für die Energiewende

Die Großspeicherkapazitäten werden in Deutschland bis 2030 massiv anwachsen. Prognosen gehen von rund 26 GW Leistung und 52 GWh Kapazität bei Großspeichern aus. Dieser Ausbau ist eine direkte Antwort auf den wachsenden Anteil erneuerbarer Energien aus Solar- und Windkraft. Diese...