Wer sollte das lesen: internationale Rechtsabteilungen, Compliance-Leiter, Verantwortliche multinationaler Unternehmen und Anbieter digitaler Dienste.
Die Frage “Welche Aufsichtsbehörde wird meine Compliance überwachen?” ist eine der praktisch wichtigsten Fragen, die sich eine internationale Organisation zu NIS2 stellen kann. Die Richtlinie gilt in allen 27 EU-Mitgliedstaaten, sie gilt jedoch nicht für alle in gleicher Weise. Artikel 26 legt Zuständigkeitsregeln fest, die bestimmen, welcher Mitgliedstaat oder welche Mitgliedstaaten befugt sind, Ihre Compliance zu regulieren. Diese Regeln sind von enormer Bedeutung, denn sie bestimmen, welcher zuständigen Behörde Sie Meldung erstatten, welcher rechtliche Rahmen gilt und welches Bußgeldregime für Sie gilt, wenn etwas schiefläuft.
Für multinationale Organisationen mit Tätigkeiten in mehreren Mitgliedstaaten sind die Regeln komplexer, als es zunächst erscheinen mag. Ein Technologieunternehmen, das Dienste in ganz Europa erbringt, kann unter die Zuständigkeit eines einzigen Mitgliedstaats fallen, während es in vielen anderen Mitgliedstaaten tätig ist. Ein Fertigungsunternehmen mit Hauptsitz in einem Land, Produktionsstätten in drei weiteren und Kunden in allen 27 Mitgliedstaaten muss bestimmen, wo sich sein eigentliches regulatorisches Zuhause befindet. Eine Fehleinschätzung in dieser Frage kann bedeuten, dass Sie Vorfälle an die falsche Behörde melden, Compliance-Maßnahmen umsetzen, die Ihre zuständige Aufsichtsbehörde tatsächlich nicht erfüllen, oder bei einer Aufsichtsprüfung feststellen, dass Sie die ganze Zeit nicht konform waren.
Die Grundregel: Niederlassung
Der grundlegende Grundsatz in Artikel 26 Absatz 1 ist einfach: Einrichtungen fallen unter die Zuständigkeit des Mitgliedstaats, in dem sie niedergelassen sind. Für einen großen Teil der Organisationen endet die Analyse hier. Wenn Ihr Unternehmen in den Niederlanden gegründet wurde, seinen eingetragenen Sitz in Amsterdam hat und von Amsterdam aus tätig ist, fallen Sie unter die niederländische Zuständigkeit. Wenn sich Ihre Produktionsstätte in Deutschland befindet und dort Ihre Hauptaktivitäten stattfinden, ist Deutschland Ihr regulatorisches Zuhause.
Die “Niederlassung” hat im NIS2 eine spezifische Bedeutung, die sich an den Konventionen des EU-Rechts orientiert. Eine Einrichtung ist in einem Mitgliedstaat niedergelassen, wenn sie dort eine tatsächliche und wirksame wirtschaftliche Präsenz hat. Dies ist nicht nur eine formelle Gründung oder ein nomineller Bürositz; es erfordert tatsächliche Geschäftstätigkeit. Ein Unternehmen, das in Belgien gegründet wurde, aber alle seine Tätigkeiten von einem Büro in Frankreich aus durchführt, dessen Managemententscheidungen in Frankreich getroffen werden und dessen Mitarbeiter sich in Frankreich befinden, ist in Frankreich niedergelassen, nicht in Belgien, unabhängig vom Land der Gründung.
Die Vernünftigkeit dieses Ansatzes wird deutlich, wenn man seinen Zweck betrachtet. Die Richtlinie soll sicherstellen, dass wesentliche und wichtige Einrichtungen im Hoheitsgebiet jedes Mitgliedstaats der Cybersicherheits-Governance dieses Mitgliedstaats unterliegen. Könnte eine Einrichtung der Regulierung entgehen, indem sie in einem Land gegründet würde, in dem sie keine Geschäftstätigkeit ausübt, würden die Ziele der Richtlinie untergraben. Der Begriff der Niederlassung knüpft an die tatsächliche wirtschaftliche Tätigkeit an.
Für die meisten Organisationen ist die Bestimmung der Zuständigkeit nach der Niederlassung daher eine praktische Frage: Wo üben Sie tatsächlich Ihre wesentlichen Geschäftstätigkeiten aus? Wenn Sie ein Fertigungsunternehmen sind, wo befinden sich Ihre wichtigsten Produktionsstätten? Wenn Sie ein Softwareunternehmen sind, wo befindet sich Ihr Entwicklungsteam und wo werden Ihre Managemententscheidungen getroffen? Wenn Sie ein Dienstleister sind, wo sind die Personen und die Infrastruktur, mit denen Sie Ihre Dienste erbringen?
