Essentielle und wichtige Entitäten: Klassifizierung, Verpflichtungen und Aufsicht
Wer sollte das lesen: Compliance-Beauftragte, Entscheidungsträger für die Klassifizierung von Unternehmen, alle, die bestimmen, unter welche NIS2-Kategorie Ihr Unternehmen fällt, und Personen, die die Compliance-Strategie verwalten.
NIS2 unterteilt die in den Geltungsbereich fallenden Organisationen in zwei Kategorien: wesentliche Einheiten und wichtige Einheiten. Die Unterscheidung wirkt sich auf Ihre Verpflichtungen, die Intensität der behördlichen Aufsicht und die Durchsetzungsmaßnahmen aus, mit denen Sie konfrontiert werden könnten.
Es ist wichtig, den Unterschied zu verstehen. Es bestimmt, ob die Aufsichtsbehörden Ihre Cybersicherheit proaktiv prüfen oder auf Hinweise auf Verstöße warten, bevor sie handeln. Es wirkt sich auf die Höchststrafen aus, mit denen Sie rechnen können. Es prägt Ihre Compliance-Strategie.
In diesem Leitfaden wird der Unterschied erklärt, wie die Klassifizierung festgelegt wird, welche Verpflichtungen sich unterscheiden und welche praktischen Auswirkungen dies hat.
Der Kernunterschied: Kritikalität
Die Unterscheidung zwischen wesentlichen und wichtigen Entitäten beruht auf der Kritikalität. Wesentliche Entitäten sind für das Funktionieren von Gesellschaft und Wirtschaft von entscheidender Bedeutung. Wichtige Entitäten fallen zwar in den Geltungsbereich, sind aber weniger wichtig als wesentlich.
Artikel 3 Absatz 1 von NIS2 definiert als wesentliche Einheiten diejenigen, die unter Anhang I fallen (elf kritische Sektoren), die den Schwellenwert für die Unternehmensgröße erfüllen, oder diejenigen, die der Mitgliedstaat aufgrund ihrer Kritikalität als wesentlich eingestuft hat.
Artikel 3 Absatz 2 definiert wichtige Einrichtungen als diejenigen in Anhang I oder II, die nicht als wesentlich gelten.
Kurzum: Wenn Sie in einem kritischen Sektor (Energie, Verkehr, Gesundheit usw.) tätig sind, die Größenschwelle (mittelgroß oder größer) einhalten und nicht ausgeschlossen sind, sind Sie unverzichtbar. Wenn Sie in einem Sektor des Anhangs I/II tätig sind, aber kleiner sind, oder wenn der Ermessensspielraum der Mitgliedstaaten gilt, können Sie wichtig sein.
Einstufungskriterien: So wird der essenzielle Status bestimmt
Eine Entität ist unerlässlich, wenn sie eines der folgenden Kriterien erfüllt:
Anhang I, Größenschwelle
Sie befinden sich in Anhang I (einem der elf kritischen Sektoren) und erfüllen die Größenschwelle: mehr als 250 Mitarbeiter oder mehr als 50 Millionen EUR Jahresumsatz oder mehr als 25 Millionen EUR Bilanz.
Wenn Sie alle drei Kriterien erfüllen, sind Sie definitiv unverzichtbar. Wenn Sie ein Kriterium erfüllen, sind Sie unverzichtbar.
Benennung des Mitgliedstaats
Unabhängig von ihrer Größe kann ein Mitgliedstaat eine Einrichtung als unverzichtbar bezeichnen, wenn er feststellt, dass die Einrichtung für das Funktionieren der Gesellschaft oder die Erbringung wesentlicher Dienstleistungen von entscheidender Bedeutung ist.
Dies gibt den Mitgliedstaaten die Flexibilität, kleine kritische Einrichtungen — ein regionales Wasserversorgungsunternehmen, ein örtliches Krankenhaus, das eine wichtige Funktion erfüllt, einen wichtigen Lieferanten — als unverzichtbar zu bezeichnen, obwohl sie die Größenschwellen nicht einhalten.
Das ist Ermessensspielraum. Die Mitgliedstaaten sind nicht verpflichtet, kleine Unternehmen zu benennen; sie können sich dafür entscheiden. Aber sie können.
Anlage II Unternehmen, die den Umsatz übersteigen
Sie sind ein digitaler Dienstleister (Anhang II) und überschreiten bestimmte Umsatzschwellen.
