Der NIS2-Geltungsbereich entmystifiziert: So stellen Sie fest, ob Ihr Unternehmen den Geltungsbereich umfasst
Wer sollte das lesen: Compliance-Beauftragte, Rechtsteams, Branchenleiter und alle, die für die Festlegung regulatorischer Verpflichtungen für ihr Unternehmen verantwortlich sind.
Eine der häufigsten Fragen, die wir hören, ist einfach: „Gilt für meine Organisation NIS2?“ Die Antwort hängt von zwei Faktoren ab, die häufig für Verwirrung sorgen: welche Art von Organisation Sie sind und wie groß Sie sind. Die Richtlinie enthält jedoch auch Notfälle, Ausnahmen und den Ermessensspielraum der Mitgliedstaaten, durch den eine Organisation, die nicht in den Geltungsbereich fällt, über Nacht zu einer unverzichtbaren Organisation werden kann.
In diesem Handbuch werden die Geltungsbereichsregeln Schritt für Schritt beschrieben. Am Ende werden Sie definitiv feststellen können, ob NIS2 für Ihr Unternehmen gilt, in welche Kategorie Sie fallen und welche Verpflichtungen sich daraus ergeben. Sie werden auch die Grauzonen verstehen, in denen die Mitgliedstaaten einen Ermessensspielraum haben — denn der Geltungsbereich ist nicht immer eine Ja-oder-Nein-Frage.
Der zweiteilige Test: Sektor und Größe
Der Geltungsbereich von NIS2 beruht auf einem einfachen zweiteiligen Test in Artikel 2. Erstens: Handelt es sich bei Ihrer Organisation um einen in Anhang I oder Anhang II aufgeführten Typ? Zweitens: Erfüllt sie die Größenschwelle?
Wenn beide Antworten Ja lauten, fällt Ihre Organisation in den Geltungsbereich — je nach zusätzlichen Kriterien entweder als essenzielle oder als wichtige Einheit.
Wenn Sie den Sektortest nicht bestehen (Ihr Unternehmenstyp ist nicht in Anhang I oder II aufgeführt), ist der Größentest irrelevant. Sie fallen, zumindest vorerst, nicht in den Geltungsbereich.
Wenn Sie den Sektortest bestehen, den Größentest aber nicht bestehen, fallen Sie immer noch in den Geltungsbereich als wichtige Einrichtung, sofern Ihr Mitgliedstaat Sie nicht aus anderen Gründen als unverzichtbar einstuft.
Das Verständnis dieser Logik ist die Grundlage. Lassen Sie uns jeden Teil durchgehen.
Erster Teil: Der Sektortest — Anhang I und Anhang II
Artikel 2 Absatz 1 legt fest, dass NIS2 für „öffentliche oder private Einrichtungen eines in Anhang I oder II genannten Typs“ gilt. In Anhang I sind elf Sektoren aufgeführt; Anhang II bezieht sich auf Anbieter digitaler Dienste.
Die elf Sektoren des Anhangs I sind: Energie, Verkehr, Wasser, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, chemische Produktion und Abfallentsorgung, Lebensmittel, verarbeitendes Gewerbe und Postdienste. Es handelt sich um weit gefasste Kategorien, aber innerhalb jeder Kategorie gibt es spezifische Unternehmenstypen.
So umfasst Anhang I unter Energie beispielsweise Elektrizitätsunternehmen, Verteilernetzbetreiber, Übertragungsnetzbetreiber, Erzeuger, Fernwärmebetreiber, Öl- und Gasbetreiber sowie Wasserstoffbetreiber. Ein kleiner Installateur von Solarmodulen, der keine Infrastruktur betreibt, ist nicht aufgeführt. Ein regionaler Stromverteilungsbetreiber ist.
Der Text des Anhangs ist präskriptiv. Wenn die Art Ihrer Organisation nicht ausdrücklich aufgeführt ist oder nicht in den Geltungsbereich einer aufgelisteten Beschreibung fällt, sind Sie nicht in Anhang I aufgeführt. Dies ist streng ausgelegt.
Anhang II umfasst Anbieter digitaler Dienste: Cloud-Computing-Dienstleister, Rechenzentrumsdienstleister, DNS-Diensteanbieter, Namensregister für Top-Level-Domains (TLD), Anbieter von Inhaltsbereitstellungsnetzwerken, Anbieter verwalteter Dienste, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen, Plattformen für soziale Netzwerke und Vertrauensdiensteanbieter (wie Zertifizierungsstellen).
