Bin ich Rechenzentrumsanbieter nach NIS 2?
NIS 2 listet Rechenzentrumsdienste in Anhang I Sektor 8 (Digitale Infrastruktur). Art. 6 Nr. 31 fasst die Definition weit und schließt Strom und Kühlung mit ein. Über die Anwendbarkeit entscheidet der reguläre Größentest aus Art. 2 Abs. 1 in Verbindung mit der Empfehlung 2003/361/EG. Deutschland setzt das in §28 BSIG um. Die KRITIS-Verordnung (3,5 MW IT-Anschlussleistung) ist ein eigenständiger nationaler Aufsatz, kein NIS 2-Einstieg.
Die Kurzfassung
Wer einen Rechenzentrumsdienst an Dritte verkauft, fällt in den Anwendungsbereich, sobald die übliche NIS 2-Größenschwelle erreicht ist. Anhang I Sektor 8 nennt Anbieter von Rechenzentrumsdiensten direkt unter Digitale Infrastruktur. Art. 6 Nr. 31 beschreibt, was als Dienst gilt: die IT- und Netzwerktechnik plus die unterstützende Strom- und Klimainfrastruktur. Das Gebäude, die USV, die Kälteanlagen und das Notstromaggregat sind Teil des Dienstes, nicht etwas daneben.
Der Größentest ist der reguläre NIS 2-Test. Art. 2 Abs. 1 der Richtlinie verweist auf die Empfehlung 2003/361/EG: mittlere Unternehmen (ab 50 Beschäftigten oder ab 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme) fallen unter das Regime als wichtige Einrichtungen, große Unternehmen als besonders wichtige Einrichtungen. Eine größenunabhängige Aufnahme wie bei Telekommunikation oder DNS gibt es für Rechenzentren nicht.
Deutschland setzt das in §28 BSIG um. Die Schwelle der KRITIS-Verordnung (3,5 MW IT-Anschlussleistung) ist ein eigenständiger deutscher Aufsatz, der entscheidet, ob ein Rechenzentrum zusätzlich KRITIS ist, mit zusätzlichen Pflichten. Sie entscheidet nicht, ob NIS 2 greift. Die Durchführungsverordnung (EU) 2024/2690 listet Anbieter von Rechenzentrumsdiensten namentlich im Anhang, das heißt Teile der Verordnung binden Rechenzentren unmittelbar, ohne weitere nationale Umsetzung.
NIS 2-Richtlinie (2022/2555), Anhang I Sektor 8 und Art. 6 Nr. 31
'Rechenzentrumsdienst' bezeichnet einen Dienst, der Strukturen oder Gruppen von Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von Informationstechnik- und Netzwerkausrüstung umfasst, die Datenspeicher-, Datenverarbeitungs- und Datenübertragungsdienste erbringt, zusammen mit allen Einrichtungen und Infrastrukturen für die Stromverteilung und die Umgebungssteuerung.
Beide Stellen gehören zusammen gelesen. Anhang I Sektor 8 nennt Anbieter von Rechenzentrumsdiensten als Digitale Infrastruktur. Art. 6 Nr. 31 stellt klar: Der Dienst ist nicht nur die IT-Schrankreihe. Stromverteilung und Umgebungssteuerung sind Teil der Legaldefinition. Genau das zieht die Gebäudetechnik (USV, Notstrom, Kühlung, Brandlöschung) in das NIS 2-Risikomanagement-Rahmenwerk hinein.
Durchführungsverordnung (EU) 2024/2690, Anhang
Diese Verordnung legt die technischen und methodischen Anforderungen an die in Art. 21 Abs. 2 der Richtlinie (EU) 2022/2555 genannten Maßnahmen für Anbieter von DNS-Diensten, TLD-Namensregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Inhalte-Bereitstellungsnetzen, verwaltete Dienstleister, verwaltete Sicherheitsdienstleister, Anbieter von Online-Marktplätzen, von Online-Suchmaschinen und von Plattformen für Dienste sozialer Netzwerke sowie für Vertrauensdiensteanbieter fest.
