Die NIS2-Richtlinie soll zu einer Harmonisierung der Cybersicherheitsregulierung in der EU führen. Dazu zählt auch eine Vereinheitlichung der Identifikation der betroffenen Unternehmen. Bei der Umsetzung der ersten NIS-Richtlinie hatten die einzelnen EU-Mitgliedsstaaten relativ viel Handlungsspielraum, bzgl. der Identifikation der zu regulierenden Unternehmen. Beispielsweise erfolgt die bisherige Identifikation in Deutschland anhand der BSI-Kritisverordung (BSI-KritisV), welche mittels Schwellenwertformeln zur Berechnung eines Versorgungsgrads betroffene Unternehmen identifiziert, andere Mitgliedsstaaten haben direkt kritische Unternehmen benannt.
Diese national unterschiedlichen Regelungen führten zu einer ungleichen Regulierung in der EU. Bspw. konnte ein Unternehmen in Deutschland reguliert sein, ein direktes Konkurrenzunternehmen in einem anderen Mitgliedsstaat aber nicht. Zusätzlich mussten Unternehmen, die in mehreren Mitgliedstaaten tätig sind, jeweils individuelle Betroffenheitsanalysen durchführen.
An dieser stelle setzt der sogenannte Size-Cap der NIS2-Richtlinie an. Es werden einheitliche Identifikationskriterien auf Grundlage der Unternehmensgröße für alle EU-Mitgliedstaaten definiert. Die Richtlinie verweist hierzu auf die EU Empfehlung 2003/361/EG (Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen). Die Empfehlung definiert u. a., welche Unternehmen als kleinere und mittlere Unternehmen anzusehen sind (KMU) bzw. in der englischsprachigen Übersetzung small and medium-sized enterprises (SME). Große Unternehmen werden nicht adressiert, sodass alle Unternehmen mit mehr als 249 Mitarbeitern als Großunternehmen im Sinne der NIS2-Richtlinie gelten werden.
NIS2 (EU 2022/2555), Artikel 1 (1): „Diese Richtlinie gilt für öffentliche oder private Einrichtungen der in den Anhang I oder II genannten Art, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes Artikels überschreiten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben.“
2003/361/EG, Anhang, Artikel 2: „Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.“
Dies bedeutet, dass Unternehmen zur NIS2-Betroffenheitsprüfung künftig ihre Sektorzugehörigkeit (LINK) und Unternehmensgröße ermitteln müssen. Die Kriterien sind hierbei die Mitarbeiteranzahl, der Jahresumsatz und die Bilanzsumme. Bereits Unternehmen mit nur 50 Mitarbeitern können von der Regulierung betroffen sein und Unternehmen mit mehr als 249 Mitarbeitern sind ziemlich sicher betroffen, wenn sie Dienstleistungen in einer der relevanten Sektoren erbringen. Leider hört es hier aber noch nicht auf und es gibt zahlreiche Sonderregelungen bspw. Zu größenunabhängigen regulierten Sektoren und Ausnahmen für bestimmt Branchen.
Umsetzung in Deutschland mit dem NIS2 UmsuCG
Der aktuelle Entwurf des NIS2UmsuCG setzt die Inhalte der NIS2-Richtlinie folgendermaßen um:
§2 (1): „12. Großunternehmen“ ein Unternehmen oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, das oder die a) mindestens 250 Mitarbeiter beschäftigt, oder b) einen Jahresumsatz von mindestens 50 Millionen Euro und zudem eine Jahresbilanzsumme von mindestens 43 Millionen Euro aufweist
§2 (1): „23. mittleres Unternehmen ein Unternehmen oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, das oder die a) mindestens 50 und höchstens 249 Mitarbeiter beschäftigt und zudem einen Jahresumsatz von weniger als 50 Millionen Euro oder eine Jahresbilanzsumme von weniger als 43 Millionen Euro aufweist, oder b) weniger als 50 Mitarbeiter beschäftigt und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils mindestens 10 Millionen Euro und einen Jahresumsatz von höchstens 50 Millionen Euro sowie eine Bilanzsumme von höchstens 43 Millionen Euro aufweist;“
Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme sind jeweils die folgenden Kriterien zu berücksichtigen:
§2 (1): „…die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhang anzuwenden; die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse, die das Unternehmen für die Erbringung seiner Dienste nutzt, ausübt;“
Übersicht über die für die im NIS2UmsuCG gültigen Kategorien zur Unternehmensgröße
Mitarbeiteranzahl | Umsatz / Jahr | Bilanzsumme / Jahr | Kategorie | ||
50-249 | und | < 50 Mio. € | und/ oder | <43 Mio. € | Mittleres Unternehmen |
<50 | und | 10-50 Mio. € | und/oder | 10-43 Mio. € | Mittleres Unternehmen |
>=250 | – | – | Großunternehmen | ||
– | >=50 Mio. € | und | >=43 Mio. € | Großunternehmen |