Das NIS2-Gesetz
Anwendungsbereich
Um unter das NIS2-Gesetz zu fallen, muss eine Organisation im Prinzip:
- einen in den Anhängen I und II des NIS2-Gesetzes aufgeführten Dienst in der Europäischen Union erbringen; und
- die in der Empfehlung 2003/361/EG der Europäischen Kommission festgelegten Größenschwellen überschreiten, d. h. eine Mitarbeiteranzahl von mindestens 50 Jahresarbeitseinheiten (JAE) haben oder einen Jahresumsatz bzw. eine Jahresbilanzsumme von mehr als 10 Mio. € aufweisen (siehe Leitfaden der Europäischen Kommission).
Diese Kriterien werden in den folgenden Abschnitten erläutert.
1. Der erbrachte Dienst
Die Organisation muss in den folgenden Bereichen eine Dienstleistung erbringen, die in den Anhängen I oder II des Gesetzes aufgeführt ist (auch wenn diese Dienstleistung nur ein untergeordneter Teil ihrer Tätigkeit ist):
Sektoren mit hoher Kritikalität (Anhang I) |
Sonstige kritische Sektoren (Anhang II) |
|
|
Jede Dienstleistung, die unter das NIS2-Gesetz fällt, ist in den Anhängen I oder II, oder in Artikel 8 definiert. Die Anhänge können insbesondere auf Justel (am Ende der Seite, vor dem Abschnitt „Travaux parlementaires“) eingesehen werden.
2. Größenkriterium
Die Größe einer Einrichtung wird auf Grundlage von Anhang I der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 (die "Empfehlung") berechnet.
Von einigen Ausnahmen abgesehen, muss eine Organisation mindestens als mittleres Unternehmen im Sinne der Empfehlung gelten, damit das NIS2-Gesetz greift:
- Ein mittleres Unternehmen hat eine Mitarbeiteranzahl von mindestens 50 Jahresarbeitseinheiten (JAE*) und/oder einen Jahresumsatz (oder eine Jahresbilanzsumme) von mehr als 10 Millionen Euro.
- Ein Großunternehmen hat eine Mitarbeiteranzahl von mindestens 250 JAE*, oder einen Jahresumsatz von 50 Millionen Euro oder eine Jahresbilanzsumme von 43 Millionen Euro (größer als KMU).
* Die JAE entsprechen der Zahl der Personen, die in dem betroffenen Unternehmen oder auf Rechnung dieses Unternehmens während des gesamten Berichtsjahres einer Vollzeitbeschäftigung nachgegangen sind. Für die Arbeit von Personen, die nicht das ganze Jahr gearbeitet haben oder die im Rahmen einer Teilzeitregelung tätig waren, und für Saisonarbeit wird der jeweilige Bruchteil an JAE gezählt.
Die Empfehlung sieht insbesondere vor, dass die Berechnung der Größe einer Organisation, die Teil einer Gruppe ist (Partnerunternehmen oder verbundene Unternehmen), eine Konsolidierung der Daten der verschiedenen Bestandteile dieser Gruppe voraussetzt.
Wie diese Empfehlung genau funktioniert, wird im "Benutzerleitfaden zur Definition von KMU" der Europäischen Kommission ausführlich erläutert.
Es gibt jedoch zwei wichtige Besonderheiten bei der Anwendung der Empfehlung im Rahmen des Gesetzes:
- Unter bestimmten Umständen kann auf die Konsolidierung der Daten der verschiedenen Bestandteile einer Unternehmensgruppe verzichtet werden, wenn die Netz- und Informationssysteme der betreffenden Organisation unabhängig von dem der verbundenen oder Partnerunternehmen ist.
- Die Personalstärke und die Finanzzahlen einer öffentlichen Einrichtung, die eine betroffene Organisation kontrolliert, sollten bei der Bestimmung der Größe der Organisation nicht berücksichtigt werden.
3. Die Einrichtungskategorien
Das NIS2-Gesetz unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Diese Unterscheidung erfolgt im Prinzip auf der Grundlage der Größe der Einrichtung und der erbrachten Dienstleistung:
- Von bestimmten Ausnahmen abgesehen ist eine Organisation, die ein Großunternehmen im Sinne der Empfehlung darstellt und mindestens eine der in Anhang I aufgeführten Dienstleistungen erbringt, eine wesentliche Einrichtung;
- Von bestimmten Ausnahmen abgesehen, ist eine Organisation, die ein mittleres Unternehmen im Sinne der Empfehlung darstellt und mindestens eine der in Anhang I aufgeführten Dienstleistungen erbringt, eine wichtige Einrichtung;
- Eine Organisation, die ein großes oder mittleres Unternehmen im Sinne der Empfehlung darstellt und mindestens eine in Anhang II aufgeführte Dienstleistung erbringt, ist eine wichtige Einrichtung.
Der Unterschied zwischen wesentlichen und wichtigen Einrichtungen liegt hauptsächlich in den Kontroll- und Strafmechanismen. Wesentliche Einrichtungen werden regelmäßiger und strikter überwacht als wichtige Einrichtungen.
Es gibt jedoch einige Ausnahmen. In bestimmten Sektoren werden Einrichtungen unabhängig von ihrer Größe als "wesentlich" eingestuft:
- Qualifizierte Vertrauensdiensteanbieter;
- Domänennamenregister der Domäne oberster Stufe;
- DNS-Diensteanbieter;
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste, die mindestens mittlere Unternehmen sind;
- Einrichtungen der öffentlichen Verwaltung, die vom Föderalstaat abhängen;
- Einrichtungen, die gemäß der CER-Richtlinie auf nationaler Ebene als kritisch eingestuft sind.
Unabhängig von diesen Regeln werden die nationalen Behörden auch in der Lage sein, Einrichtungen als "wesentlich" oder "wichtig" einzustufen, z. B. wenn sie der einzige Anbieter eines Dienstes sind oder wenn die Unterbrechung des angebotenen Dienstes erhebliche Auswirkungen auf die öffentliche Sicherheit, die öffentliche Ordnung oder die öffentliche Gesundheit haben könnte.
Für einen besseren Überblick über den Anwendungsbereich des Gesetzes empfehlen wir einen Blick auf unsere visuelle Zusammenfassung des Anwendungsbereichs.
4. Die Verbindung zu Belgien
Grundsätzlich gilt das belgische Gesetz für Einrichtungen mit Sitz in Belgien. Es gibt jedoch Ausnahmen von dieser Regel der territorialen Zuständigkeit:
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste unterliegen der Zuständigkeit des Mitgliedstaates, in dem sie ihre Dienste erbringen;
- DNS-Diensteanbieter, TLD-Namenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke unterliegen der Zuständigkeit des Mitgliedstaates, in dem sie ihre Hauptniederlassungin der Europäischen Union haben;
- Einrichtungen der öffentlichen Verwaltung fallen unter die Zuständigkeit des Mitgliedstaates, der sie gegründet hat.