NIS 2 und die „Vernachlässigbarkeit“ – zentrale Fragen zum Anwendungsbereich noch immer ungeklärt

Die Umsetzung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist eines der zentralen Cybersicherheitsvorhaben der aktuellen Legislaturperiode. Ziel ist es, für ein hohes und harmonisiertes Cybersicherheitsniveau in der Europäischen Union zu sorgen. Der deutsche Gesetzentwurf wirft jedoch weiterhin zentrale Fragen auf – insbesondere hinsichtlich des Anwendungsbereichs.

Überblick und aktueller Stand

Die NIS 2-Richtlinie ist Teil der EU-Cybersicherheitsstrategie zur Stärkung und Vereinheitlichung des IT-Sicherheitsniveaus innerhalb der EU. In Deutschland erfolgt die Umsetzung durch das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (im Folgenden „NIS 2-Umsetzungsgesetz“), wodurch u.a. das BSIG umfassend novelliert wird. Die Frist zur Umsetzung der Richtlinie in nationales Recht ist am 17. Oktober 2024 verstrichen. Daher hat die Europäische Kommission gegen Deutschland (und zahlreiche weitere Mitgliedsstaaten) ein Vertragsverletzungsverfahren eingeleitet.

Das Gesetzgebungsverfahren schreitet (nun endlich) voran. Aktuell liegt der Gesetzentwurf der Bundesregierung vom 8. September 2025 vor. Das NIS 2-Umsetzungsgesetz soll voraussichtlich Ende 2025/Anfang 2026 verkündet werden und wird dann – ohne Übergangsfrist – unmittelbar für alle betroffenen Einrichtungen gelten.

Durch die Umsetzung der NIS-2-Richtlinie wird der Kreis der betroffenen Unternehmen erheblich erweitert. Waren bislang im Hinblick auf die Cybersecurity lediglich Betreiber Kritischer Infrastrukturen („Kritis“) streng reguliert, werden zukünftig schätzungsweise 25.000 bis 30.000 weitere Unternehmen, die ihre Dienste in einem der 18 NIS 2-Wirtschaftssektoren innerhalb der EU erbringen, von der NIS-2-Richtlinie betroffen sein.

Anwendungsbereich

Herzstück des NIS 2-Umsetzungsgesetzes ist der Entwurf des neuen BSI-Gesetzes (im Folgenden „BSIG-E“). Die zentrale Norm zur Bestimmung des Anwendungsbereichs stellt dabei der § 28 BSIG-E dar. Sie setzt die Vorgaben des Art. 3 der NIS-2-Richtlinie um und unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“, wobei „Betreiber kritischer Anlagen“ den „besonders wichtigen Einrichtungen“ unterfallen.
Maßgeblich für die Einordnung sind insbesondere folgende Fragen: 

1. Fällt die Geschäftstätigkeit unter eine Einrichtungskategorie der Anlage 1 und 2 des BSIG-E bzw. handelt es sich um einen „Betreiber kritischer Anlagen“ i.S.d. § 2 Nr. 22 BSIG-E  i.V.m. der (neuen) BSI-KritisV?
2. Werden die Schwellenwerte aus § 28 BSIG-E bzw. der (neuen) BSI-KritisV erreicht?
3. Ist die Einrichtung in der Bundesrepublik Deutschland niedergelassen?

Was zunächst recht einfach klingt, kann die betroffenen Unternehmen jedoch vor erhebliche Herausforderungen stellen.

Deutsche „Sonderwege“

In unserem Blogbeitrag vom Juni 2024 haben wir bereits über die Besonderheiten der Zurechnung hinsichtlich der verbundenen und Partnerunternehmen, sowie über den (alten) deutschen „Sonderweg“ berichtet, wonach bei der Berechnung der Schwellenwerte „nur diejenigen Teile der Einrichtung einzubeziehen [sind], die tatsächlich im Bereich der in den Anlagen 1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Querschnittsaufgaben wie beispielsweise Personal, Buchhaltung etc. sind hierbei anteilig zu berücksichtigen“. Diesen Ansatz, der als nicht unionsrechtskonform kritisiert wurde (keine Stütze in der NIS 2-Richtlinie), wurde mittlerweile verworfen.

Nunmehr hat sich der deutsche Gesetzgeber folgende Einschränkung des Anwendungsbereichs überlegt: 

Gem. § 28 Abs. 3 BSIG-E können bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit „vernachlässigbar“ sind. 

Der Gesetzgeber konkretisiert den unbestimmten Rechtsbegriff der „Vernachlässigbarkeit“ in seiner Gesetzesbegründung zu§ 28 Abs. 3 BSIG-E: Ziel sei es, eine unverhältnismäßige Einstufung als (besonders) wichtige Einrichtung zu vermeiden, wenn lediglich eine geringfügige Nebentätigkeit vorliegt.

Als mögliche Anhaltspunkte für eine „Vernachlässigbarkeit“ nennt der Gesetzgeber u. a.

• die Anzahl der in dem Bereich beschäftigten Mitarbeiter,
• den durch die Tätigkeit erzielten Umsatz oder
• die Bilanzsumme des betreffenden Segments.

Ein gegen die „Vernachlässigbarkeit“ sprechendes Indiz könne hingegen vorliegen, wenn die betreffende Tätigkeit ausdrücklich in einem Gesellschaftervertrag, der Satzung oder einem vergleichbaren Gründungsdokument genannt ist.

Letztlich ist eine Gesamtbetrachtung erforderlich: Alle relevanten Anhaltspunkte sind im Verhältnis zur gesamten Geschäftstätigkeit der Einrichtung zu würdigen.

Ausblick und Handlungsempfehlungen

Auch wenn der aktuelle Entwurf und der darin enthaltende (neue) deutsche „Sonderweg“ eine Verbesserung im Vergleich zu der alten Fassung darstellt, bleibt das Problem der Rechtsunsicherheit für Unternehmen weiterhin bestehen. Nicht nur weicht der deutsche Gesetzgeber durch seine einschränkende Regelung nach wie vor von der Vorgabe zur Mindestharmonisierung bei der Umsetzung der NIS 2-Richtlinie ab, sondern er lässt durch die Verwendung eines unbestimmten Rechtsbegriffes weiterhin großen Auslegungsspielraum zu. 

Mehr Klarheit in der Frage des Anwendungsbereichs ist dringend erforderlich. Ob der deutsche Gesetzgeber jedoch noch Änderungen oder Konkretisierungen im laufenden Gesetzgebungsverfahren vornimmt, bleibt abzuwarten. Unternehmen ist daher zu empfehlen, sich bei der Bestimmung des Anwendungsbereichs an der NIS-2-Richtlinie zu orientieren.