Anhang I Sektor 9 NIS 2

Sind wir Managed Service Provider unter NIS 2?

NIS 2 hat MSP als neuen Sektor hinzugefügt. In NIS 1 gab es diese Kategorie nicht. Wer Kunden-IT remote betreibt, fällt sehr wahrscheinlich in den Anwendungsbereich. Anhang I Sektor 9 benennt die Tätigkeit. Artikel 6 Nummer 39 sagt, was zählt. Der Größentest gilt weiter, mit einer engen Ausnahme, die MSP nicht erfasst.

Simon OrzelSimon Orzel·

Die Kurzfassung

NIS 1 kannte MSP gar nicht als eigene Kategorie. Die Richtlinie von 2022 hat sie eingeführt. Anhang I Sektor 9 listet IKT-Dienstleistungsmanagement im Geschäftskundenverhältnis. Artikel 6 Nummer 39 liefert die rechtliche Definition: eine Einrichtung, die Dienste in Bezug auf Installation, Verwaltung, Betrieb oder Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder sonstigen Netz- und Informationssystemen erbringt, durch Unterstützung oder durch aktive Verwaltung, vor Ort beim Kunden oder remote. Wer sich darin wiedererkennt, ist sehr wahrscheinlich MSP im Anwendungsbereich.

MSP und MSSP sind zwei getrennte Kategorien. Artikel 6 Nummer 39 definiert den MSP. Artikel 6 Nummer 40 definiert den MSSP als MSP, der Tätigkeiten in Bezug auf das Cybersicherheitsrisikomanagement durchführt oder dabei unterstützt. Beide sitzen in Anhang I Sektor 9. Eine Einrichtung kann beides gleichzeitig sein. Die meisten allgemeinen IT-Häuser sind MSP, nicht MSSP. Ein reines SOC oder Pentest-Haus ist MSSP.

Der Größentest gilt weiterhin. NIS 2 erfasst regulär mittlere Unternehmen und größer: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme, nach Artikel 2 Absatz 1 in Verbindung mit der Empfehlung 2003/361/EG. Artikel 2 Absatz 2 Buchstabe g enthält eine enge Ausnahme, in der die Größe keine Rolle spielt, aber diese Ausnahme erfasst DNS-Diensteanbieter, TLD-Namenregister, qualifizierte Vertrauensdiensteanbieter und einige weitere Typen digitaler Infrastruktur. MSP gehören nicht dazu. Ein kleiner MSP unter der Größenschwelle fällt nicht unter NIS 2.

Die rechtliche Quelle
Anhang I nennt IKT-Dienstleistungsmanagement als Sektor. Artikel 6 Nummer 39 definiert den MSP. Artikel 2 Absatz 1 und die Empfehlung 2003/361/EG setzen den Größentest. §28 BSIG ist der deutsche Einstieg, Anlage 1 BSIG listet MSP ausdrücklich.

NIS-2-Richtlinie (2022/2555), Anhang I Sektor 9

IKT-Dienstleistungsmanagement (Business-to-Business): Anbieter verwalteter Dienste; Anbieter verwalteter Sicherheitsdienste.

Diesen Sektor gab es in NIS 1 schlicht nicht. NIS 2 hat ihn als neue Kategorie eingeführt, das ist eine der praktisch größten Erweiterungen des Anwendungsbereichs in der Richtlinie. MSP und MSSP sitzen beide in Anhang I Sektor 9. Der Zusatz Business-to-Business ist entscheidend: Endkundengeschäft fällt nicht unter Sektor 9, Geschäftskundengeschäft schon.

Artikel 6 Nummer 39 NIS-2-Richtlinie (MSP-Definition)

Managed Service Provider bezeichnet eine Einrichtung, die Dienste in Bezug auf Installation, Verwaltung, Betrieb oder Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder sonstigen Netz- und Informationssystemen mittels Unterstützung oder aktiver Verwaltung erbringt, die in den Räumlichkeiten von Kunden oder aus der Ferne erfolgt.