Artikel 3 Absatz 1 Buchstabe c legt Umsatzschwellen für Unternehmen in Anhang II fest. Diese sind je nach Unternehmenstyp unterschiedlich und hoch (in der Regel in Milliardenhöhe für Cloud-Anbieter, Suchmaschinen und Social-Media-Plattformen). Wenn Sie Ihren Schwellenwert überschreiten, sind Sie unverzichtbar. Ansonsten bist du wichtig.
Wesentliche Unternehmen: Höhere Verpflichtungen und strengere Aufsicht
Wesentliche Unternehmen sind einer intensiveren regulatorischen Aufsicht ausgesetzt.
Unternehmensführung (Artikel 20)
Sowohl wichtige als auch wichtige Stellen müssen Artikel 20 einhalten. Bei wesentlichen Unternehmen ist die Verpflichtung zur Unternehmensführung jedoch sichtbarer und unterliegt einer intensiveren regulatorischen Kontrolle.
Die Aufsichtsbehörden werden insbesondere prüfen, ob Ihr Vorstand tatsächlich Cybersicherheitsmaßnahmen genehmigt und deren Umsetzung überwacht. Sie werden die Vorstandsprotokolle überprüfen, um die Genehmigungen zu überprüfen. Sie werden beurteilen, ob die Vorstandsmitglieder über ausreichende Kenntnisse verfügen. Verwaltungsräte können die Verwaltung der Cybersicherheit nicht delegieren; sie müssen direkt beteiligt sein.
Aufsichtlicher Ansatz (Artikel 32)
Gemäß Artikel 32 Absatz 2 müssen die Regulierungsbehörden in Bezug auf wichtige Stellen befugt sein, Folgendes durchzuführen:
Inspektionen vor Ort und Überwachung außerhalb des Standorts, einschließlich Stichprobenkontrollen.
Regelmäßige und gezielte Sicherheitsaudits.
Ad-hoc-Audits, sofern dies gerechtfertigt ist.
Sicherheitsscans und Bewertungen.
Auskunfts- und Beweisanfragen.
Beachten Sie das Wort „regulär“. Die Aufsichtsbehörden werden wichtige Unternehmen in regelmäßigen Abständen proaktiv prüfen, nicht nur, wenn es Hinweise auf ein Problem gibt.
Das bedeutet, dass Sie mit Audits rechnen sollten. Seien Sie nicht überrascht, wenn Aufsichtsbehörden auftauchen. Sorgen Sie für eine kontinuierliche Einhaltung der Vorschriften, nicht erst kurz vor Prüfungsterminen.
Durchsetzungsbefugnisse (Artikel 32 Absätze 4 und 5)
Für wichtige Stellen, die die Vorschriften nicht einhalten, haben die Regulierungsbehörden maximale Durchsetzungsbefugnisse:
Warnungen und verbindliche Anweisungen.
Anordnungen zur Einstellung des Verstoßes.
Anordnungen zur Einhaltung von Artikel 21/23.
Bestellungen zur Benachrichtigung von Kunden.
Benennung eines Überwachungsbeauftragten.
Offenlegung von Verstößen.
Am wichtigsten ist, dass die Aufsichtsbehörden, wenn verbindliche Anweisungen nicht befolgt werden,:
Setzen Sie Zertifizierungen oder Autorisierungen aus (wodurch Sie praktisch außer Betrieb genommen werden).
Verbieten Sie Führungskräften (CEO-Ebene) die Ausübung von Führungsfunktionen.
Dies sind extreme Maßnahmen, aber sie sind für wichtige Stellen verfügbar und können eingesetzt werden, wenn die Einhaltung der Vorschriften versagt.
Geldbußen (Artikel 34)
Für wesentliche Entitäten:
Standardbuße bei Verstößen gegen Artikel 21/23: bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Bei systematischen Verstößen: bis zu 20 Mio. EUR oder 4% des Umsatzes.
Dies sind erhebliche finanzielle Strafen.
Wichtige Elemente: Leichter, aber dennoch bindend
Wichtige Unternehmen unterliegen einer weniger intensiven, aber immer noch echten Regulierungsaufsicht.
Unternehmensführung (Artikel 20)
Wichtige Stellen müssen Artikel 20 ebenso einhalten wie wesentliche Stellen. Verwaltungsräte müssen Cybersicherheitsmaßnahmen genehmigen und überwachen. Es gibt keine Ausnahme.
Die Aufsichtsbehörden werden die Unternehmensführung wichtiger Unternehmen jedoch wahrscheinlich weniger intensiv unter die Lupe nehmen als die grundlegende Unternehmensführung. Aber die Unternehmensführung spielt nach wie vor eine Rolle und wird überprüft, wenn eine Untersuchung eingeleitet wird.
