Konzern-IT als Managed Service Provider unter NIS 2
Wenn die zentrale IT eines Konzerns die Töchter versorgt, kann diese IT-Gesellschaft eigenständig unter NIS 2 fallen. Anhang I Sektor 9 (Verwaltung von IKT-Diensten, Business-to-Business) nennt MSP und MSSP. Artikel 6 Nummern 40 und 41 definieren sie. Deutsche Praktiker haben damit begonnen, das auf Konzernstrukturen anzuwenden.
Die Kurzfassung
Viele deutsche und europäische Konzerne bündeln ihren IT-Betrieb in einer zentralen Abteilung oder einer eigenen Servicegesellschaft, die Infrastruktur, Anwendungen und Sicherheit für den Rest des Konzerns betreibt. Die NIS-2-Frage lautet: Zählt diese IT-Gesellschaft selbst als Managed Service Provider (MSP), unabhängig davon, was Mutter oder Töchter tun?
Das ist wichtig, weil MSP und MSSP in Anhang I Sektor 9 der Richtlinie stehen (Verwaltung von IKT-Diensten, Business-to-Business). Wenn Sie dort als MSP oder MSSP sitzen und die Schwelle des mittleren Unternehmens erreichen, sind Sie eine wichtige Einrichtung. Aus eigenem Recht. Mit eigener Registrierung, eigenem Risikomanagement und eigener Meldepflicht. Dass Sie zu einem Konzern gehören, befreit Sie nicht von diesen Pflichten.
Die Seite arbeitet sich durch drei Ebenen. Erstens: Was sagt die Richtlinie in Anhang I Sektor 9 und in Artikel 6 Nummern 40 und 41 wirklich? Zweitens: Ein dreiteiliger Test, der zeigt, ob eine Konzern-IT-Gesellschaft in den Anwendungsbereich fällt. Drittens: Die deutsche Praktikerlesart und die Fehllesarten, die uns am häufigsten begegnen.
Anhang I Sektor 9 NIS-2-Richtlinie (2022/2555)
Verwaltung von IKT-Diensten (Business-to-Business): Anbieter verwalteter Dienste; Anbieter verwalteter Sicherheitsdienste.
Anhang I Sektor 9 ('Verwaltung von IKT-Diensten, Business-to-Business') nennt MSP und MSSP als Einrichtungstypen im Anwendungsbereich. Sie stehen in einem eigenen Sektor, getrennt von Anhang I Sektor 8 (Digitale Infrastruktur: Cloud, Rechenzentren, DNS, CDN, Vertrauensdienste).
Artikel 6 Nummer 40 und Nummer 41 NIS-2-Richtlinie
Managed Service Provider bezeichnet eine Einrichtung, die Dienste im Zusammenhang mit der Installation, Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, Netzen, Infrastrukturen, Anwendungen oder sonstigen Netz- und Informationssystemen mittels Unterstützung oder aktiver Verwaltung erbringt, entweder in den Räumlichkeiten der Kunden oder aus der Ferne. Managed Security Service Provider bezeichnet einen Managed Service Provider, der Tätigkeiten im Zusammenhang mit dem Cybersicherheitsrisikomanagement durchführt oder dabei Unterstützung leistet.
Artikel 6 Nummer 40 definiert den MSP. Artikel 6 Nummer 41 definiert den MSSP. Der Test ist, was die Einrichtung tut (Installation, Verwaltung, Betrieb, Wartung, aktive Verwaltung), nicht ob sie externe Kunden abrechnet.
Deutsche Praktikerlesart (Piltz Legal)
Gesellschaften, die ausschließlich den zentralen IT-Betrieb eines Konzerns erbringen, fallen typischerweise unter die MSP-Definition.
Piltz Legal hat die deutsche Umsetzung gelesen und kommt zu diesem Ergebnis: Zentrale IT-Servicegesellschaften, die Konzerntöchter versorgen, fallen unter die MSP-Definition. Die Gesetzesbegründung, die der Beitrag zitiert, weist in dieselbe Richtung: Dienste an rechtlich selbstständige Konzerngesellschaften sind verwaltete Dienste.
