Bin ich Anbieter von Cloud-Computing-Diensten nach NIS 2?
NIS 2 listet Cloud-Computing-Dienste in Anhang I Sektor 8 (Digitale Infrastruktur). Art. 6 Nr. 30 enthält die Definition und erfasst IaaS, PaaS und SaaS. Art. 2 Abs. 1 wendet die übliche Größenprüfung für mittlere Unternehmen an. Die Durchführungsverordnung (EU) 2024/2690 nennt Cloud-Anbieter in ihrem Anhang, sodass Teile dieser Verordnung EU-weit unmittelbar binden.
Die Kurzfassung
Wer Cloud-Computing-Dienste an Kundinnen und Kunden anbietet, fällt unter NIS 2, sobald die Schwelle zum mittleren Unternehmen erreicht ist. Anhang I Sektor 8 nennt Anbieter von Cloud-Computing-Diensten direkt unter Digitale Infrastruktur. Die Definition in Art. 6 Nr. 30 ist weit gefasst: IaaS, PaaS, SaaS, Public Cloud, als Dienst angebotene Private Cloud, Hybridangebote, alles ist erfasst.
Anders als Telekommunikation oder DNS stehen Cloud-Anbieter nicht auf der größenunabhängigen Liste in Art. 2 Abs. 2. Es gilt die übliche Prüfung nach Art. 2 Abs. 1. Mittlere Unternehmen im Sinne der Empfehlung 2003/361/EG sind solche ab 50 Beschäftigten oder mit einem Jahresumsatz über 10 Mio. EUR (Bilanzsumme über 10 Mio. EUR als Alternative). Wer eine der Schwellen reißt, fällt in den Anwendungsbereich. Wer unter beiden bleibt, ist auf der Cloud-Zeile in der Regel draußen.
Deutschland setzt das in §28 BSIG um. Das BSI ist zuständig. Zusätzlich zur Richtlinie listet die Durchführungsverordnung (EU) 2024/2690 Cloud-Anbieter in ihrem Anhang. Ihre technischen und methodischen Anforderungen binden unmittelbar, ohne weitere nationale Umsetzung. Diese Seite geht die Richtlinie, die EU-Definition und die deutsche Umsetzung in dieser Reihenfolge durch.
NIS 2-Richtlinie (2022/2555), Anhang I Sektor 8 und Art. 6 Nr. 30
Sektor 8 Digitale Infrastruktur: Anbieter von Cloud-Computing-Diensten. 'Cloud-Computing-Dienst' bezeichnet einen digitalen Dienst, der eine bedarfsgesteuerte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen über mehrere Standorte verteilt sind.
Beide Stellen gehören zusammen gelesen. Anhang I Sektor 8 nennt Anbieter von Cloud-Computing-Diensten als wesentliche Infrastruktur. Art. 6 Nr. 30 definiert, was als Cloud-Computing-Dienst gilt. Der Wortlaut ist technologieneutral und erfasst IaaS, PaaS und SaaS. Es gibt keine weitere EU-Vorschrift, die diesen Begriff neu definiert. Die Definition der Richtlinie ist die maßgebliche.
Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang
Diese Verordnung gilt für die Einrichtungen nach Artikel 3 der Richtlinie (EU) 2022/2555, die im Anhang dieser Verordnung aufgeführt sind, nämlich: Anbieter von DNS-Diensten, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Inhaltsbereitstellungsnetzen, Anbieter von verwalteten Diensten, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, von Online-Suchmaschinen und von Plattformen sozialer Netzwerke sowie Vertrauensdiensteanbieter.
Die Durchführungsverordnung (EU) 2024/2690 listet Anbieter von Cloud-Computing-Diensten in ihrem Anhang. Das ist der entscheidende rechtliche Hebel: Eine Verordnung ist unmittelbar anwendbar, eine nationale Umsetzung ist nicht nötig. Die Durchführungsverordnung enthält das ausführliche Risikomanagement-Rahmenwerk (§2), die Anforderungen an Vorfallmanagement, Lieferkette und Schwachstellenhandhabung sowie die Schwellen für 'erhebliche Sicherheitsvorfälle' für diese Sektoren. Cloud-Anbieter haben deshalb mit einer Richtlinienschicht (über BSIG umgesetzt) und einer Verordnungsschicht zu tun, die in allen Mitgliedstaaten mit gleichem Wortlaut bindet.
