NIS 2 mit Hauptsitz außerhalb der EU
NIS 2 folgt der Dienstleistung, nicht dem Briefkopf. Wenn Sie in einem betroffenen Sektor in die EU verkaufen, regelt Artikel 26 der Richtlinie, welcher Mitgliedstaat Sie beaufsichtigt und ob Sie einen benannten Vertreter innerhalb der Union brauchen.
Die Kurzfassung
Viele Gründer gehen davon aus, dass eine Muttergesellschaft in den USA, im Vereinigten Königreich oder in der Schweiz sie aus NIS 2 herausnimmt. So funktioniert die Richtlinie nicht. Artikel 26 NIS 2 knüpft die Zuständigkeit daran, wo die Dienstleistung angeboten wird und wo die Entscheidungen zum Cybersicherheitsrisikomanagement getroffen werden, nicht daran, wo das Unternehmen gegründet wurde.
Wenn Sie eine normale Sektoreinrichtung sind (Energie, Wasser, Verkehr, Fertigung, Lebensmittel, Gesundheit, Abfall, öffentliche Verwaltung und so weiter), folgt die Aufsicht den Niederlassungen, die Sie tatsächlich in der Union betreiben. Haben Sie eine deutsche Tochter, beaufsichtigt das BSI diese Tochter. Haben Sie Büros in drei Mitgliedstaaten, wird jedes vor Ort beaufsichtigt.
Wenn Sie in einem der in Artikel 26(3) genannten digitalen Sektoren tätig sind (DNS-Diensteanbieter, TLD-Registries, Cloud-Anbieter, Rechenzentrumsbetreiber, Content-Delivery-Networks, Managed Service Provider, Managed Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, Anbieter sozialer Netzwerke), gelten strengere Regeln. Eine einzige Hauptniederlassung beaufsichtigt Sie für die gesamte Union, und wenn Ihr Hauptsitz außerhalb der EU liegt, müssen Sie nach Artikel 26(4) einen Vertreter innerhalb der Union benennen.
Artikel 26(2) NIS 2 Richtlinie (2022/2555)
Für die Zwecke dieser Richtlinie gilt eine wesentliche oder wichtige Einrichtung als in dem Mitgliedstaat hauptniedergelassen, in dem die Entscheidungen über die Cybersicherheitsrisikomanagementmaßnahmen überwiegend getroffen werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, gilt die Hauptniederlassung als in dem Mitgliedstaat gelegen, in dem die Cybersicherheitsoperationen durchgeführt werden. Kann auch ein solcher Mitgliedstaat nicht bestimmt werden, gilt die Hauptniederlassung als in dem Mitgliedstaat gelegen, in dem die betroffene Einrichtung die Niederlassung mit der höchsten Beschäftigtenzahl in der Union hat.
Das ist die Kaskade, die festlegt, wer Sie beaufsichtigt, wenn mehrere Mitgliedstaaten Zuständigkeit beanspruchen könnten. Sie gilt für Einrichtungen in den in Artikel 26(3) genannten digitalen Sektoren. Cybersicherheitsentscheidungen zuerst, Cybersicherheitsoperationen an zweiter Stelle, Beschäftigtenzahl an dritter Stelle.
Artikel 26(4) NIS 2 Richtlinie (2022/2555)
Ist eine in Absatz 1 Buchstabe b genannte Einrichtung nicht in der Union niedergelassen, bietet aber Dienste innerhalb der Union an, so benennt sie einen Vertreter in der Union. Der Vertreter muss in einem der Mitgliedstaaten, in denen die Dienste angeboten werden, niedergelassen sein. Diese Einrichtung gilt als der Zuständigkeit des Mitgliedstaats unterworfen, in dem der Vertreter niedergelassen ist. Fehlt ein nach diesem Artikel benannter Vertreter in der Union, kann jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, gegen die Einrichtung wegen Verstoßes gegen diese Richtlinie rechtliche Schritte einleiten.
Das ist die Pflicht für Nicht-EU-Einrichtungen in den digitalen Sektoren des Artikels 26(3). Der Vertreter ist Ansprechpartner und verankert die Zuständigkeit. Artikel 27 ergänzt die Registrierungspflicht: Der Vertreter meldet die Einrichtung im Auftrag bei der ENISA-Registrierung an.
§28 BSIG (Deutschland)
Wesentliche und wichtige Einrichtungen unterliegen der Aufsicht des Bundesamtes, soweit sich aus Artikel 26 der Richtlinie (EU) 2022/2555 die Zuständigkeit der Bundesrepublik Deutschland ergibt.
Das BSIG spiegelt die Richtlinie: Das BSI beaufsichtigt Sie in Deutschland, wenn Artikel 26 NIS 2 die Zuständigkeit hierher legt. Es gibt keinen eigenen nationalen Zuständigkeitstest. Die Kaskade aus der Richtlinie ist der Test.