Die entscheidenden Ausnahmen
Artikel 26 Absatz 1 sieht jedoch unmittelbar wichtige Ausnahmen für bestimmte Kategorien von Einrichtungen vor. Diese Ausnahmen bestehen, weil bestimmte Diensteanbieter grundlegend anders arbeiten, sodass die Regel der “Niederlassung” unzureichend ist.
Anbieter öffentlicher elektronischer Kommunikationsnetze und Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste fallen unter die Zuständigkeit des Mitgliedstaats, in dem sie ihre Dienste erbringen, und nicht des Mitgliedstaats, in dem sie niedergelassen sind. Diese Ausnahme erkennt an, dass Telekommunikationsdienste ihrem Wesen nach multinational sind und dass die Anwendung der grundlegenden Niederlassungsregel auf Telekommunikationsanbieter zu absurden Ergebnissen führen würde. Ein paneuropäischer Mobilfunknetzbetreiber erbringt Dienste gleichzeitig in allen Mitgliedstaaten; es wäre nicht praktikabel, von ihm zu verlangen, dass er sich nur der Zuständigkeit eines einzigen Mitgliedstaats unterwirft. Stattdessen verlangt Artikel 26 Absatz 1 Buchstabe a, dass er sich der Zuständigkeit jedes Mitgliedstaats unterwirft, in dem er Dienste erbringt. Das bedeutet, dass multinationale Telekommunikationsanbieter mehrere regulatorische Beziehungen handhaben müssen.
Die zweite Ausnahme in Artikel 26 Absatz 1 Buchstabe b umfasst eine breite und wirtschaftlich bedeutende Kategorie: DNS-Diensteanbieter, Register für Top-Level-Domain-Namen, Einrichtungen, die Domainnamen-Registrierungsdienste anbieten, Cloud-Computing-Diensteanbieter, Rechenzentrumsdiensteanbieter, Anbieter von Content Delivery Networks, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen sozialer Netzwerkdienste. Für diese Einrichtungen wird die Zuständigkeit nicht durch den Ort ihrer Niederlassung bestimmt, sondern durch den Ort, an dem sich ihre “Hauptniederlassung in der Union” befindet.
Diese Unterscheidung (zwischen einfacher “Niederlassung” und “Hauptniederlassung in der Union”) bedarf einer sorgfältigen Auseinandersetzung. Für diese Anbieter digitaler Dienste und Infrastrukturen wird die Hauptniederlassung anhand einer in Artikel 26 Absatz 2 festgelegten Rangfolge von Regeln bestimmt.
Die Hauptniederlassung bestimmen
Artikel 26 Absatz 2 sieht drei aufeinanderfolgende Prüfungen vor, um zu bestimmen, wo sich die Hauptniederlassung einer Einrichtung befindet.
Die erste Prüfung betrifft den Entscheidungszentrum: Wo werden überwiegend die Entscheidungen über Maßnahmen zum Cybersicherheitsrisikomanagement getroffen? Wenn Ihr Cloud-Computing-Anbieter seinen weltweiten Hauptsitz in Seattle hat, aber in Frankfurt ein eigenes europäisches Compliance- und Security-Operations-Team aufgebaut hat, das alle Entscheidungen über Cybersicherheitsmaßnahmen für europäische Kunden trifft, läge die Hauptniederlassung in Deutschland. Diese Prüfung erkennt an, dass die Cybersicherheits-Governance die für NIS2 relevante Funktion ist.
Die zweite Prüfung gilt, wenn sich die Entscheidungsfindung zur Cybersicherheit nicht innerhalb der Union verorten lässt oder über mehrere Mitgliedstaaten verteilt ist: Wo werden Ihre Cybersicherheitsmaßnahmen tatsächlich umgesetzt? Dies könnte ein Security Operations Center (SOC) sein, in dem Ihre rund um die Uhr durchgeführte Vorfallüberwachung und -reaktion stattfindet. Wenn sich das SOC Ihres Cloud-Anbieters in Irland befindet, die Entscheidungsfindung zur Cybersicherheit aber auf mehrere Standorte verteilt ist, läge die Hauptniederlassung in Irland.
Die dritte Prüfung gilt, wenn auch die Cybersicherheitsmaßnahmen nicht in der Union verortet werden können oder verteilt sind: Welcher Mitgliedstaat verfügt über die Niederlassung mit der höchsten Mitarbeiterzahl? Dies ist eine Rückfallprüfung, die Klarheit schafft, wenn die ersten beiden Prüfungen keine eindeutige Antwort liefern. Sie verlagert die Analyse von cybersicherheitsspezifischen Funktionen auf die breitere Personalpräsenz.
