Mit der NIS2-Richtlinie verschärft die EU die Anforderungen an die Cybersicherheit erheblich. Ziel ist es, die Widerstandsfähigkeit kritischer und wichtiger Einrichtungen gegenüber Cyberangriffen zu stärken. In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das insbesondere Pflichten zu Risikomanagement, Meldeverfahren und Governance in dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) normiert. In der Praxis wirft NIS2 jedoch komplexe Abgrenzungsfragen auf. Dies gilt insbesondere in Konzerngesellschaften. Hierzu hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen allgemeinen und sektorspezifischen FAQs wichtige Klarstellungen vorgenommen.
Konzerne und NIS2: Wer ist verpflichtet – und wer nicht?
Konzernstrukturen sind häufig durch eine arbeitsteilige Organisation geprägt: operative Gesellschaften, Holdinggesellschaften und zentrale IT- oder Servicegesellschaften. Nicht selten ist ein Konzern zudem weltweit und über nationale und EU-Grenzen hinaus tätig. Vor diesem Hintergrund stellt sich die zentrale Frage, welche Konzerngesellschaften selbst als NIS2-pflichtige Einrichtungen gelten und inwieweit Pflichten konzernweit gebündelt werden können. Typische Unsicherheiten betreffen dabei insbesondere die Möglichkeit eine zentrale Umsetzung von Sicherheitsmaßnahmen zu gestalten sowie eine Zurechnung von Melde- und Nachweispflichten.
Einordnung durch das BSI: Maßgeblich ist die einzelne Rechtseinheit
Nach dem Grundsatz in § 28 BSIG knüpft die Anwendbarkeit der NIS2-Pflichten grundsätzlich an die einzelne juristische Person an. Entscheidend ist, ob eine Gesellschaft selbst die Voraussetzungen einer „wichtigen“ oder „besonders wichtigen Einrichtung“ erfüllt, etwa aufgrund ihrer Tätigkeit in einem erfassten Sektor und ihrer Unternehmensgröße.
Eine reine Konzernzugehörigkeit reicht demnach nicht aus, um eine NIS2-Pflicht auszulösen oder zu vermeiden. Auch Holdinggesellschaften unterfallen NIS2 nur dann, wenn sie selbst eine einschlägige Tätigkeit ausüben oder die gesetzlichen Schwellenwerte erfüllen.
Sind etwa Mutter- und Tochterunternehmen mit gemeinsamer IT jeweils einer der erfassten Einrichtungsarten zuzuordnen und erfüllen (ggf. gemeinsam) die Size-Cap-Rule, werden beide Unternehmen von NIS2 erfasst und unterliegen den Anforderungen von §§ 30 ff. BSIG. Im Einzelfall zu beachten ist jedoch, dass die Ausnahme einer nur untergeordneten Tätigkeit des § 28 Absatz 4 Satz 2 BSIG für Unternehmen einer Konzerngesellschaft unter NIS2 vorliegen kann.
Konzerninterne IT-Gesellschaften und Serviceeinheiten
Besondere Relevanz kommt konzerninternen IT-Dienstleistern zu. Das BSI stellt in ihren FAQ klar, dass IT- oder Security-Gesellschaften innerhalb eines Konzerns nicht automatisch nach § 28 Abs. 1 Nr.4 i.V.m. Ziffer 6.1.10 Anlage 1 BSIG reguliert sind.
Tochterunternehmen, in denen der zentrale IT-Betrieb eines Unternehmensverbunds organisiert ist, sind zwar nach Einschätzung des BSI in der Regel als Managed Services Provider (MSP) oder Managed Security Service Provider (MSSP) anzusehen und damit reguliert. Es bedarf jedoch stets einer Einzelfallprüfung.
Maßgeblich für die konkrete Einordnung ist § 2 Nr. 26 BSIG, der „Managed Service Provider“ als einen „Anbieter von Diensten im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung in den Räumlichkeiten der Kundinnen und Kunden oder aus der Ferne“ definiert.