Allgemeine Regel: Zuständigkeit folgt der Niederlassung
Außerhalb der digitalen Sektoren werden Sie in jedem Mitgliedstaat beaufsichtigt, in dem Sie eine rechtliche Niederlassung haben. Ein US-Konzern mit einer deutschen GmbH und einer österreichischen GmbH wird für die deutsche Einheit vom BSI und für die österreichische von der zuständigen Behörde in Österreich beaufsichtigt. Die Kaskade in Artikel 26(2) löst nur die Konkurrenz zwischen Mitgliedstaaten für die in Artikel 26(3) erfassten digitalen Sektoren auf.
Sonderregel für digitale Sektoren
DNS-Diensteanbieter, TLD-Registries, Cloud-Dienste, Rechenzentrumsdienste, Content-Delivery-Networks, Managed Service Provider, Managed Security Service Provider, Online-Marktplätze, Online-Suchmaschinen und Plattformen sozialer Netzwerke haben eine Hauptniederlassung in der Union. Dieser eine Mitgliedstaat beaufsichtigt Sie für die gesamte EU. Die Kaskade in Artikel 26(2) entscheidet, welcher Mitgliedstaat das ist.
Vertreterpflicht für Anbieter aus Drittstaaten
Wenn Sie in einem der digitalen Sektoren nach Artikel 26(3) tätig sind und nicht in der Union niedergelassen sind, müssen Sie einen Vertreter innerhalb der Union benennen. Der Vertreter muss in einem Mitgliedstaat sitzen, in dem Sie den Dienst tatsächlich anbieten. Die Zuständigkeit folgt dann dem Vertreter. Ohne Vertreter kann jeder Mitgliedstaat, in dem Sie Kunden bedienen, rechtliche Schritte nach der Richtlinie einleiten.
Ein Aufsicht, nicht fünf
Für die digitalen Sektoren in Artikel 26(3) führt die Regel der Hauptniederlassung dazu, dass eine einzige Aufsicht für die gesamte Union zuständig ist. Das verhindert die Situation, in der ein Cloud-Anbieter mit Kunden in jedem Mitgliedstaat siebenundzwanzigmal für dieselben Kontrollen geprüft wird. Die Kaskade in Artikel 26(2) wählt die Aufsicht in einer vorhersehbaren Reihenfolge: Cybersicherheitsentscheidungen zuerst, Cybersicherheitsoperationen an zweiter Stelle, Beschäftigtenzahl in der Union an dritter Stelle.
Kein Ausweg über einen Hauptsitz im Ausland
Artikel 26(4) schließt die Lücke. Ein Anbieter aus einem Drittstaat in den erfassten digitalen Sektoren darf seine Dienste nicht in die Union anbieten, ohne einen benannten Vertreter innerhalb der Union zu haben. Fehlt dieser, kann jeder Mitgliedstaat, in dem der Dienst verkauft wird, rechtliche Schritte einleiten. Eine Gründung in den USA, im Vereinigten Königreich oder in der Schweiz nimmt Sie nicht aus dem Anwendungsbereich heraus, wenn der Dienst die Union berührt.
BSI / §28 und §33 BSIG
Das BSI ist die Aufsichtsbehörde für Einrichtungen, deren Hauptniederlassung oder deutsche Tochter die Zuständigkeit nach Deutschland legt. Die Registrierung läuft über das nationale Portal des BSI, das die ENISA-Registrierung nach Artikel 27 speist. Für Einrichtungen in den digitalen Sektoren mit Hauptniederlassung in Deutschland ist das BSI die einzige Anlaufstelle für die gesamte Union.
ENISA-Registrierung nach Artikel 27
Die ENISA betreibt die zentrale Registrierung für die in Artikel 27(2) genannten digitalen Sektoren: DNS-Anbieter, TLD-Registries, Cloud, Rechenzentren, Content-Delivery-Networks, Managed Service Provider, Managed Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, Plattformen sozialer Netzwerke. Die Mitgliedstaaten speisen die Daten ein. Diese Registrierung macht grenzüberschreitende Aufsicht praktisch handhabbar.
Nationale Umsetzungsgesetze
Jeder Mitgliedstaat hat ein Umsetzungsgesetz (Niederlande: Cyberbeveiligingswet, Österreich: NISG, Belgien: NIS2-Wet) und eine nationale zuständige Behörde. Die Kaskade nach Artikel 26 ist in der gesamten Union identisch, weil sie in der Richtlinie steht. Was sich unterscheidet, ist das Portal, die Sprache und die lokale Aufsicht, mit der Sie tatsächlich sprechen.
Wir sind ein US-Unternehmen, also gilt NIS 2 nicht für uns.