Für multinationale Anbieter digitaler Dienste können diese Prüfungen zu Ergebnissen führen, die sich deutlich von dem Ort unterscheiden, an dem das Unternehmen gegründet wurde oder seinen weltweiten Hauptsitz hat. Ein europäischer Cloud-Anbieter mag seinen weltweiten Hauptsitz in London haben, aber wenn seine wichtigsten Cybersicherheitsentscheidungen in Brüssel getroffen werden und sein SOC sich in Dublin befindet, läge seine Hauptniederlassung nach NIS2 wahrscheinlich in einem dieser beiden Mitgliedstaaten. Dies ist von Bedeutung, weil es bestimmt, welche zuständige Behörde eines Mitgliedstaats die Einhaltung von NIS2 überwacht.
Die Regel für nicht niedergelassene Anbieter
Artikel 26 Absatz 3 behandelt ein wichtiges Szenario: Was geschieht, wenn Sie Dienste in der EU erbringen, aber in keinem Mitgliedstaat niedergelassen sind? Ein US-amerikanisches Technologieunternehmen oder ein chinesischer Cloud-Anbieter, der europäischen Kunden Dienste anbietet, hat möglicherweise keine ständige Niederlassung in der EU. NIS2 erlaubt es solchen Anbietern nicht, sich der Regulierung zu entziehen.
Artikel 26 Absatz 3 verlangt, dass Sie, wenn Sie nicht in der Union niedergelassen sind, aber dort Dienste erbringen, einen Vertreter in der Union benennen müssen. Dieser Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen Sie Dienste erbringen. Sobald Sie einen Vertreter benannt haben, fallen Sie unter die Zuständigkeit des Mitgliedstaats, in dem Ihr Vertreter niedergelassen ist.
Dies ist eine bedeutsame Bestimmung, weil sie die NIS2-Zuständigkeit auf Unternehmen ausweitet, die nicht in der EU ansässig sind, solange sie wesentlichen oder wichtigen Einrichtungen innerhalb der EU Dienste erbringen. Ein US-amerikanischer Cloud-Anbieter, der einer europäischen Bank Infrastrukturdienste anbietet, muss entweder eine Präsenz in der EU aufbauen oder einen in der EU ansässigen Vertreter benennen. Ohne eine solche Präsenz oder Vertretung darf der Anbieter solche Dienste nicht rechtmäßig an NIS2-regulierte Einrichtungen erbringen.
In der Praxis kann die Benennung eines Vertreters mehrere Formen annehmen. Sie kann bedeuten, eine Tochtergesellschaft in einem EU-Mitgliedstaat zu gründen und diese Tochtergesellschaft als Ihren Vertreter zu benennen. Sie kann bedeuten, einen Dienstleister in einem Mitgliedstaat zu beauftragen, als Ihr Vertreter für NIS2-Zwecke zu fungieren. Entscheidend ist, dass Sie eine identifizierbare, erreichbare juristische Person benötigen, die in der Union niedergelassen ist, regulatorische Mitteilungen entgegennehmen kann und für Ihre Compliance zur Verantwortung gezogen werden kann.
Wenn Sie keinen Vertreter benennen, sieht Artikel 26 Absatz 3 eine Rückfalllösung vor: Jeder Mitgliedstaat, in dem Sie Dienste erbringen, kann gegen Sie wegen Verstößen gegen NIS2 rechtliche Schritte einleiten. Dies schafft potenziell problematische Szenarien, in denen mehrere Mitgliedstaaten die Zuständigkeit über einen nicht vertretenen Anbieter beanspruchen können, was zu widersprüchlichen Compliance-Anforderungen führt. Die Benennung eines einzigen Vertreters, bevor Sie an diesen Punkt gelangen, ist weitaus vorzuziehen.
Durchsetzungsrechte der Mitgliedstaaten
Artikel 26 Absatz 5 erhält die Durchsetzungsbefugnis der Mitgliedstaaten über die grundlegenden Zuständigkeitsregeln hinaus aufrecht. Wenn ein Mitgliedstaat ein Ersuchen um Amtshilfe in Bezug auf eine in Artikel 26 Absatz 1 Buchstabe b genannte Einrichtung erhält, also auf Anbieter digitaler Dienste und Infrastrukturen, kann dieser Mitgliedstaat Aufsichts- und Durchsetzungsmaßnahmen gegen die Einrichtung in Bezug auf deren Tätigkeiten in seinem Hoheitsgebiet ergreifen. Dies bedeutet, dass selbst wenn sich Ihre Hauptniederlassung in Deutschland befindet, Frankreich Durchsetzungsmaßnahmen gegen Sie ergreifen könnte, wenn Sie Netze oder Systeme auf französischem Hoheitsgebiet betreiben und gegen NIS2 verstoßen.