Artikel 6 Nummer 40 ergänzt die MSSP-Definition: ein MSP, der Tätigkeiten in Bezug auf das Cybersicherheitsrisikomanagement durchführt oder dabei unterstützt. Die Richtlinie wählt die Verben bewusst: Installation, Verwaltung, Betrieb, Wartung, aktive Verwaltung. Ein Produkt verkaufen, ohne es weiter zu betreiben, erfüllt die Definition nicht. Ein Helpdesk, der nur Passwörter zurücksetzt und die Systeme nicht administriert, erfüllt sie ebenfalls nicht.

§28 BSIG (Deutschland), Anlage 1 Sektor Digitale Infrastruktur

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.

§28 BSIG zusammen mit Anlage 1 BSIG benennt Anbieter von verwalteten Diensten (MSP) und Anbieter von verwalteten Sicherheitsdiensten (MSSP) ausdrücklich im Sektor Digitale Infrastruktur, der NIS-2-Anhang I Sektor 9 entspricht. Die sektorspezifische FAQ des BSI liefert die nützliche Klarstellung: reines Webhosting macht keinen MSP, eine einmalige Projektabwicklung macht keinen MSP. Entscheidend ist die laufende aktive Verwaltung.

Drei Fragen zur Klärung
Drei Tests der Reihe nach. Dienst zuerst, Größe zweitens, MSP gegen MSSP drittens. Die ersten beiden entscheiden, ob NIS 2 gilt. Der dritte entscheidet, in welcher Unterkategorie Sie sitzen.
Dienst

Betreiben Sie Kunden-IT aktiv?

Artikel 6 Nummer 39 listet die zählenden Verben: Installation, Verwaltung, Betrieb, Wartung, aktive Verwaltung. Vor Ort beim Kunden oder remote. Die Kundenbeziehung muss laufend sein, nicht einmalig. Reines Webhosting ohne Administration ist draußen. Lizenzverkauf ohne Weiterbetrieb ist draußen. Managed Firewall, Patchen von Kundenservern, Betrieb des Microsoft-365-Tenants beim Kunden, Endpoint-Verwaltung aus der Ferne: alles drin.

Größe

Sind Sie mittleres Unternehmen oder größer?

Artikel 2 Absatz 1 in Verbindung mit der Empfehlung 2003/361/EG: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme. Anwenden auf die juristische Person. Artikel 2 Absatz 2 Buchstabe g listet enge Sektoren, in denen die Größe keine Rolle spielt, aber MSP sind nicht darunter. Die Ausnahme erfasst DNS-Diensteanbieter, TLD-Namenregister, qualifizierte Vertrauensdiensteanbieter und einige weitere Typen digitaler Infrastruktur. Ein kleiner MSP unter der Schwelle fällt nicht in den Anwendungsbereich.

MSP gegen MSSP

Erbringen Sie zusätzlich Sicherheitsdienste?

Artikel 6 Nummer 40 definiert den MSSP als MSP, der Tätigkeiten in Bezug auf das Cybersicherheitsrisikomanagement durchführt oder dabei unterstützt. SOC, Managed Detection and Response, Penetrationstests mit laufender Unterstützung der Behebung, Schwachstellenmanagement als Dienst: das sind MSSP-Tätigkeiten. Ein allgemeines IT-Haus, das Server und Endgeräte betreibt, ist MSP. Ein Haus, das oben den Sicherheitsstack mitbetreibt, ist beides. Anhang I behandelt beide standardmäßig als wichtige Einrichtung nach §28 Absatz 2 BSIG.

Zwei Grundsätze, die die meisten Grenzfälle entscheiden
Beide folgen unmittelbar aus dem Wortlaut von Artikel 6 Nummer 39. Beide entscheiden Fälle, die an der Oberfläche unklar wirken.

Managed ist eine breite Verbenliste, kein Marketingbegriff

Manche Einrichtungen nennen sich nicht MSP und erfüllen die Definition trotzdem. Andere nennen sich MSP und erfüllen sie nicht. Maßgeblich ist die Verbenliste in Artikel 6 Nummer 39: Installation, Verwaltung, Betrieb, Wartung, aktive Verwaltung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder Systemen für andere. Wer diese Verben laufend ausführt, ist MSP unter NIS 2, unabhängig davon, was auf der Website steht.