Anbieter von Rechenzentrumsdiensten sind im Anhang der Durchführungsverordnung namentlich gelistet. Damit binden die technischen Anforderungen aus der Verordnung (Asset Management, Zugriffssteuerung, Kryptografie, Lieferkette, Behandlung von Sicherheitsvorfällen) Rechenzentren unmittelbar. Für die Verordnungsschicht ist keine nationale Umsetzung erforderlich. Die Richtlinienschicht wird in Deutschland über §28 BSIG aktiviert.
§28 BSIG (Deutschland) und KRITIS-Verordnung
Anbieter von Rechenzentrumsdiensten gelten ab dem Schwellenwert für mittlere Unternehmen als wichtige Einrichtungen, ab dem Schwellenwert für große Unternehmen als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
§28 BSIG setzt die NIS 2-Pflichten für Rechenzentren um. Der Größentest aus Art. 2 Abs. 1 (50 Beschäftigte oder 10 Mio. EUR Umsatz) entscheidet über die Einstufung als wichtige oder besonders wichtige Einrichtung. Die KRITIS-Verordnung ist eine eigene deutsche Schicht mit der Schwelle 3,5 MW IT-Anschlussleistung für Rechenzentren. KRITIS legt zusätzliche Pflichten obendrauf, sie ist nicht die Eingangsbedingung für NIS 2. Ein Colocation-Betreiber mit 25 MW liegt in beiden Regimen. Ein Standort mit 200 Beschäftigten und 1 MW IT-Anschlussleistung liegt in NIS 2, aber nicht in KRITIS.
Wird ein Rechenzentrumsdienst angeboten?
Art. 6 Nr. 31 ist der Maßstab. Es geht um Strukturen für die zentrale Unterbringung, Verbindung und den Betrieb von IT- und Netzwerktechnik, zusammen mit der Strom- und Klimatechnik. Colocation, Hosting und dedizierte Hallen fallen darunter. IT-Last und Gebäudetechnik bilden rechtlich einen Dienst.
Wird die Größenschwelle erreicht?
Art. 2 Abs. 1 NIS 2 verweist auf die Empfehlung 2003/361/EG. Mittlere Unternehmen (ab 50 Beschäftigten oder ab 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme) fallen als wichtige Einrichtungen unter das Regime. Große Unternehmen (über 250 Beschäftigte oder über 50 Mio. EUR Umsatz) als besonders wichtige Einrichtungen. Eine größenunabhängige Ausnahme nach oben gibt es für Rechenzentren nicht.
Greift der deutsche KRITIS-Aufsatz?
Die KRITIS-Verordnung legt für Rechenzentren in Deutschland eine Schwelle von 3,5 MW IT-Anschlussleistung fest. Wer sie überschreitet, ist zusätzlich zu NIS 2 KRITIS, mit zusätzlichen Pflichten (Auditzyklus, sektorspezifische Mindeststandards). KRITIS ist nicht die NIS 2-Eingangsbedingung. Ein Colocation-Betreiber mit 1 MW und 200 Beschäftigten liegt in NIS 2, aber nicht in KRITIS.
Colocation, Hosting und dedizierte Häuser fallen alle darunter
Die Definition in Art. 6 Nr. 31 unterscheidet nicht nach Liefermodell. Ob Schränke vermietet werden (Colocation), Server (Managed Hosting) oder ein einzelmandantiger Standort für einen zahlenden Kunden betrieben wird, ist rechtlich derselbe Dienst: zentrale Unterbringung von IT- und Netzwerktechnik plus die unterstützende Strom- und Klimainfrastruktur. Die Pflichten knüpfen am Dienst an, nicht an der vertraglichen Verpackung.
Konzerneigene Rechenzentren sind kein Rechenzentrumsdienst
Wer ein Rechenzentrum ausschließlich für die eigene Unternehmensgruppe betreibt, erbringt keinen Rechenzentrumsdienst im Sinne von NIS 2. Es gibt keinen Dienst an Dritte. Der Standort kann über einen anderen Weg in den Anwendungsbereich fallen (die Gruppe selbst kann in einem anderen Sektor liegen, mit eigenen Assets), aber nicht über Anhang I Sektor 8 als Rechenzentrumsanbieter. Entscheidend ist, ob der Dienst verkauft wird.