Aufsichtlicher Ansatz (Artikel 33)
Für wichtige Unternehmen heißt es in Artikel 33 Absatz 1: „Wenn ihnen Beweise, Hinweise oder Informationen vorgelegt werden, dass ein wichtiges Unternehmen diese Richtlinie, insbesondere deren Artikel 21 und 23, angeblich nicht einhält, stellen sie sicher, dass die zuständigen Behörden erforderlichenfalls nachträgliche Aufsichtsmaßnahmen ergreifen.“
Das Schlüsselwort ist „ex post“ — im Nachhinein. Die Aufsichtsbehörden überprüfen wichtige Unternehmen nicht proaktiv. Vielmehr warten sie auf Hinweise auf Verstöße (ein gemeldeter Vorfall, eine Beschwerde, eine in den Nachrichten entdeckte Sicherheitslücke usw.), bevor sie handeln.
Dies ist leichter als das System der „regelmäßigen Prüfungen“ für wichtige Unternehmen.
Sobald jedoch Beweise für Verstöße vorliegen, haben wichtige Stellen dieselben Aufsichtsbefugnisse wie wichtige Stellen: Inspektionen vor Ort, Audits, Informationsanfragen usw.
Durchsetzungsbefugnisse (Artikel 33 Absatz 4)
Für wichtige Stellen, die die Vorschriften nicht einhalten, haben die Regulierungsbehörden ähnliche Durchsetzungsbefugnisse wie wichtige Stellen:
Warnungen und verbindliche Anweisungen.
Anordnungen zur Einstellung des Verstoßes.
Anordnungen zur Einhaltung von Artikel 21/23.
Bestellungen zur Benachrichtigung von Kunden.
Offenlegung von Verstößen.
Wichtige Unternehmen können sich jedoch nicht mit Folgendem auseinandersetzen:
Benennung eines Überwachungsbeauftragten.
Aussetzung von Zertifizierungen oder Verbot von Managern.
Diese Befugnisse stehen nur wesentlichen Stellen zur Verfügung.
Geldbußen (Artikel 34)
Für wichtige Unternehmen:
Standardbuße bei Verstößen gegen Artikel 21/23: bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Für wichtige Unternehmen gibt es keine höhere Stufe. Der Höchstbetrag liegt immer bei 7 Mio. EUR oder 1,4%, unabhängig davon, wie schwerwiegend der Verstoß ist.
Geringere Bußgelder als die für Unternehmen unerlässlichen Bußgelder, aber für die meisten Organisationen immer noch erheblich.
Praktische Implikationen der Klassifikation
Die Unterscheidung wirkt sich auf Ihre Compliance-Strategie und Ihr Risikoprofil aus.
Regulatorische Aufmerksamkeit
Wesentliche Unternehmen sollten mit proaktiven, regelmäßigen Audits rechnen. Planen Sie Ressourcen für regelmäßige Interaktionen mit Auditoren ein. Stellen Sie ein Team zusammen, das auf Informationsanfragen reagiert und Audits durchführt. Budget für Sicherheitsbewertungen, die von unabhängigen Prüfern durchgeführt werden (die Aufsichtsbehörden werden diese verlangen).
Wichtige Unternehmen werden möglicherweise erst dann einer Prüfung unterzogen, wenn ein Problem auftritt. Verwenden Sie dies jedoch nicht als Ausrede, um Abstriche zu machen. Achten Sie trotzdem auf die Einhaltung der Vorschriften. Tritt ein Vorfall auf oder beschwert sich ein Kunde, folgt eine Untersuchung.
Risiko einer Betriebsunterbrechung
Wesentliche Stellen sind einem höheren Risiko einer Betriebsunterbrechung durch Durchsetzung ausgesetzt. Aufsichtsbehörden können Dienstleistungen aussetzen oder Führungskräften verbieten. Dies ist bei geringfügigen Verstößen unwahrscheinlich, bei schwerwiegenden, wiederholten Verstößen ist es jedoch möglich.
Wichtige Unternehmen sind einem geringeren Risiko dieser extremen Durchsetzung ausgesetzt. Sie können jedoch immer noch zur Abhilfe aufgefordert werden, und ihnen drohen immer noch erhebliche Bußgelder.
Versicherung und Haftung
Für wichtige Unternehmen wird eine Cyber-Haftpflichtversicherung von entscheidender Bedeutung. Die Bußgelder können erheblich sein (bis zu 20 Millionen Euro). Stellen Sie sicher, dass Ihre Versicherungslimits angemessen sind.
Für wichtige Unternehmen ist die Höchststrafe niedriger, eine Versicherung ist jedoch weiterhin ratsam.