§28 BSIG, Deutschland
Anbieter von Cloud-Computing-Diensten gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes, sofern sie die Schwellenwerte für mittlere Unternehmen nach Empfehlung 2003/361/EG erreichen.
Deutschland setzt die Cloud-Pflichten über §28 BSIG um. Das BSI ist die zentrale NIS 2-Behörde für Registrierung, Risikomanagement-Rahmenwerk und Meldepflichten. Anbieter über der Größenschwelle sind besonders wichtige Einrichtungen. Unter der Schwelle greifen die Pflichten nicht, sofern nicht eine der eng gefassten Ausnahmen aus Art. 2 Abs. 2 oder 3 vorliegt. Cloud-Anbieter sind in diesen Listen nicht enthalten.
Bietet man einen Cloud-Computing-Dienst an?
Die Definition aus Art. 6 Nr. 30 anwenden. Der Dienst muss digital sein, bedarfsgesteuert, umfassend fernzugänglich und auf einem skalierbaren und elastischen Pool gemeinsam nutzbarer Ressourcen laufen. IaaS (Rechen-, Speicher-, Netzressourcen), PaaS (verwaltete Laufzeitumgebungen, Datenbanken als Dienst) und SaaS (mandantenfähige Geschäftsanwendungen über das Netz) erfüllen die Definition. Eine als Dienst angebotene Single-Tenant-Anwendung erfüllt sie meist auch, weil der zugrundeliegende Ressourcen-Pool auf Anbieterebene gemeinsam genutzt wird.
Wird die Größenschwelle erreicht?
Cloud-Anbieter folgen der üblichen Prüfung nach Art. 2 Abs. 1. Nach Empfehlung 2003/361/EG beginnt 'mittel' bei 50 Beschäftigten oder einem Jahresumsatz über 10 Mio. EUR (Bilanzsumme über 10 Mio. EUR als Alternative). Bei 250 Beschäftigten oder einem Umsatz über 50 Mio. EUR liegt ein großes Unternehmen vor, das als 'wesentlich' eingestuft wird. Unter 50 Beschäftigten und unter 10 Mio. EUR Umsatz liegt man auf der Cloud-Zeile in der Regel außerhalb des Anwendungsbereichs.
Die Durchführungsverordnung bindet unmittelbar
Sobald man im Anwendungsbereich liegt, greifen zwei Schichten. Das BSIG (in Deutschland) setzt die Richtlinie um. Die Durchführungsverordnung (EU) 2024/2690 listet Cloud-Anbieter in ihrem Anhang und bindet sie unmittelbar. Das bedeutet: Das Risikomanagement-Rahmenwerk nach §2, die Lieferkettenanforderungen nach §6 und die Schwellen für 'erhebliche Sicherheitsvorfälle' gelten in jedem Mitgliedstaat mit gleichem Wortlaut. Eine nationale Variante der Durchführungsverordnung gibt es nicht.
Alle drei Dienstschichten zählen
Art. 6 Nr. 30 ist schichtenneutral. IaaS, PaaS und SaaS erfüllen die Definition, weil alle drei auf einem skalierbaren und elastischen, gemeinsam genutzten Ressourcen-Pool aufsetzen. Ein häufiger Irrtum ist, 'Cloud' meine nur IaaS bei Hyperscalern. Der Wortlaut erfasst auch einen deutschen SaaS-Anbieter mit einer mandantenfähigen HR-Anwendung, genauso wie AWS, Azure und GCP. Die Größenschwelle filtert danach, wer tatsächlich verpflichtet ist.
Elastisch und gemeinsam nutzbar ist die Linie
Wenn der Ressourcen-Pool nicht skalierbar und elastisch oder nicht gemeinsam nutzbar ist, liegt kein Cloud-Computing-Dienst nach Art. 6 Nr. 30 vor. Ein dediziert für eine Kundin oder einen Kunden bereitgestellter Server mit fester Kapazität, den man im Auftrag betreibt, ist Hosting, nicht Cloud. Ein dediziertes Käfigsegment im Rechenzentrum ist Colocation, nicht Cloud. Beides kann unter andere Zeilen in Anhang I Sektor 8 fallen (Rechenzentrumsdienst, verwalteter Dienst), aber nicht unter die Cloud-Zeile. Die Definition macht die Abgrenzung.