BSI / §28 BSIG
Das BSI ist die zentrale NIS 2-Behörde. Registrierung, Risikomanagement-Rahmenwerk und Meldepflichten nach NIS 2 laufen über das BSI. §28 BSIG benennt Anbieter von Rechenzentrumsdiensten ab der Schwelle für mittlere Unternehmen als wichtige Einrichtungen, ab der Schwelle für große Unternehmen als besonders wichtige Einrichtungen.
BSI C5 und IT-Grundschutz
Das BSI pflegt auch die sektorrelevanten Grundlagen. Der C5-Katalog (Cloud Computing Compliance Criteria) deckt die Cloud- und Hosting-Seite ab. Die IT-Grundschutz-Bausteine INF.1 (Allgemeines Gebäude) und INF.2 (Rechenzentrum sowie Serverraum) sind die deutsche Referenz für die physischen und Umgebungs-Anforderungen, die Art. 6 Nr. 31 in den Dienst hineinzieht. Auditorinnen und Auditoren erwarten, dass diese Bausteine im Rahmenwerk nach der Durchführungsverordnung abgebildet sind.
ENISA
Die ENISA, die EU-Agentur für Cybersicherheit, koordiniert über die Mitgliedstaaten hinweg und veröffentlicht eine Technical Implementation Guidance zur Durchführungsverordnung (EU) 2024/2690. Anbieter von Rechenzentrumsdiensten sind im Anhang der Verordnung namentlich gelistet, das heißt Teile der Verordnung binden Rechenzentren unmittelbar, ohne weitere nationale Umsetzung.
Nationale Cybersicherheitsbehörden
Jeder Mitgliedstaat hat seine eigene NIS 2-Behörde: NCSC-NL in den Niederlanden, ANSSI in Frankreich, NCSC.AT in Österreich, ACN in Italien. Die Zeile aus Anhang I Sektor 8 und die Definition aus Art. 6 Nr. 31 sind EU-weit gleich, weil die Richtlinie einen gemeinsamen Boden setzt. Unterschiedlich sind: bei wem man sich registriert, welches Meldeformular man nutzt und ob das Land einen eigenen Aufsatz für kritische Infrastrukturen darüber legt (Deutschland: KRITIS-V, andere Länder mit eigenen Schwellen).
Wir betreiben einen Serverraum für die eigene Firma, also sind wir Rechenzentrumsanbieter.
Auf der Rechenzentrumsspur nicht. Art. 6 Nr. 31 beschreibt einen Dienst. Wenn die IT-Anlage nur für die eigene Unternehmensgruppe betrieben und nicht an Dritte verkauft wird, liegt kein Rechenzentrumsdienst im Sinne von NIS 2 vor. Die Gruppe selbst kann über einen eigenen Sektor (Fertigung, Energie, Abfall, Gesundheit) in NIS 2 liegen, aber die Zeile aus Anhang I Sektor 8 für Rechenzentren erfasst den hauseigenen Raum nicht.
Wir liegen deutlich unter den 3,5 MW der KRITIS-V, also gilt NIS 2 nicht.
KRITIS-V und NIS 2 sind zwei Regime mit zwei Schwellen. Die 3,5 MW IT-Anschlussleistung sind der deutsche KRITIS-Aufsatz. NIS 2 hat einen eigenen Größentest nach Art. 2 Abs. 1: mittleres Unternehmen ab 50 Beschäftigten oder 10 Mio. EUR Jahresumsatz und Jahresbilanzsumme. Ein Colocation-Betreiber mit 200 Beschäftigten und 1 MW IT-Anschlussleistung liegt in NIS 2, aber nicht in KRITIS. KRITIS-raus ist nicht NIS 2-raus.
Wir machen nur Colocation, die Server gehören dem Kunden, also erbringen wir keinen Rechenzentrumsdienst.
