Art. 2 NIS 2 + Rec 2003/361/EG

Die NIS 2 Ausnahme fuer Kleinstunternehmen und Kleinunternehmen

Nach Artikel 2(1) NIS 2 gilt die Richtlinie nur fuer mittlere und groessere Einrichtungen. Das ist die Schlagzeile. Die Realitaet ist eine dreistufige Pruefung: die Groessendefinition aus der Empfehlung 2003/361/EG, die Regel fuer verbundene Unternehmen und die Sonderbestimmungen aus Artikel 2(2), die Kleinstunternehmen und kleine Einrichtungen wieder in den Anwendungsbereich holen.

Simon OrzelSimon Orzel·

Die Kurzfassung

NIS 2 setzt eine Groessenuntergrenze. Im Grundsatz gilt die Richtlinie nur fuer Einrichtungen, die nach der Empfehlung 2003/361/EG mindestens die Schwelle fuer mittlere Unternehmen erreichen: 50 Beschaeftigte oder mehr, oder Jahresumsatz ueber 10 Millionen Euro, oder Bilanzsumme ueber 10 Millionen Euro. Kleinstunternehmen und kleine Einrichtungen liegen darunter.

Klingt einfach. Ist es nicht. Die Empfehlung hat eigene Zaehlregeln. Artikel 3(3) im Anhang sagt: haelt eine Muttergesellschaft mehr als 50 Prozent der Stimmrechte an einer Tochter, werden Mitarbeiterzahl und Umsatz aggregiert. Eine kleine Tochter eines grossen Konzerns ist unter diesem Regime keine kleine Einrichtung.

Artikel 2(2) NIS 2 nennt dann Kategorien, die unabhaengig von der Groesse erfasst sind. Telekommunikation, qualifizierte Vertrauensdienste, DNS, TLD Registries, alleinige Anbieter eines wesentlichen Dienstes in einem Mitgliedstaat, Einrichtungen der oeffentlichen Verwaltung und einige weitere. Wer in eine dieser Kategorien faellt, dem hilft der Groessentest nicht. Die Ausnahme ist der Beginn der Pruefung, nicht das Ende.

Die rechtliche Grundlage
Drei Texte muss man zusammen lesen: die Groessenregel der NIS 2, die Empfehlung, die die Groessen definiert, und die NIS 2 Sonderbestimmungen, die kleinere Einrichtungen wieder einbeziehen.

Artikel 2(1) NIS 2 Richtlinie (2022/2555)

Diese Richtlinie gilt fuer oeffentliche oder private Einrichtungen einer der in Anhang I oder II genannten Arten, die als mittlere Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission gelten oder die Schwellenwerte fuer mittlere Unternehmen im Sinne von Absatz 1 jenes Artikels ueberschreiten und ihre Dienste innerhalb der Union erbringen oder ihre Taetigkeiten dort ausueben.

Das ist die Grundregel des Anwendungsbereichs. Zwei Filter in einem Satz: der Sektor muss in Anhang I oder II stehen, und die Einrichtung muss mindestens mittel sein nach Empfehlung 2003/361/EG. Unterhalb von mittel gilt die Richtlinie im Grundsatz nicht.

Artikel 2(2) und (3), Anhang Empfehlung 2003/361/EG

Die Groessenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschaeftigen und die entweder einen Jahresumsatz von hoechstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf hoechstens 43 Mio. EUR belaeuft. Innerhalb der KMU-Gruppe gilt als kleines Unternehmen ein Unternehmen, das weniger als 50 Personen beschaeftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht ueberschreitet. Innerhalb der KMU-Gruppe gilt als Kleinstunternehmen ein Unternehmen, das weniger als 10 Personen beschaeftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht ueberschreitet.

Die Empfehlung liefert die Zahlen. Kleinstunternehmen: weniger als 10 Beschaeftigte UND Umsatz oder Bilanz bis 2 Millionen Euro. Klein: weniger als 50 Beschaeftigte UND Umsatz oder Bilanz bis 10 Millionen Euro. Mittel: ab 50 Beschaeftigten bis 249 ODER Umsatz ueber 10 Millionen Euro. Um in einer Groessenklasse zu bleiben, muss man bei Beschaeftigten UND bei Umsatz oder Bilanz darunter liegen. Schon ein Wert darueber hebt einen in die naechste Klasse.