NIS 2 folgt der Dienstleistung in die Union, nicht dem Briefkopf. Wenn Sie in einem der in Artikel 26(3) genannten digitalen Sektoren tätig sind und den Dienst Kunden in der EU anbieten, verlangt Artikel 26(4) die Benennung eines Vertreters in der Union. Wenn Sie in einem anderen erfassten Sektor über eine EU-Tochter operieren, ist die Tochter selbst im Anwendungsbereich. Die Gründung der Mutter ist nicht der Maßstab.
Wir haben Büros in sechs Mitgliedstaaten, also registrieren wir uns sechsmal.
Für die digitalen Sektoren in Artikel 26(3) haben Sie eine Hauptniederlassung und eine Aufsicht für die gesamte Union. Die Kaskade in Artikel 26(2) wählt sie aus: wo Cybersicherheitsentscheidungen getroffen werden zuerst, wo Cybersicherheitsoperationen sitzen an zweiter Stelle, die EU-Niederlassung mit der höchsten Beschäftigtenzahl an dritter Stelle. Außerhalb dieser digitalen Sektoren registrieren Sie sich tatsächlich pro Mitgliedstaat mit Niederlassung, innerhalb nicht.
Wir sitzen in der Schweiz, also sind wir aus NIS 2 heraus, weil die Schweiz nicht in der EU ist.
Die Schweiz ist kein EU-Mitgliedstaat, aber die Richtlinie erfasst Schweizer Unternehmen, die in einem betroffenen Sektor in die Union verkaufen, trotzdem. Ein Schweizer MSP, der deutsche Kunden bedient, operiert entweder über eine EU-Tochter, die dann zur regulierten Einrichtung wird, oder muss für die digitalen Sektoren nach Artikel 26(3) einen Vertreter in der EU nach Artikel 26(4) benennen. Dieselbe Logik gilt für Anbieter aus dem Vereinigten Königreich, den USA und anderen Drittstaaten.
Das saubere Muster: Klären Sie zuerst, ob Ihr Sektor auf der Liste in Artikel 26(3) steht. Wenn ja, ist Ihre Aufgabe, eine Hauptniederlassung zu wählen, die Kaskade nach Artikel 26(2) schriftlich zu dokumentieren (Entscheidungen, Operationen, Beschäftigtenzahl) und entweder über das Portal dieses Mitgliedstaats zu registrieren oder, wenn Sie aus einem Drittstaat kommen, einen Vertreter zu benennen. Wenn nein, kartieren Sie Ihre EU-Niederlassungen und registrieren jede bei ihrer nationalen Behörde.
Das unsaubere Muster, das wir am häufigsten sehen: Mutterunternehmen wollen alle Cybersicherheitsentscheidungen am Hauptsitz außerhalb der Union halten und behaupten gleichzeitig, die EU-Tochter sei autonom. Die Kaskade in Artikel 26(2) interessiert sich nicht für Organigramme. Sie schaut, wo die Entscheidungen tatsächlich getroffen werden. Lautet die Antwort 'am Hauptsitz in Boston', bleibt die EU-Tochter über ihre eigene Niederlassung im Anwendungsbereich, und Einrichtungen in den digitalen Sektoren brauchen weiterhin den Vertreter nach Artikel 26(4). Der saubere Weg ist, zu entscheiden, wo in der Union die Entscheidungen sitzen, das zu dokumentieren und parallele Kontrollstrukturen zu beenden.
Wir bilden die Kaskade aus Artikel 26 als Teil des Anwendbarkeits- und Registrierungsprozesses ab. Die Plattform stellt die Fragen in der Reihenfolge der Richtlinie: welcher Sektor, in welchen Mitgliedstaaten Niederlassungen, wo Cybersicherheitsentscheidungen getroffen werden, wo Cybersicherheitsoperationen sitzen, EU-Beschäftigtenzahl. Das Ergebnis ist eine dokumentierte Hauptniederlassung mit einmal niedergeschriebener Begründung, nicht eine Herleitung in jedem Audit aufs Neue.
Für Konzerne aus Drittstaaten in den Sektoren nach Artikel 26(3) führt die Plattform den benannten Vertreter als eigene Einheit mit eigenen Kontaktdaten und Niederlassungsland. Die Registrierungsdaten nach Artikel 27 fließen aus demselben Datensatz, sodass nationale Portal-Meldung und ENISA-Registrierung aus einer Quelle gespeist werden statt aus einer parallelen Tabelle.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 26 und 27 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSI-Gesetz (BSIG), §28 und §33 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- Durchführungsverordnung (EU) 2024/2690 der Kommission (CIR) zu sektorspezifischen technischen und methodischen Anforderungen — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- ENISA-Registrierung nach Artikel 27(2) NIS 2 — enisa.europa.eu
- BSI Infopakete zu NIS 2 Anwendungsbereich und Registrierung — bsi.bund.de/dok/nis-2-infopakete