Eine Privathaftpflichtversicherung für Führungskräfte ist für beide Kategorien wichtig, da Einzelpersonen haftbar gemacht werden können.
Belastung durch Einhaltung der Vorschriften
Wesentliche Unternehmen müssen die Einhaltung der Vorschriften auf hohem Niveau kontinuierlich gewährleisten. Die Auditoren werden das überprüfen. Die Aufsichtsbehörden werden Ihre Richtlinien lesen. Wenn Sie Abkürzungen oder undokumentierte Praktiken haben, werden die Auditoren sie finden.
Wichtige Unternehmen können etwas weniger mit der Einhaltung der Vorschriften belastet werden, aber die Verpflichtung ist immer noch absolut. Vernachlässigen Sie die Einhaltung der Vorschriften nicht, nur weil die Wahrscheinlichkeit geringer ist, dass Sie proaktiv geprüft werden.
Kann sich Ihre Klassifizierung ändern?
Ihre Einstufung ist nicht unbedingt dauerhaft.
Wenn Sie größer werden, können Sie von „wichtig“ zu „unverzichtbar“ wechseln. Wenn Sie schrumpfen, könnten Sie sich in die andere Richtung bewegen (obwohl die Aufsichtsbehörden den Status „Unverzichtbar“ in der Regel nicht aufheben).
Ändert sich die Auffassung eines Mitgliedstaats in Bezug auf Ihre Kritikalität, könnten Sie als unverzichtbar eingestuft oder von der Kategorie „unverzichtbar“ gestrichen werden.
Ihr Status in Anhang I/II kann sich ändern, wenn die Richtlinie geändert wird (kurzfristig unwahrscheinlich, aber möglich).
Überwachen Sie Ihre Klassifizierung. Wenn sich Ihre Größe oder Ihr Geschäftsmodell ändern, überprüfen Sie Ihren Status erneut. Wenn Sie sich nicht sicher sind, bitten Sie Ihre Aufsichtsbehörde in Ihrem Mitgliedstaat, dies zu klären.
Kategorienübergreifende Koordination
Wenn Ihre Organisation mehrere Einheiten in verschiedenen Mitgliedstaaten hat, können einige in einigen Ländern unverzichtbar und in anderen wichtig sein. Ihr globales Compliance-Programm muss den höchsten Standards entsprechen, die für jedes Unternehmen gelten.
Auch wenn Sie ein wichtiges Unternehmen sind, das Dienstleistungen für eine wichtige Einheit erbringt, ist Ihre Sicherheit von Bedeutung. Die zentrale Stelle bewertet Ihre Praktiken im Hinblick auf die Sicherheit der Lieferkette (Artikel 21 Absatz 2 Buchstabe d)). Ein wichtiger Anbieter eines wesentlichen Unternehmens wird einer genauen Prüfung unterzogen, auch wenn es selbst keiner intensiven behördlichen Kontrolle unterliegt.
Strategische Positionierung
Wenn Sie sich an der Grenze zwischen wesentlich/wichtig befinden (z. B. knapp unter der Umsatzschwelle), sollten Sie die folgenden Kompromisse berücksichtigen:
Wenn Sie wachsen und unentbehrlich werden, müssen Sie mit einer intensiveren Aufsicht und höheren Bußgeldern rechnen, aber Sie erhalten möglicherweise mehr behördliche Beratung und Unterstützung.
Wenn Sie unter dem Schwellenwert bleiben, sind Sie weniger intensiv beaufsichtigt, aber mit einer höheren Unsicherheit konfrontiert (die Aufsichtsbehörden warten, bis Probleme behoben werden).
Es gibt keine „beste“ Antwort — das hängt von Ihrer Situation ab. Aber seien Sie sich der Kompromisse bewusst.
Diskussionspunkte auf Vorstandsebene
Die Vorstandsmitglieder sollten den Unterschied verstehen:
Ist unsere Entität essenziell oder wichtig? Was sind die Implikationen?
Falls erforderlich, wie werden wir die regelmäßigen Prüfungen und Interaktionen mit Aufsichtsbehörden budgetieren?
Falls wichtig, wie können wir die Einhaltung der Vorschriften trotz weniger intensiven externen Drucks aufrechterhalten?
Was ist unser maximales Bußgeldrisiko? Ist unsere Versicherung ausreichend?
Welche Unternehmensführung benötigen wir, um die Einhaltung der Vorschriften nachzuweisen?
Diese Diskussionen stellen sicher, dass der Vorstand die regulatorischen Aspekte versteht.