Artikel 2(2) NIS 2 (unabhaengig von der Groesse)

Unabhaengig von ihrer Groesse gilt diese Richtlinie fuer Einrichtungen einer der in Anhang I oder II genannten Arten, sofern: a) Dienste von Anbietern oeffentlicher elektronischer Kommunikationsnetze oder oeffentlich zugaenglicher elektronischer Kommunikationsdienste erbracht werden; b) Dienste von Vertrauensdiensteanbietern erbracht werden; c) es sich um Top-Level-Domain-Namen-Registries und Domain-Name-System-Diensteanbieter handelt; d) die Einrichtung in einem Mitgliedstaat der einzige Anbieter eines Dienstes ist, der fuer die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Taetigkeiten von wesentlicher Bedeutung ist; e) eine Stoerung des von der Einrichtung erbrachten Dienstes erhebliche Auswirkungen auf die oeffentliche Sicherheit, die oeffentliche Sicherheit oder die oeffentliche Gesundheit haben koennte; f) eine Stoerung des von der Einrichtung erbrachten Dienstes ein erhebliches Systemrisiko hervorrufen koennte, insbesondere fuer Sektoren, in denen eine solche Stoerung grenzueberschreitende Auswirkungen haben koennte; g) die Einrichtung aufgrund ihrer besonderen Bedeutung auf nationaler oder regionaler Ebene fuer den betreffenden Sektor oder die betreffende Art von Dienst oder fuer andere voneinander abhaengige Sektoren im Mitgliedstaat kritisch ist; h) es sich um eine Einrichtung der oeffentlichen Verwaltung handelt.

Acht Kategorien, die die Groesse ignorieren. Wer in eine davon faellt, dem hilft die Mittelschwelle nicht. Die Buchstaben d) bis g) sind nationale Entscheidungen: die nationale Behoerde entscheidet, ob ein Unternehmen einziger Anbieter, systemrelevant oder national bzw. regional kritisch ist. In Deutschland trifft diese Feststellung das BSI.

Die dreistufige Pruefung
Es ist nicht eine Pruefung. Es sind drei, in dieser Reihenfolge. Schritt eins ist die Groessendefinition. Schritt zwei ist die Regel fuer verbundene Unternehmen. Schritt drei sind die Sonderbestimmungen aus Artikel 2(2).
Schritt 1

Groessendefinition anwenden

Beschaeftigte zaehlen, Jahresumsatz und Bilanzsumme addieren. Um Kleinstunternehmen zu bleiben, sind weniger als 10 Beschaeftigte UND Umsatz oder Bilanz bei 2 Millionen Euro oder darunter erforderlich. Um klein zu bleiben, weniger als 50 Beschaeftigte UND Umsatz oder Bilanz bei 10 Millionen Euro oder darunter. Wird die Beschaeftigtenzahl ueberschritten, oder die finanzielle Schwelle, geht es eine Klasse hoch.

Schritt 2

Verbundene Unternehmen aggregieren

Artikel 3(3) im Anhang der Empfehlung 2003/361/EG sagt: haelt eine Muttergesellschaft mehr als 50 Prozent der Stimmrechte, werden Mitarbeiterzahl und Umsatz mit der eigenen Tochter aggregiert. Eine Tochter mit 30 Beschaeftigten in einem 5.000 Personen Konzern wird beim Groessentest wie Teil dieses Konzerns behandelt. Die meisten Toechter verlieren genau hier die Kleinunternehmen-Ausnahme.

Schritt 3

Sonderbestimmungen aus Artikel 2(2) pruefen

Auch wer Schritt eins und zwei besteht, kann ueber Artikel 2(2) NIS 2 hineingezogen werden. Telekommunikation, qualifizierte Vertrauensdienste, DNS, TLD Registries, alleiniger Anbieter eines wesentlichen Dienstes im Mitgliedstaat, oeffentliche Verwaltung. Nationale Behoerden koennen ein Unternehmen ueber Artikel 2(2)(g) auch als national oder regional kritisch einstufen. Trifft eines davon zu, ist die Groessenausnahme weg.