Ein Technologieunternehmen, das Unternehmen kundenspezifische Software anbietet, fällt nicht unter Anhang II, es sei denn, es erbringt auch eine dieser spezifischen Dienstleistungen. Ein Unternehmen, das Cloud-Infrastruktur bereitstellt, tut dies mit ziemlicher Sicherheit.
Die erste Aufgabe ist einfach: Lokalisieren Sie Ihre Organisation in den Anhängen I und II. Wenn Sie es nicht finden können oder wenn Ihr Unternehmenstyp nicht aufgeführt ist, haben Sie den Sektortest wahrscheinlich nicht in den Geltungsbereich aufgenommen. Fahren Sie mit dem Abschnitt über Ausnahmen fort.
Grundlegendes zu den Definitionen der Anlagen I und II
In den Anhängen werden Verweise auf andere EU-Rechtsvorschriften verwendet, um Unternehmenstypen zu definieren. So wird beispielsweise in Anhang I, Sektor 1 (Energie), auf „Elektrizitätsunternehmen im Sinne von Artikel 2 Nummer 57 der Richtlinie (EU) 2019/944“ verwiesen. Das bedeutet, dass Sie diese Richtlinie lesen müssen, um zu erfahren, wer die Voraussetzungen erfüllt.
Diese Überlagerung von Definitionen kann zu Mehrdeutigkeiten führen. Ein praktischer Ansatz: Wenn Ihre Organisation kritische Infrastrukturen in den Bereichen Energie, Verkehr, Wasser, Gesundheit oder digitale Dienste betreibt, lesen Sie sowohl den Anhang der NIS2-Richtlinie als auch die zugrunde liegenden sektoralen Rechtsvorschriften. Ein mit diesem Sektor vertrauter Anwalt kann den Umfang in der Regel mit Sicherheit bestimmen.
Ein wichtiger Hinweis: In den Anhängen werden Arten von Dienstleistungen beschrieben, nicht Eigentumsverhältnisse. Ein privater Betreiber von Fernwärme fällt in den Geltungsbereich, sofern er in der Liste aufgeführt ist. Ein staatliches Energieunternehmen fällt in den Geltungsbereich. Der Geltungsbereich richtet sich nach Funktionen, nicht nach der Organisationsstruktur.
Zweiter Teil: Der Größentest
Wenn Ihre Organisation den Branchentest besteht, bestimmt die Größenregel, ob Sie dabei sind oder nicht und ob Sie unverzichtbar oder wichtig sind.
Artikel 2 Absatz 1 besagt, dass die Richtlinie für Unternehmen der in Anhang I oder II aufgeführten Typen gilt, „die gemäß Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die in Absatz 1 des genannten Artikels vorgesehenen Obergrenzen für mittlere Unternehmen überschreiten“.
Das heißt: Sie fallen in den Geltungsbereich, wenn Sie ein mittelständisches Unternehmen oder ein größeres Unternehmen sind. Die Definition der EU für mittlere Unternehmen findet sich in der Empfehlung 2003/361/EG. Nach dieser Definition gilt:
Ein mittelständisches Unternehmen hat weniger als 250 Mitarbeiter und einen Jahresumsatz von höchstens 50 Millionen Euro oder eine Bilanzsumme von nicht mehr als 25 Millionen Euro.
Mit anderen Worten, wenn Sie mehr als 250 Mitarbeiter haben, einen Umsatz von 50 Millionen EUR oder mehr haben oder eine Bilanz von 25 Millionen EUR oder mehr haben, sind Sie mindestens mittelgroß und im Leistungsumfang. Wenn Sie alle drei Schwellenwerte unterschreiten, sind Sie ein kleines Unternehmen oder Kleinstunternehmen und fallen nicht in den Geltungsbereich — es sei denn, es gelten die Ausnahmen nach Artikel 2 Absatz 2.
Ein entscheidendes Detail: Artikel 2 Absatz 1 von NIS2 beinhaltet die KMU-Definition der EU „wie sie ist“. Darin heißt es: „Artikel 3 Absatz 4 des Anhangs dieser Empfehlung gilt nicht für die Zwecke dieser Richtlinie.“ Diese Ausnahmeregelung ist wichtig, denn sie bedeutet, dass Organisationen nicht aufgrund besonderer, in der KMU-Definition anerkannter Umstände geltend machen können, dass sie von der Steuer befreit sind. Die Größenschwellen werden strikt eingehalten.