Ein „Managed Security Service Provider“ ist nach § 2 Nr. 25 BSIG ein „Managed Service Provider, der Unterstützung für Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicherheit durchführt oder erbringt“.
Diese Eigenschaft erfüllen nach den FAQ des BSI diejenigen Gesellschaften nicht, die die ein Kundenportal gegenüber Kundinnen und Kunden zwar geschäftlich anbietet, den technischen Betrieb jedoch vollständig durch ein anderes Konzernunternehmen oder einen sonstigen Dritten erbringen lässt.
Ebenso sind Gesellschaften ausgenommen, die die gegenüber Mitarbeitenden von Konzernunternehmen oder Kundinnen und Kunden lediglich IT-Anwendersupport erbringen, ohne über Problemlösungskompetenz oder technischen Zugriff auf Anwendungs- oder Systemebene zu verfügen.
Divergierende Anforderungen verschiedener EU-Staaten
Eine Verpflichtung, gleichzeitig die unterschiedlichen rechtlichen Anforderungen anderer Mitgliedstaaten in ein übergreifendes Managementsystem zu integrieren, besteht nach dem NIS2UmsCG nicht. Das Gesetz beschränkt sich nach Antwort des BSI auf die in Deutschland geltenden Pflichten zur Gewährleistung eines angemessenen Risikomanagements und der Sicherheit von Netz- und Informationssystemen. Die erforderlichen Sicherheitsmaßnamen sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen.
Einheitliche Sicherheitskonzepte und Meldepflichten in Konzerngesellschaften
Zwar erscheint es sinnvoll, dass Konzerne einheitliche Informationssicherheitskonzepte, zentrale Incident-Response-Strukturen oder konzernweite Risikoanalysen etablieren. Rechtlich bleibt jedoch jede verpflichtete Gesellschaft eigenständig verantwortlich. Sie muss sicherstellen und nachweisen können, dass die zentralen Maßnahmen die gesetzlichen Anforderungen für ihre eigene Organisation erfüllen. Eine „Konzernprivilegierung“ sieht NIS2 insoweit nicht vor.
Auch bei Sicherheitsvorfällen in Konzerngesellschaften unter NIS2 gilt: Meldepflichtig ist stets die konkret betroffene NIS2-Einrichtung, nicht der Konzern als solcher. Konzernweite Meldeprozesse können zwar organisatorisch sinnvoll sein, ersetzen aber nicht die rechtliche Zuordnung der Pflichten zur jeweiligen Gesellschaft.
Beachten sollten Unternehmen auch, dass soweit innerhalb eines Konzerns ein interner IT-Dienstleister sowohl für unter dem Digital Operational Resilience Act (DORA) regulierte Unternehmen als auch für NIS-2-relevante Unternehmen Leistungen erbringt, zwischen den Tätigkeitsbereichen auch im Hinblick auf die Meldungen zu unterscheiden ist.
Fazit
Die Antworten des BSI schaffen wichtige Klarheit für Konzerngesellschaften im Anwendungsbereich von NIS2. Entscheidend ist stets die einzelne juristische Person, nicht der Konzernverbund als solcher. Konzernstrukturen ermöglichen zwar eine zentrale Organisation von IT-Sicherheit, heben jedoch die eigenständige Verantwortlichkeit der jeweiligen NIS2-pflichtigen Gesellschaften nicht auf.
Für Unternehmen bedeutet dies: Konzernweite Sicherheitsstrategien sind sinnvoll und zulässig, müssen jedoch rechtlich sauber auf die einzelnen Gesellschaften heruntergebrochen werden. Eine frühzeitige Analyse der Konzernstruktur und der Rollen einzelner Einheiten ist daher unerlässlich, um NIS2-Pflichten korrekt zuzuordnen und umzusetzen.
NIS-2 jetzt umsetzen
KINAST Informationssicherheitsberatung für NIS-2-regulierte Einrichtungen
Ganzheitliche Beratung zu Cybersicherheit, Risikomanagement, Incident Response und regulatorischer Umsetzung.