Eigene juristische Person
Ist die zentrale IT als eigene juristische Person organisiert (GmbH, AG oder das Pendant in anderen Mitgliedstaaten)? Wenn ja, wird sie unter NIS 2 separat bewertet. Wenn die IT nur eine interne Kostenstelle ohne eigene Rechtsform ist, läuft der Anwendungsbereich über die Muttergesellschaft.
Verwaltete Dienste an Dritte
Installiert, verwaltet, betreibt, wartet oder administriert die Einrichtung aktiv IKT-Produkte, Netze, Infrastrukturen, Anwendungen oder Systeme für andere Parteien? Tochtergesellschaften sind rechtlich vom IT-Dienstleister getrennt, auch innerhalb desselben Konzerns. Dienste an sie zählen als Dienste an Dritte nach Artikel 6 Nummer 40.
Größenschwelle erreicht
Erreicht die IT-Einheit die Schwelle des mittleren Unternehmens (50 oder mehr Beschäftigte, oder Jahresumsatz über 10 Millionen Euro bei Bilanzsumme über 10 Millionen Euro)? Achten Sie auf die Verbundenheitsregel der Empfehlung 2003/361/EG: Sie zählt Beschäftigte und Finanzkennzahlen über den gesamten Konzern. Eine IT-Gesellschaft mit 30 Beschäftigten in einem 400-Personen-Konzern wird auf Konzernebene gezählt.
Prüfung pro juristische Person
NIS 2 entscheidet den Anwendungsbereich für jede juristische Person einzeln. Wenn die Mutter im Anwendungsbereich liegt (etwa als Hersteller), zieht sie die IT-Tochter nicht automatisch mit hinein. Wenn die IT-Tochter im Anwendungsbereich liegt, zieht sie die Mutter nicht mit hinein. Jede Einrichtung registriert sich, betreibt Risikomanagement und meldet Vorfälle aus eigener Pflicht.
Funktion entscheidet, nicht Zweck
Artikel 6 Nummer 40 beschreibt, was die Einrichtung tut, nicht warum. Die Dienste müssen nicht kommerziell, nicht marktpreisig und nicht an externe Kunden gerichtet sein. Eine IT-Gesellschaft, die nur den eigenen Konzern versorgt, erbringt trotzdem verwaltete Dienste im Sinne der Definition. Was Sie tun, entscheidet über den Anwendungsbereich. Warum Sie es tun, nicht.
Piltz Legal Praktikerlesart
Die veröffentlichte Lesart von Piltz Legal: Deutsche Konzern-IT-Gesellschaften fallen typischerweise unter die MSP-Definition, wenn sie die zentrale IT für den Rest des Konzerns betreiben. Die Materialien zum NIS2-Umsetzungsgesetz weisen in dieselbe Richtung: Dienste an rechtlich selbstständige Konzerngesellschaften sind verwaltete Dienste im Sinne von Artikel 6 Nummer 40.
Artikel 6 ist EU-weit gleich
Artikel 6 der Richtlinie ist ein einheitlicher Definitionenkatalog, der jeden Mitgliedstaat bindet. Die nationalen Umsetzungen übernehmen den Wortlaut nahezu wörtlich. Die deutsche, niederländische, österreichische und belgische Umsetzung spiegeln Artikel 6 Nummern 40 und 41, sodass der dreiteilige Test überall dasselbe Ergebnis liefert.
Spiegel-Umsetzungen
Die Niederlande (Cyberbeveiligingswet), Österreich (NISG) und Belgien (NIS2-Wet) übernehmen die MSP- und MSSP-Definitionen in nationales Recht. Eine Konzern-IT-Gesellschaft, die grenzüberschreitend tätig ist, kann in mehreren Mitgliedstaaten gleichzeitig im Anwendungsbereich liegen und muss sich bei der jeweiligen nationalen Behörde getrennt registrieren.
Interne IT zählt nicht als MSP.