Eigene interne IT macht keinen MSP

IT für sich selbst zu betreiben ist kein Managed Service. Der Kunde muss eine andere Partei sein. Interne IT-Abteilungen, die ihren eigenen Arbeitgeber bedienen, sind als MSP nicht im Anwendungsbereich. Eine separate Servicegesellschaft im Konzern, die IT für die Schwestern betreibt, ist ein anderer Fall und fällt meist hinein, weil die Schwestern rechtlich getrennte Parteien sind. Dazu gibt es die eigene Konzern-IT-Seite.

Wie nationale Aufsichten das handhaben
Die MSP-Definition steht in Artikel 6 Nummer 39 und ist EU-Recht, also in jedem Mitgliedstaat gleich. Unterschiedlich sind die Anlaufstelle für die Registrierung und wie streng die sektorspezifische Auslegung gelesen wird.
Deutschland

BSI / §28 BSIG und Anlage 1

Das BSI ist in Deutschland die Cyberaufsicht für MSP. Anlage 1 BSIG listet Anbieter von verwalteten Diensten und Anbieter von verwalteten Sicherheitsdiensten im Sektor Digitale Infrastruktur, das entspricht NIS-2-Anhang I Sektor 9. Die sektorspezifische FAQ des BSI liefert die praktisch nützlichste Auslegung: reines Webhosting ist kein MSP, ein einmaliges Projekt ist kein MSP, laufende aktive Verwaltung schon. Über das Registrierungsportal nach §33 BSIG melden sich MSP oberhalb der Größenschwelle an.

EU-weit

ENISA Technical Implementation Guidance

Die TIG der ENISA behandelt MSP- und MSSP-Tätigkeiten im Kapitel zu Anhang I Sektor 9 und ordnet die Artikel-21-Maßnahmen auf den Betrieb eines typischen MSP zu. Die Mapping-Tabelle führt das auf ISO 27001, NIST CSF 2.0 und ETSI 319 401 zurück, sodass MSP mit bestehendem ISMS oder ETSI-Betrieb den Großteil der Arbeit wiederverwenden können.

Andere Mitgliedstaaten

MSP in NL, AT, BE und Rest-EU

Artikel 6 der Richtlinie ist eine einheitliche Definitionsliste für die gesamte EU. Andere Umsetzungen übernehmen den Wortlaut: Österreich über NISG, Niederlande über Cyberbeveiligingswet, Belgien über NIS2-Wet. Ein MSP, der grenzüberschreitend Kunden bedient, fällt überall dort in den Anwendungsbereich, wo er eine Niederlassung hat, und meldet sich in jedem Mitgliedstaat an, in dem er den Dienst erbringt. Die inhaltliche Definition ändert sich zwischen den Ländern nicht.

Drei Fehlannahmen, die uns wöchentlich begegnen
Alle drei tauchen in Gesprächen mit MSP auf, die ihre Scope-Frage klären wollen. Alle drei sind falsch.

  • Wir bearbeiten nur Tickets, wir verwalten die Kundensysteme nicht wirklich.

    Wenn die Tickets Installation, Konfiguration, Patches oder Betrieb von Kundensystemen laufend betreffen, ist das aktive Verwaltung nach Artikel 6 Nummer 39. Reaktiv heißt nicht außerhalb des Anwendungsbereichs. Ein Helpdesk, der nur Passwörter zurücksetzt und die Systeme nicht anfasst, ist eine enge Ausnahme. Ein Helpdesk, der Windows patcht, Dienste neu startet oder Endpoint-Konfiguration ausrollt, erbringt Managed Services.

  • Wir sind zu klein, aber die Ausnahme zieht uns trotzdem rein.