Berechnung deiner Größe
Um Ihre Größe zu ermitteln, schauen Sie sich die letzten drei Geschäftsjahre an. Wenn Ihr Unternehmen seit weniger als drei Jahren tätig ist, schauen Sie sich die Jahre an, in denen Sie tätig waren. Sie müssen die Schwellenwerte in zwei aufeinanderfolgenden Jahren erfüllen, um als kleinere Kategorie in Frage zu kommen.
Verwenden Sie für Umsatz und Bilanz konsolidierte Zahlen, wenn Sie Teil einer Gruppe sind. Dadurch wird verhindert, dass große multinationale Konzerne dem Spielraum entfliehen, indem sie kleine Tochterunternehmen gründen.
Wenn Sie sich Ihrer Größe nicht sicher sind, wenden Sie sich an Ihren Finanzbeauftragten und Ihren Wirtschaftsprüfer. Die Berechnung ist einfach, muss aber korrekt sein.
Der Unterschied zwischen Wesentlichem und Wichtigem
Sobald Sie bestätigt haben, dass Sie in den Geltungsbereich fallen, bestimmt Artikel 3, ob Sie unverzichtbar oder wichtig sind.
Ein Unternehmen ist gemäß Artikel 3 Absatz 1 unverzichtbar, wenn: a) es Anhang I, mittelgroß oder größer, oder (b) es sich um Anhang I handelt und von seinem Mitgliedstaat als wesentlich eingestuft wurde; oder (c) es ist Anhang II und überschreitet bestimmte Umsatzschwellen; oder (d) es ist Anhang II und wird von seinem Mitgliedstaat als wesentlich eingestuft.
Alle anderen in den Geltungsbereich fallenden Unternehmen sind wichtige Entitäten.
Der praktische Unterschied besteht in der Intensität der Unternehmensführung und der Aufsicht (auf die in einem späteren Beitrag näher eingegangen wird). Die Verpflichtungen zur Unternehmensführung gemäß Artikel 20 gelten für wichtige und wichtige Unternehmen gleichermaßen. Die Intensität der Beaufsichtigung, insbesondere im Hinblick auf proaktive Prüfungen, belastet wichtige Unternehmen stärker.
Die Mitgliedstaaten spielen hier eine entscheidende Rolle. Eine kleine Gesundheitseinrichtung ist nach der Größenregel vielleicht nicht unbedingt erforderlich, aber wenn Ihr Mitgliedstaat sie aufgrund ihrer Rolle in der regionalen Gesundheitsversorgung als unverzichtbar einstuft, wird sie unverzichtbar. Dies liegt im Ermessen und ist von Mitgliedstaat zu Mitgliedstaat unterschiedlich.
Kritische Ausnahmen: Wenn der Geltungsbereich nicht gilt
Es gibt wichtige Ausnahmen, bei denen Organisationen in den Sektoren der Anhänge I oder II möglicherweise nicht in den Geltungsbereich fallen.
Erstens fallen Organisationen unter der Größenschwelle nicht in den Geltungsbereich, sofern sie nicht von ihrem Mitgliedstaat als unverzichtbar eingestuft werden. Dies geht aus Artikel 2 Absatz 1 in Verbindung mit Artikel 2 Absatz 2 Buchstaben b bis e hervor.
Zweitens schafft Artikel 2 Absatz 2 einen Ermessensspielraum der Mitgliedstaaten. Die Mitgliedstaaten können Einrichtungen der in Anhang I oder II aufgeführten Art ermitteln, die zwar den Schwellenwert nicht erfüllen, aber für das Funktionieren der Gesellschaft von entscheidender Bedeutung sind, und sie als unverzichtbar einstufen. Das bedeutet, dass ein kleines Wasserversorgungsunternehmen, eine regionale Elektrizitätsgenossenschaft oder ein spezialisierter Cloud-Anbieter unverzichtbar werden könnten, obwohl sie den Größentest nicht bestanden haben.
Drittens werden in Anhang I bestimmte Teilsektoren in einigen Mitgliedstaaten ausdrücklich ausgegliedert. So sind beispielsweise bestimmte Gasunternehmen ausgeschlossen, wenn sie bestimmte Kriterien nicht erfüllen. Anhang I, Sektor 1 (Energie), schließt ausdrücklich einige Betreiber von Wasserstoff aus, die in einigen Mitgliedstaaten bestimmte Produktionsschwellenwerte unterschreiten. Diese Ausgliederungen sind eng gefasst, spielen aber eine Rolle, wenn Sie in diesem Bereich tätig sind.