Das hängt davon ab, wie sie aufgestellt ist. Wenn die zentrale IT eine eigene juristische Person ist und andere, rechtlich selbstständige Konzerngesellschaften versorgt, sind das verwaltete Dienste an Dritte nach Artikel 6 Nummer 40. Eine reine interne Kostenstelle ohne eigene Rechtsform fällt nicht eigenständig in den Anwendungsbereich. Eine Service-GmbH im Konzern hingegen typischerweise schon.
Nur kommerzielle MSP mit externen Kunden sind erfasst.
Artikel 6 Nummer 40 beschreibt eine Funktion (Installation, Verwaltung, Betrieb, Wartung, aktive Verwaltung von IKT-Produkten, Netzen, Infrastrukturen, Anwendungen oder Systemen), keinen wirtschaftlichen Zweck. Captive-IT-Gesellschaften, die nur die eigenen Töchter versorgen, erfüllen die Definition, wenn sie diese Funktion erbringen. Die Piltz-Legal-Lesart und die Gesetzesbegründung sagen dasselbe.
Der Anwendungsbereich der Mutter erfasst die IT-Tochter automatisch.
NIS 2 betrachtet jede juristische Person einzeln. Die Mutter kann als Hersteller unter Anhang II in den Anwendungsbereich fallen, während die IT-Tochter unter Anhang I Sektor 9 als MSP fällt. Registrierung, Risikomanagement und Meldepflicht treffen jede Einheit getrennt. Nur für den Größentest wird der Konzern als Ganzes betrachtet.
Seit zwei Jahrzehnten bündeln deutsche Konzerne ihre IT in einer einzigen Servicegesellschaft. Klarerer Betrieb, bessere umsatzsteuerliche Behandlung, weniger Doppelstrukturen. NIS 2 kehrt diesen Anreiz teilweise um. Eine konsolidierte Konzern-IT-GmbH, die früher unter dem Radar der Regulatorik lag, kann jetzt eigenständig zur wichtigen Einrichtung werden, mit eigener Registrierung, eigenem Risikomanagement und eigener Meldelinie zum BSI.
Was das praktisch heißt: Strukturentscheidungen, die Sie aus steuerlichen oder operativen Gründen getroffen haben, brauchen einen zweiten Blick mit NIS 2 vor Augen. Fällt die IT-Einheit als MSP in den Anwendungsbereich, treffen sie über Artikel 21 Absatz 2 Buchstabe d auch die Lieferketten-Pflichten gegenüber ihren Konzernkunden. Diese Konzernkunden können ihrerseits unter Anhang I oder II fallen. Derselbe interne Vertrag steht dann von beiden Seiten unter NIS 2.
Die Anwendbarkeitsprüfung führt den dreiteiligen Test explizit durch: Juristische Person ja oder nein, Dienste an andere juristische Personen (innerhalb oder außerhalb des Konzerns), Größe einschließlich Verbundenheitsregel. Das Ergebnis geht in das Registrierungsmodul über, sodass sich die IT-Einheit dort getrennt registriert, wo nötig.
Das Lieferantenportal deckt die andere Vertragsseite ab. Töchter, die verwaltete Dienste von einer Schwester-IT-Gesellschaft beziehen, können den Lieferanten-Fragebogen gegen sie laufen lassen wie gegen jeden anderen Anbieter. Beide Vertragsseiten sind dann mit demselben Nachweis nach Artikel 21 Absatz 2 Buchstabe d dokumentiert.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 6 Nummern 40 und 41 sowie Anhang I Sektor 9 (Verwaltung von IKT-Diensten, B2B) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Piltz Legal, 'Konzern-IT-Gesellschaften unter der NIS 2-Richtlinie' — piltz.legal/news/konzern-it-gesellschaften-unter-der-nis-2-richtlinie
- BSIG (Umsetzung NIS 2 in Deutschland), §2 Nr. 26 (MSP-Definition) und §28 (Anwendungsbereich) — gesetze-im-internet.de
- Empfehlung 2003/361/EG der Kommission zur Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (Verbundenheitsregel) — eur-lex.europa.eu/eli/reco/2003/361/oj
- BSI Sektorspezifische FAQ zu NIS 2 — bsi.bund.de