Checkliste für die Compliance-Dokumentation
Sowohl für wichtige als auch für wichtige Unternehmen:
Bestätigen Sie Ihre Einstufung (Status nach Anhang I/II, Größe, gegebenenfalls Bezeichnung des Mitgliedstaats).
Dokumentieren Sie Ihre Führungsstruktur (Genehmigungen durch den Vorstand, Berichterstattung auf Vorstandsebene, CISO-Berichtslinie).
Führen Sie eine mindestens jährlich aktualisierte Bewertung des Cybersicherheitsrisikos durch.
Dokumentieren Sie alle zehn Maßnahmen nach Artikel 21 Absatz 2 und Ihre Umsetzung.
Richten Sie ein Verfahren zur Reaktion auf Vorfälle mit klarer Eskalation an die Aufsichtsbehörden ein (72 Stunden oder 24 Stunden, je nach Unternehmenstyp).
Führen Sie regelmäßige interne Audits durch.
Pflegen Sie Lieferantenbewertungen.
Bewahren Sie den Abschluss der Schulung für Mitarbeiter und Vorstandsmitglieder auf.
Dokumentieren Sie die Genehmigungen von Cybersicherheitsmaßnahmen durch den Vorstand.
Speziell für essenzielle Entitäten:
Bereiten Sie sich auf regelmäßige externe Audits vor. Haben Sie einen Zeitplan.
Beauftragen Sie qualifizierte unabhängige Auditoren.
Führen Sie eine detaillierte Dokumentation des Konformitätsstatus für die Inspektion durch die Aufsichtsbehörden.
Speziell für wichtige Unternehmen:
Auch wenn proaktive Audits weniger wahrscheinlich sind, sollten Sie die gleiche Dokumentationsqualität beibehalten.
Verfügen Sie über klare Fähigkeiten zur Reaktion auf Vorfälle, da ein Vorfall eine Untersuchung auslöst.
Wichtige Erkenntnisse
- Wesentliche Unternehmen sind Unternehmen in den Sektoren des Anhangs I, die die Größenschwelle erfüllen (über 250 Mitarbeiter oder über 50 Mio. EUR Umsatz) oder die von den Mitgliedstaaten als kritisch eingestuft wurden; wichtige Unternehmen fallen in den Anwendungsbereich, die nicht als wesentlich gelten; die Unterscheidung wirkt sich auf die Regulierungsintensität, die Durchsetzungsbefugnisse und die Geldbußen aus.
- Wichtige Stellen werden mit proaktiven, regelmäßigen behördlichen Prüfungen konfrontiert; die Aufsichtsbehörden führen routinemäßig Inspektionen vor Ort, Sicherheitsaudits, Penetrationstests und Informationsanfragen durch. Wichtige Unternehmen werden nachträglich (reaktiv) beaufsichtigt: Die Regulierungsbehörden werden nur tätig, wenn sich Hinweise auf Verstöße ergeben.
- Zu den Durchsetzungsbefugnissen für wichtige Stellen gehören Verwarnungen, verbindliche Anweisungen, Anordnungen zur Einstellung von Verstößen, Offenlegung, Benennung eines Aufsichtsbeauftragten und (falls verbindliche Anweisungen nicht befolgt werden) die Aussetzung von Zertifizierungen und das Verbot von Geschäftsführern. Wichtige Unternehmen können nicht mit der Benennung von Aufsichtsbeamten oder der Suspendierung oder dem Verbot von Führungskräften rechnen.
- Die Bußgelder für wichtige Unternehmen betragen bei Standardverstößen bis zu 10 Millionen Euro oder 2% des Umsatzes, bei systematischen Verstößen bis zu 20 Millionen Euro oder 4%. Wichtige Unternehmen müssen mit bis zu 7 Mio. EUR oder 1,4% des Umsatzes rechnen. Die Bußgelder richten sich nach Schwere, Dauer, früheren Verstößen, verursachtem Schaden und der Zusammenarbeit mit den Aufsichtsbehörden.
- Sowohl wichtige als auch wichtige Unternehmen sind nach Artikel 20 mit identischen Führungspflichten konfrontiert (Genehmigung und Beaufsichtigung durch den Vorstand); der Unterschied besteht in der Intensität der behördlichen Kontrolle der Unternehmensführung, nicht in den Verpflichtungen selbst.
- Organisationen sollten ihre Klassifizierung verstehen, angemessene Compliance-Aktivitäten budgetieren (bei wesentlichen Unternehmen intensiver), eine angemessene Versicherung abschließen und Unterlagen zum Nachweis der Einhaltung der Vorschriften erstellen (Audits, Richtlinien, behördliche Genehmigungen, Schulungsunterlagen).