Viertens gilt die Richtlinie nicht für Einrichtungen, die ihre Dienstleistungen erbringen oder Tätigkeiten außerhalb der Union ausüben. Artikel 2 Absatz 1 spezifiziert „Einrichtungen..., die ihre Dienstleistungen innerhalb der Union erbringen oder ihre Tätigkeiten ausüben“. Ein in den USA ansässiger Cloud-Anbieter ohne Kunden oder Infrastruktur in der EU fällt nicht in den Geltungsbereich. Ein in Europa registriertes Unternehmen fällt in den Geltungsbereich, unabhängig davon, wo sich sein Hauptsitz befindet.
Benennung eines Mitgliedstaats: Der Platzhalter
Die größte Unsicherheitsquelle ist die Benennung eines Mitgliedstaats gemäß Artikel 2 Absatz 2. Es liegt im Ermessen jedes Mitgliedstaats, weitere Einrichtungen — über die Größenschwellen hinaus — als unverzichtbar zu bezeichnen, wenn diese Einrichtungen für das Funktionieren der Gesellschaft oder die Erbringung wesentlicher Dienstleistungen von entscheidender Bedeutung sind.
Das ist kein Gratisspiel. Die Mitgliedstaaten müssen verhältnismäßig handeln und unterliegen der EU-Aufsicht. Dies bedeutet jedoch, dass der Anwendungsbereich nicht ausschließlich durch die Richtlinie selbst bestimmt wird; er hängt auch von den regulatorischen Entscheidungen Ihres Mitgliedstaats ab.
Eine praktische Implikation: Auch wenn Sie unter dem Schwellenwert liegen und glauben, dass Sie nicht in den Geltungsbereich fallen, sollten Sie die Ankündigungen Ihres Mitgliedstaats zur Benennung beobachten. Viele Mitgliedstaaten sind noch dabei, wichtige Stellen zu identifizieren. Wenn Ihr Unternehmen kritische Infrastrukturen betreibt, besteht ein Risiko, dass es ausgewiesen wird, das ungleich Null ist.
Umgekehrt sollten Sie, wenn Sie in den Geltungsbereich fallen, mit der Aufsichtsbehörde Ihres Mitgliedstaats in Kontakt treten. Einstufungen des Geltungsbereichs können manchmal im Rahmen eines Dialogs angefochten oder geklärt werden.
So ermitteln Sie Ihren Scope-Status: Ein praktischer Arbeitsablauf
Hier ist ein schrittweiser Ansatz:
Prüfen Sie die Anhänge I und II: Ist der Entitätstyp Ihrer Organisation explizit aufgeführt oder beschrieben? Falls nein, fallen Sie wahrscheinlich nicht in den Geltungsbereich. Falls ja, fahren Sie mit Schritt zwei fort.
Überprüfe deine Größe: Berechne Mitarbeiter, Umsatz und Bilanz auf der Grundlage des letzten abgeschlossenen Geschäftsjahres (oder des Durchschnitts von drei Jahren, falls verfügbar). Erfüllen oder überschreiten Sie den Schwellenwert für mittelständische Unternehmen? Falls nein, fahren Sie mit Schritt drei fort. Falls ja, fallen Sie zumindest als wichtige Einheit in den Geltungsbereich.
Überprüfung der Benennung des Mitgliedstaats: Hat Ihr Mitgliedstaat Sie als unverzichtbar eingestuft, obwohl Sie den Größentest nicht bestanden haben? Wenden Sie sich zur Bestätigung an Ihre zuständige Behörde. Falls Sie dazu bestimmt sind, sind Sie unverzichtbar. Wenn nicht, fallen Sie nicht in den Geltungsbereich, sofern nicht Schritt 4 zutrifft.
Prüfen Sie, ob zukünftige Risiken bestehen: Könnte Ihr Mitgliedstaat Sie für die Zukunft als unverzichtbar einstufen, auch wenn dies heute nicht der Fall ist? Wenn Sie kritische Infrastrukturen betreiben, sollten Sie die behördlichen Ankündigungen im Auge behalten. Wenn ein erhebliches Risiko besteht, beginnen Sie jetzt mit der Planung der Einhaltung der Vorschriften, anstatt auf eine Benennung zu warten.
Überprüfen Sie bei Organisationen, die in den Geltungsbereich fallen, den Status „wichtig“ und „wichtig“. Wenden Sie sich an die Aufsichtsbehörde Ihres Mitgliedstaats oder an Ihre nationale zuständige Behörde.