Zwei Regeln, die die Antwort veraendern
Zwei strukturelle Gedanken, die aus der Annahme 'wir sind zu klein' eine genauere Pruefung machen.

Die Groessenausnahme ist der Beginn der Pruefung, nicht das Ergebnis

Artikel 2(1) bringt einen nur durch Filter eins. Sektor in Anhang I oder II, dann mindestens mittel. Auch wer den Groessenschritt als ausgenommen passiert, muss Artikel 2(2) noch durchgehen. Eine kleine Firma kann im Anwendungsbereich sein, weil sie alleiniger DNS-Anbieter, qualifizierter Vertrauensdiensteanbieter oder als national kritisch eingestuft ist. Artikel 2(1) ohne Artikel 2(2) zu lesen, ist der haeufigste Scoping-Fehler, den wir sehen.

Die Regel fuer verbundene Unternehmen hebt die meisten Toechter aus der Ausnahme

Artikel 3(3) im Anhang der Empfehlung ist hart. Haelt die Mutter mehr als 50 Prozent der Stimmrechte, werden ihre Mitarbeiterzahl und ihr Umsatz hinzugezaehlt. Eine kleine Einrichtung in einem grossen Konzern ist nach diesem Regime fast nie klein. Mittelstaendler mit Holdingstruktur stellen regelmaessig fest, dass die Tochter, die sie fuer ausgenommen hielten, mitten in der Richtlinie sitzt.

Wie nationale Behoerden den Groessentest betreiben
Die Groessendefinition ist EU-weit. Wie der Test umgesetzt wird, unterscheidet sich zwischen den Mitgliedstaaten ein wenig.
Deutschland

BSI Betroffenheitspruefung

Das BSI bietet eine Online-Betroffenheitspruefung, die durch Sektor nach Anhang I oder II, Groesse nach Empfehlung 2003/361/EG und die Sonderbestimmungen aus Artikel 2(2) fuehrt. §28 BSIG setzt Artikel 2 um und ergaenzt nationale Spezifika: die Feststellung als alleiniger Anbieter oder als kritische Einrichtung liegt beim BSI. Das Ergebnis ist eine verbindliche Selbsteinstufung, die nach §33 BSIG registriert werden muss.

EU-weit

ENISA Scoping und Empfehlungsmaterial

ENISA veroeffentlicht Scoping-Material, das die Sektor- und Groessenfilter in derselben Reihenfolge geht wie die Richtlinie. Die Europaeische Kommission gibt zusaetzlich einen User Guide to the SME Definition heraus, der die Empfehlung im Detail erlaeutert, inklusive durchgerechneter Beispiele fuer verbundene und Partnerunternehmen. Beides ist Referenzmaterial, kein Recht, aber nationale Behoerden zitieren es.

Andere Mitgliedstaaten

Gleiche Richtlinie, andere Selbstregistrierungsmechanik

Jeder Mitgliedstaat setzt Artikel 2 nahezu wortgleich um, weil Groessen- und Sonderbestimmungen EU-Recht sind. Die Niederlande nutzen die Cyberbeveiligingswet und eine Online-Selbsteinstufung beim NCSC. Belgien nutzt Safeonweb beim CCB. Oesterreich hat das NISG mit portalgestuetzter Registrierung. Inhaltlich identisch. Unterschiedlich ist, bei welcher nationalen Behoerde registriert wird und in welcher Sprache das Portal spricht.

Drei Annahmen, die wir staendig sehen
Drei Annahmen, die eine offensichtlich falsche Scoping-Entscheidung in ein Vollzugsrisiko verwandeln. Alle drei kommen in echten Scoping-Gespraechen vor.

  • Wir sind ein Kleinstunternehmen, also gilt NIS 2 nicht fuer uns.

    Das ist nur Schritt eins. Artikel 2(2) muss trotzdem durchgegangen werden. Ein DNS-Anbieter mit neun Beschaeftigten ist im Anwendungsbereich. Ein qualifizierter Vertrauensdiensteanbieter mit sechs Beschaeftigten ist im Anwendungsbereich. Eine kleine Einrichtung, die das BSI als alleinigen Anbieter eines wesentlichen Dienstes in Deutschland einstuft, ist im Anwendungsbereich. Die Groessenklasse ist der erste Filter, nicht die endgueltige Antwort.