Colocation ist eines der Standard-Liefermodelle für den Dienst aus Art. 6 Nr. 31. Die Definition erfasst Strukturen für die zentrale Unterbringung von IT- und Netzwerktechnik plus die Strom- und Klimainfrastruktur. Wem die Schränke gehören, ist nicht entscheidend. Die Vermietung von Stellfläche, Strom und Kühlung ist der Dienst. Das Argument 'Kunde besitzt den Server' ändert die rechtliche Einordnung nicht.
Ein regionaler Colocation-Betreiber mit 60 Beschäftigten, zwei Hallen und etwa 2 MW IT-Anschlussleistung liegt klar in NIS 2 als wichtige Einrichtung. Anhang I Sektor 8 nennt den Sektor. Art. 6 Nr. 31 erfasst den Dienst Ende zu Ende, einschließlich der Gebäudetechnik. Der Größentest aus Art. 2 Abs. 1 ist überschritten. Die KRITIS-V-Schwelle von 3,5 MW ist nicht erreicht, der KRITIS-Aufsatz greift also nicht. Der Betreiber führt das volle NIS 2-Risikomanagement-Rahmenwerk, aber nicht den KRITIS-Auditzyklus.
Was Praktikerinnen und Praktiker tatsächlich tun: Das Risikoregister beginnt bei der Gebäudetechnik (Netzanschluss, USV-Stränge, Notstromaggregat mit Kraftstoff-Bevorratung, Kühlredundanz, Brandlöschung, Zutrittssteuerung) und legt die IT- und Netzwerktechnik (Core-Switching, Kundenkäfige, Out-of-Band-Management, Monitoring) darauf. Das Rahmenwerk nach §2 der Durchführungsverordnung läuft gegen dieses Gesamt-Inventar. Die Verhältnismäßigkeit aus Art. 21 Abs. 1 greift, also setzt ein Betreiber mit 60 Beschäftigten nicht auf der Tiefe einer Hyperscale-Region um. Die Stufung wird schriftlich begründet, am Risikobild ausgerichtet und von der Leitung unterzeichnet.
Die Anwendbarkeitsprüfung läuft die Rechenzentrumsspur Schritt für Schritt durch. Sie fragt, ob ein Dienst an Dritte verkauft wird, welches Liefermodell vorliegt (Colocation, Hosting, dediziert), wie groß das Unternehmen ist und wo es relativ zur 3,5 MW-Schwelle der KRITIS-V liegt. Das Ergebnis nennt die einschlägige Zeile aus Anhang I, die BSIG-Einstufung (wichtige oder besonders wichtige Einrichtung) und ob der KRITIS-Aufsatz zusätzlich greift.
Das Asset-Modul bildet die Gebäudetechnik (Netzanschluss, USV, Notstromaggregat, Kühlung, Brandlöschung, Zutritt) und die IT- und Netzwerktechnik auf einer Inventarliste ab. Das Rahmenwerk nach §2 der Durchführungsverordnung läuft gegen dieses Inventar, sodass dieselbe Asset-Liste sowohl die NIS 2-Spur als auch, ab 3,5 MW IT-Anschlussleistung, den KRITIS-Audit ohne Doppelpflege speist.
- Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 8 und Artikel 6 Nr. 31 Begriffsbestimmung Rechenzentrumsdienst — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2 Abs. 1 Größentest mit Verweis auf Empfehlung 2003/361/EG der Kommission — eur-lex.europa.eu/eli/reco/2003/361/oj
- Durchführungsverordnung (EU) 2024/2690, Anhang (Anbieter von Rechenzentrumsdiensten namentlich gelistet) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §28 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- BSI-Kritisverordnung (BSI-KritisV), Sektor Informationstechnik und Telekommunikation, Schwelle 3,5 MW IT-Anschlussleistung für Rechenzentren
- BSI IT-Grundschutz, Bausteine INF.1 (Allgemeines Gebäude) und INF.2 (Rechenzentrum sowie Serverraum); BSI C5 Cloud-Katalog — bsi.bund.de