Diese Bestimmung verhindert, dass Einrichtungen behaupten, eine einzige Zuständigkeitsbeziehung erlaube es ihnen, die Compliance in anderen Mitgliedstaaten zu ignorieren. Ihre Hauptaufsichtsbehörde ist der Mitgliedstaat, in dem sich Ihre Hauptniederlassung befindet, aber andere Mitgliedstaaten behalten die Befugnis, die Aufsicht und Durchsetzung im Hinblick auf Tätigkeiten in ihrem Hoheitsgebiet auszuüben.
Praktische Auswirkungen auf die Compliance
Das Verständnis Ihrer Zuständigkeit nach Artikel 26 hat mehrere praktische Konsequenzen. Erstens müssen Sie ermitteln, welcher Mitgliedstaat oder welche Mitgliedstaaten Sie regulieren. Für die meisten Organisationen ist dies unkompliziert. Für multinationale oder internationale Dienstleister erfordert dies eine sorgfältige Analyse, oft mit Rechtsberatung.
Zweitens müssen Sie mit der zuständigen Behörde Ihres zuständigen Mitgliedstaats in Kontakt treten. Diese Behörde ist Ihre wichtigste regulatorische Beziehung. Sie melden bedeutende Vorfälle dem CSIRT dieses Mitgliedstaats. Sie beantworten Informationsanfragen der zuständigen Behörde dieses Mitgliedstaats. Sie tauschen sich mit der Aufsichtsbehörde dieses Mitgliedstaats über Ihr Compliance-Programm aus.
Drittens sollten Sie Ihre Zuständigkeitsanalyse dokumentieren. Wenn Sie als Anbieter digitaler Dienste Ihre Hauptniederlassung bestimmen, dokumentieren Sie die Tatsachen, die Ihre Schlussfolgerung stützen. Wenn Sie einen Vertreter benennen, stellen Sie sicher, dass diese Benennung formell und klar dokumentiert ist. Diese Dokumentation schützt Sie, falls Ihre Aufsichtsbehörde später infrage stellt, ob Sie ihrer Zuständigkeit unterliegen.
Viertens sollten multinationale Organisationen berücksichtigen, wie Zuständigkeitsfragen ihre Compliance-Struktur beeinflussen. Wenn Sie Tätigkeiten in mehreren Mitgliedstaaten ausüben und vom Mitgliedstaat reguliert werden, in dem sich Ihre Hauptniederlassung befindet, müssen Sie dennoch Maßnahmen umsetzen, die für all Ihre Tätigkeiten angemessen sind. Ein Rechenzentrumsbetreiber mag von den Niederlanden reguliert werden, aber wenn er Rechenzentren in Polen, Deutschland und Spanien betreibt, müssen seine Cybersicherheitsmaßnahmen für die Tätigkeiten in allen vier Ländern angemessen sein.
Wichtigste Erkenntnisse
-
Die Grundregel: Einrichtungen fallen unter die Zuständigkeit des Mitgliedstaats, in dem sie niedergelassen sind und ihre wesentlichen Geschäftstätigkeiten ausüben. Die Niederlassung setzt eine tatsächliche wirtschaftliche Präsenz voraus, nicht lediglich eine formelle Gründung.
-
Entscheidende Ausnahme: Bestimmte Anbieter digitaler Dienste und Infrastrukturen (Cloud-Anbieter, CDN-Anbieter, DNS-Betreiber, Domain-Register, Online-Plattformen) fallen unter die Zuständigkeit des Mitgliedstaats, in dem sich ihre “Hauptniederlassung in der Union” befindet, bestimmt durch den Ort der Cybersicherheits-Entscheidungsfindung, dann den Ort der Cybersicherheitsmaßnahmen und schließlich die Personalpräsenz.
-
Nicht niedergelassene Anbieter müssen einen Vertreter in der Union benennen. Wer keinen Vertreter benennt, setzt sich Durchsetzungsmaßnahmen jedes Mitgliedstaats aus, in dem er Dienste erbringt.
-
Ihr zuständiger Mitgliedstaat bestimmt, welche zuständige Behörde Ihre Compliance überwacht und welches CSIRT Ihre Vorfallmeldungen entgegennimmt. Identifizieren Sie diese Beziehung frühzeitig und dokumentieren Sie sie klar.
-
Auch wenn Sie von einem Mitgliedstaat reguliert werden, können Sie Durchsetzungsmaßnahmen anderer Mitgliedstaaten unterliegen, sofern es um Tätigkeiten in deren Hoheitsgebiet geht. Ihr Compliance-Programm sollte die Tätigkeiten in allen Mitgliedstaaten abdecken, in denen Sie geschäftlich tätig sind.