    Artikel 2 Absatz 2 Buchstabe g zieht kleine MSP nicht unabhängig von der Größe rein. Die Ausnahme erfasst DNS-Diensteanbieter, TLD-Namenregister, qualifizierte Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste sowie einige weitere Typen digitaler Infrastruktur. MSP stehen nicht auf dieser Liste. Ein kleiner MSP unter der Größenschwelle (unter 50 Beschäftigte und unter den Umsatz- und Bilanzschwellen) fällt nicht in den Anwendungsbereich von NIS 2 selbst. Kundenverträge können trotzdem verlangen, dass Sie Artikel-21-Maßnahmen nachweisen, über die Lieferkettenklausel.

  • Wir bedienen nur den eigenen Konzern, also sind wir interne IT.

    Wenn die bedienten Einrichtungen rechtlich getrennte Gesellschaften sind, auch innerhalb desselben Konzerns, sind das Dienste für andere im Sinne von Artikel 6 Nummer 39. Eine zentrale IT-Service-GmbH, die Infrastruktur für die Schwester-GmbHs betreibt, ist in der NIS-2-Lesart ein MSP. Die eigene Konzern-IT-Seite arbeitet diesen Fall im Detail durch.

Wie das in der Praxis aussieht

Ein typischer Mittelstands-MSP mit 70 Beschäftigten, rund 80 KMU-Kunden und einem Servicemix aus Endpoint-Management, Microsoft-365-Administration, Managed Firewalls und Patchen von Kundenservern sitzt eindeutig im Anwendungsbereich von NIS 2. Anhang I Sektor 9 erfasst die Tätigkeit. Artikel 6 Nummer 39 erfasst die Verben. Der Größentest ist bei 70 Beschäftigten klar erfüllt. Die Standardklassifikation nach §28 Absatz 2 BSIG ist wichtige Einrichtung.

Das Risikoregister nach §30 BSIG muss die Verwaltungsinfrastruktur abdecken, die Kundensysteme berührt: RMM-Werkzeuge, Sprungserver, gegebenenfalls der SOC-Stack, der Stack für privilegierten Zugriff. Die Meldekaskade nach §32 BSIG greift, wenn ein Vorfall die eigene Infrastruktur trifft oder mittelbar die verwalteten Kunden. Die Registrierung nach §33 BSIG ist eine Meldung beim BSI für die gesamte juristische Person. Die Kundenverträge brauchen dann Klauseln nach Artikel 21 Absatz 2 Buchstabe d, die auf dieselben Maßnahmen verweisen. Hier trifft Lieferketten-Compliance auf MSP-Compliance.

Wie wir das in der Plattform abbilden

Der Anwendbarkeits-Check führt MSP gezielt durch den Fall in Anhang I Sektor 9. Sie haken die Service-Verben ab, die Sie laufend erbringen, die Plattform wendet den Größentest an und zeigt, in welcher §28-BSIG-Kategorie Sie landen. Wenn Sie zusätzlich Sicherheitsdienste betreiben, bekommen Sie den MSSP-Zweig parallel angezeigt, ohne sich für eine Seite entscheiden zu müssen.

Das Lieferanten-Portal bedient die andere Vertragsseite. Kunden, die Managed Services bei Ihnen kaufen, bekommen einen strukturierten Fragebogen und eine veröffentlichte Übersicht Ihrer Artikel-21-Maßnahmen. Ein Nachweis deckt alle Vertragsklauseln, statt für jeden Kunden einzelne PDF-Pakete zu verschicken.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 9 (IKT-Dienstleistungsmanagement B2B) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 6 Nummer 39 (Definition Managed Service Provider) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 6 Nummer 40 (Definition Managed Security Service Provider) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2 Absatz 1 und Absatz 2 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Empfehlung 2003/361/EG zur Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen
  • BSIG, §28 und Anlage 1 Sektor Digitale Infrastruktur, in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
  • Sektorspezifische FAQ des BSI zu Anlage 1 Nr. 6.1.10 (Managed Services Provider) — bsi.bund.de
MSP-Anwendbarkeits-Check starten
Verben aus Artikel 6 Nummer 39 gegen Ihr tatsächliches Leistungsportfolio durchgehen. Eine Antwort für die gesamte juristische Person, MSP- und MSSP-Zweig parallel. Kostenlos, Open Source, kein Lock-in.
Anwendbarkeits-Check öffnen