Sektorspezifische Umfangsnuancen
Einige Sektoren verdienen eine besondere Erwähnung, da der Umfang kontraintuitiv sein kann.
Energie: NIS2 deckt Elektrizität, Öl, Gas, Fernwärme/-kühlung und Wasserstoff ab. Die Teilsektoren variieren jedoch. Ein Mikronetzbetreiber, der die Definition von Versorgung oder Verteilung nicht erfüllt, fällt möglicherweise nicht in den Geltungsbereich. Ein Aggregator, der Laststeuerungsdienste anbietet, fällt in den Geltungsbereich. Der Schlüssel liegt darin, Ihre genaue Funktion den Beschreibungen in Anhang I zuzuordnen.
Transport: Fluggesellschaften, Flughäfen und Hafenbehörden sind abgedeckt. Ein Logistikunternehmen, das Bodentransporte anbietet, ohne eigene Hafen- oder Flughafeninfrastruktur zu besitzen, fällt jedoch möglicherweise nicht in den Geltungsbereich. Straßenverkehrsunternehmen sind insbesondere vollständig ausgeschlossen (obwohl sich dies ändern kann).
Digitale Dienste: Anhang II ist breit gefasst, aber bewusst. Wenn Sie einen der aufgeführten Dienste (Cloud, DNS, CDN usw.) in beliebiger Größenordnung innerhalb der EU anbieten, fallen Sie wahrscheinlich in den Geltungsbereich, es sei denn, Sie unterschreiten den Größenschwellenwert oder haben keine Kunden in der EU.
Gesundheit: Krankenhäuser und Gesundheitsdienstleister fallen in den Geltungsbereich, wenn sie die Größenschwelle erfüllen. Privatärzte, Apotheken und kleinere Kliniken fallen jedoch möglicherweise nicht in den Geltungsbereich, sofern sie nicht von ihrem Mitgliedstaat als unverzichtbar eingestuft werden.
Öffentliche Verwaltung: Öffentliche Stellen auf nationaler, regionaler und lokaler Ebene fallen in den Geltungsbereich, sofern sie die Größenschwelle erfüllen. Viele Einrichtungen der öffentlichen Verwaltung fallen jedoch auch unter die Richtlinie über kritische Einrichtungen (2022/2557), die eigene Regeln für den Geltungsbereich hat, die leicht abweichen können.
Wichtige Erkenntnisse
- Der Umfang von NIS2 hängt von zwei Tests ab: Branche (ist Ihr Organisationstyp in Anhang I oder Anhang II aufgeführt?) und Größe (sind Sie mittelgroß oder größer?) ; Sie müssen beide Tests bestehen, um in den Geltungsbereich aufgenommen zu werden, es sei denn, Ihr Mitgliedstaat stuft Sie als unverzichtbar ein.
- Anhang I deckt elf Sektoren ab (Energie, Verkehr, Wasser, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt, Chemikalien, Lebensmittel, Herstellung, Post); Anhang II behandelt digitale Dienstleister; für eine genaue Bestimmung des Geltungsbereichs ist eine sorgfältige Überprüfung des Anhangstextes und der darin enthaltenen Rechtsvorschriften erforderlich.
- Der Schwellenwert entspricht der KMU-Definition der EU: mehr als 250 Mitarbeiter oder Umsatz von über 50 Mio. EUR oder Bilanzsumme von über 25 Mio. EUR; Organisationen, die unter allen drei Schwellenwerten liegen, fallen in der Regel nicht unter den Geltungsbereich, sofern sie nicht von ihrem Mitgliedstaat als unverzichtbar eingestuft werden.
- Die Mitgliedstaaten verfügen gemäß Artikel 2 Absatz 2 über den Ermessensspielraum, weitere Einrichtungen als unverzichtbar zu identifizieren, obwohl sie den Größentest nicht bestanden haben; der Anwendungsbereich wird daher nicht ausschließlich von der Richtlinie bestimmt, sondern hängt auch von den Regulierungsentscheidungen der einzelnen Mitgliedstaaten ab.
- Auch Organisationen, die nicht in den Geltungsbereich fallen, sollten die Ankündigungen zur Benennung der Mitgliedstaaten überwachen, insbesondere wenn sie kritische Infrastrukturen betreiben. Die Frist für die Einhaltung der Vorschriften bis zum 12. Mai 2025 ist festgelegt, sodass eine frühzeitige Zusammenarbeit mit den Aufsichtsbehörden das Compliance-Risiko verringert.