  • Wir haben unter 50 Beschaeftigte, also gelten wir als klein.

    Artikel 2(2) im Anhang der Empfehlung muss man genau lesen. Klein heisst weniger als 50 Beschaeftigte UND Umsatz oder Bilanz bei 10 Millionen Euro oder darunter. Wird eine der beiden Schwellen ueberschritten, ist man mittel. Eine Beratung mit 45 Personen und 12 Millionen Euro Umsatz ist nach der Empfehlung mittel, und damit gilt NIS 2, wenn der Sektor passt.

  • Unsere Mutter ist gross, aber wir arbeiten unabhaengig, deshalb zaehlen wir uns alleine.

    Artikel 3(3) im Anhang der Empfehlung ist strukturell, nicht verhaltensbezogen. Haelt die Mutter mehr als 50 Prozent der Stimmrechte, wird aggregiert. Operative Unabhaengigkeit aendert am Groessentest nichts. Der User Guide to the SME Definition der Europaeischen Kommission erklaert das mit durchgerechneten Beispielen. Die meisten Toechter verlieren die Groessenausnahme genau hier.

Wie Mittelstaendler die Pruefung in der Praxis fahren

Was wir in der Praxis sehen: ein 30-minuetiges Scoping-Gespraech geht zuerst durch Anhang I oder II, dann durch Beschaeftigte und Finanzkennzahlen, dann durch die Frage der verbundenen Unternehmen, dann durch Artikel 2(2). Die Reihenfolge ist wichtig. Wer direkt mit der Groesse einsteigt, wie es die meisten Berater praesentieren, uebersieht Scoping-Treffer, die da sind.

Ergebnis dokumentieren. Ein kurzes Scoping-Memo, das den Sektor nach Anhang I oder II nennt, Beschaeftigte und Umsatz auflistet, verbundene Unternehmen adressiert und Artikel 2(2) durchgeht, ist das Dokument, das man braucht, wenn eine nationale Behoerde spaeter nachfragt, warum man sich als nicht erfasst eingestuft hat. Wer erfasst ist, muss zusaetzlich nach Artikel 27 NIS 2 und der jeweiligen nationalen Vorschrift (in Deutschland: §33 BSIG) registrieren.

Wie wir das auf der Plattform abbilden

Unser kostenloser Anwendbarkeitscheck geht die drei Schritte in derselben Reihenfolge wie die Richtlinie. Sektor nach Anhang I oder II, dann der Groessentest nach Empfehlung mit Aggregation verbundener Unternehmen, dann die Sonderbestimmungen aus Artikel 2(2). Am Ende steht ein schriftliches Scoping-Ergebnis, das man speichern oder mit dem Anwalt teilen kann.

Faellt das Ergebnis auf 'erfasst', baut die Plattform den Pflichtenkatalog gegen Artikel 21 und die nationalen Meldekanaele auf, die zu treffen sind. Ist man nach Artikel 2(1) nicht erfasst, will aber den Nachweis dazu sauber dokumentiert haben, liefert die Ergebnisseite ein Memo mit allen drei Schritten und belastbaren Quellenangaben.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2 - eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, Anhang Artikel 2 und 3 - eur-lex.europa.eu/eli/reco/2003/361/oj
  • Europaeische Kommission, Benutzerleitfaden zur KMU-Definition (Amt fuer Veroeffentlichungen, aktuelle Ausgabe)
  • BSI-Gesetz (BSIG), §28 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstaerkungsgesetzes
  • BSI Betroffenheitspruefung und NIS 2 Infopakete - bsi.bund.de/dok/nis-2-infopakete
  • ENISA Scoping-Material zur NIS 2 und Technical Implementation Guidance zur CIR (EU) 2024/2690
Die dreistufige Scoping-Pruefung an einem Ort
Kostenloser Anwendbarkeitscheck, schriftliches Scoping-Memo und der vollstaendige Pflichtenkatalog, falls man erfasst ist. Kostenlos, Open Source, kein Lock-in.
Kostenlosen Anwendbarkeitscheck starten