BSI / §28 BSIG
Das BSI ist die zentrale NIS 2-Behörde. Registrierung, Risikomanagement-Rahmenwerk und Meldekette (24 Stunden Frühwarnung, 72 Stunden Meldung, ein Monat Abschlussbericht) laufen über das BSI. §28 BSIG stuft Cloud-Anbieter im Anwendungsbereich als besonders wichtige Einrichtungen ein. Wer die Größenschwelle reißt, registriert sich beim BSI.
BSI C5 (operative Referenz)
C5 ist der Cloud-Sicherheitskatalog des BSI. C5 ist keine NIS 2-Pflicht. In der Praxis fragen aber viele deutsche Cloud-Kunden im Vertrag nach einer C5-Typ-2-Bescheinigung. Die Controlmenge überlappt stark mit dem Risikomanagement-Rahmenwerk aus §2 der Durchführungsverordnung, sodass Anbieter mit C5-Bescheinigung den Großteil der Nachweise für das NIS 2-Risikomanagement wiederverwenden können.
ENISA / Anhang der Durchführungsverordnung
Die ENISA, die EU-Agentur für Cybersicherheit, veröffentlicht die Technical Implementation Guidance zur Durchführungsverordnung. Weil Cloud-Anbieter im Anhang der Durchführungsverordnung gelistet sind, ist diese Leitlinie die operative Referenz für §2 Risikomanagement, Lieferkettenerwartungen und das Schwellenmodell für 'erhebliche Sicherheitsvorfälle'. Der Wortlaut ist EU-weit identisch. Ein Cloud-Anbieter, der in DE, NL, FR und IT verkauft, wendet denselben Text in jedem Markt an.
Nationale Cybersicherheitsbehörden
Jeder Mitgliedstaat hat seine eigene NIS 2-Behörde für Registrierung und Aufsicht: RDI in den Niederlanden, ANSSI in Frankreich, ACN in Italien, INCIBE in Spanien. Die Pflichten der Richtlinie sind national umgesetzt, die Durchführungsverordnung bindet überall mit gleichem Wortlaut. Für einen EU-weit verkaufenden Cloud-Anbieter sind die Registrierungen national, das Risikomanagement-Rahmenwerk ist ein einziges Dokument, das überall genutzt wird.
Wir vermieten dedizierte Server, also sind wir Cloud-Anbieter nach NIS 2.
Auf der Cloud-Zeile in der Regel nicht. Art. 6 Nr. 30 verlangt einen skalierbaren und elastischen Pool gemeinsam nutzbarer Ressourcen. Ein Bare-Metal-Server, der mit fester Kapazität an eine einzelne Kundin oder einen einzelnen Kunden vermietet wird, ist Hosting. Man kann unter die Zeile 'Anbieter von Rechenzentrumsdiensten' im selben Sektor fallen (andere Definition, derselbe Sektor) oder unter 'Anbieter verwalteter Dienste', wenn man den Server auch betreibt, aber nicht unter die Cloud-Zeile. Die Definitionen lesen, nicht das Marketing-Label aus der eigenen Preisliste.
Wir sind ein kleiner SaaS-Anbieter, also gelten Cloud-Regeln für uns nicht.
Die Prüfung ist zweiteilig. Erst Art. 6 Nr. 30: Ein mandantenfähiges SaaS-Angebot, das über das Netz auf einer geteilten Infrastruktur verkauft wird, erfüllt die Definition. Dann Art. 2 Abs. 1: die Größenschwelle. Unter 50 Beschäftigten und unter 10 Mio. EUR Umsatz liegt man auf der Cloud-Zeile außerhalb. Wer eine der Schwellen reißt, liegt drin. 'Nische' ist keine rechtliche Kategorie. Die Zahlen und die Definition entscheiden.
Wir betreiben eine Private Cloud für die eigene Gruppe, also sind wir ein Cloud-Anbieter im Anwendungsbereich.
In der Regel nicht. Der Dienst nach Art. 6 Nr. 30 muss an Kundinnen und Kunden erbracht werden. Eine rein interne Private Cloud, die nur die eigene Organisation nutzt, ist kein Dienst im regulatorischen Sinn und zählt auf der Cloud-Zeile nicht. Man kann im Anwendungsbereich von NIS 2 liegen, weil die eigene Gruppe in einem anderen Sektor tätig ist (Energie, Gesundheit, Verkehr, verarbeitendes Gewerbe), aber nicht als Anbieter von Cloud-Computing-Diensten auf Basis einer internen Plattform.
Ein deutscher SaaS-Anbieter mit 60 Beschäftigten, einer mandantenfähigen Anwendung und 12 Mio. EUR Jahresumsatz liegt auf der Cloud-Zeile im NIS 2-Anwendungsbereich. Anhang I Sektor 8 nennt Anbieter von Cloud-Computing-Diensten, Art. 6 Nr. 30 ist erfüllt, weil der Ressourcen-Pool gemeinsam nutzbar, elastisch und fernzugänglich ist, Art. 2 Abs. 1 ist erfüllt, weil das Unternehmen mittelgroß ist. §28 BSIG stuft es als besonders wichtige Einrichtung ein. Der Anhang der Durchführungsverordnung bindet es unmittelbar an §2. Nichts davon steht im Ermessen.
Was Praktikerinnen und Praktiker tatsächlich tun: Der Anbieter schreibt ein Risikomanagement-Rahmenwerk nach §2 der Durchführungsverordnung gegen den produktiven Stack (Anwendung, Laufzeit, Datenlayer, Identitäten, unterstützende Cloud-Konten), bildet die Themen aus Art. 21 Abs. 2 auf das Rahmenwerk ab und nutzt die Verhältnismäßigkeit aus Art. 21 Abs. 1, um die Tiefe an einen 60-Personen-Betrieb anzupassen. Vorfall-Erkennung, die Kadenz 24h / 72h / ein Monat und die Lieferkettenpflichten aus §6 der Durchführungsverordnung stützen sich auf dieselbe Asset-Liste. Eine vorhandene C5-Typ-2-Bescheinigung deckt einen großen Teil der Nachweise zu §2 ab und wird als Dokumentation wiederverwendet, nicht neu erstellt.
Die Anwendbarkeitsprüfung läuft Art. 6 Nr. 30 Schritt für Schritt durch. Sie fragt, was man anbietet, ob der Ressourcen-Pool gemeinsam nutzbar und elastisch ist und ob der Dienst an Kundinnen und Kunden verkauft wird. Das Ergebnis nennt die einschlägige Zeile aus Anhang I (Cloud, Rechenzentrum, verwalteter Dienst sind getrennte Definitionen), sagt, ob die Größenschwelle aus Art. 2 Abs. 1 greift, und welche Kategorien aus dem Anhang der Durchführungsverordnung zusätzlich zum BSIG unmittelbar binden.
Das Asset-Modul bildet den produktiven Stack in einer Inventarliste ab: Mandantengrenzen, Identitätsanbieter, Datenspeicher, unterstützende Cloud-Konten, externe Auftragsverarbeiter. Das Risikomanagement-Rahmenwerk nach §2 der Durchführungsverordnung läuft gegen dieses Inventar, sodass dieselbe Asset-Liste die Registrierung beim BSI, die Lieferkettenprüfungen nach §6 und die Nachweise für C5 ohne Doppelpflege speist.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 8 und Art. 6 Nr. 30 Begriffsbestimmung Cloud-Computing-Dienst — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie (EU) 2022/2555 (NIS 2), Art. 2 Abs. 1 Größenschwelle und Sektorabgrenzung; Art. 2 Abs. 2 größenunabhängige Sonderfälle — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Empfehlung 2003/361/EG der Kommission betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen — eur-lex.europa.eu/eli/reco/2003/361/oj
- Durchführungsverordnung (EU) 2024/2690, Anhang (listet Anbieter von Cloud-Computing-Diensten unter den unmittelbar gebundenen Einrichtungen) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §28 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- BSI C5 (Cloud Computing Compliance Criteria Catalogue), aktuelle Fassung — bsi.bund.de