Tochtergesellschaft und Holding unter NIS 2
Anwendungsbereich wird pro Rechtsträger nach Art. 2 NIS 2 geprüft. Aber der Größentest rechnet über die Empfehlung 2003/361/EG den gesamten Konzern zusammen.
Die kurze Version
NIS 2 prüft jeden Rechtsträger einzeln. Ihre Tochter wird nicht erfasst, nur weil die Mutter erfasst ist. Die Richtlinie gilt für Einrichtungen, die selbst eine Tätigkeit aus Anhang I oder II ausüben und selbst die Größenschwelle überschreiten.
Der Haken steckt im Größentest. Art. 6 Abs. 2 NIS 2 verweist auf die KMU-Definition in der Empfehlung 2003/361/EG. Diese rechnet 100 Prozent der Mitarbeiterzahl und Finanzkennzahlen jeder mehrheitlich kontrollierten Beteiligung in einer Summe zusammen.
Die richtige Frage lautet also nicht: ist unsere Mutter erfasst. Sie hat zwei Teile. Erstens: macht dieser konkrete Rechtsträger selbst etwas aus Anhang I oder II? Zweitens: kommen wir, wenn wir die Konzernkennzahlen dazurechnen, über die Schwelle für mittlere Unternehmen?
Art. 2 NIS 2 (Anwendungsbereich)
Diese Richtlinie gilt für öffentliche oder private Einrichtungen einer in Anhang I oder II genannten Art, die als mittlere Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG einzustufen sind oder die in Absatz 1 jenes Artikels vorgesehenen Obergrenzen für mittlere Unternehmen überschreiten, und die ihre Dienste in der Union erbringen oder ihre Tätigkeiten in der Union ausüben.
Der Anwendungsbereich knüpft an die Einrichtung an, die selbst die Tätigkeit aus Anhang I oder II ausübt. Art. 2 Abs. 2 und 3 listen Ausnahmen („unabhängig von der Größe"), die einzelne Einrichtungen auch unterhalb der KMU-Schwelle erfassen (DNS, TLD-Registries, qualifizierte Vertrauensdiensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze, alleinige Anbieter wesentlicher Dienste und weitere).
Empfehlung 2003/361/EG, Anhang Art. 3 (verbundene Unternehmen)
Verbundene Unternehmen sind Unternehmen, die in einer der folgenden Beziehungen zueinander stehen: (a) ein Unternehmen hält die Mehrheit der Stimmrechte der Anteilseigner oder Gesellschafter eines anderen Unternehmens; (b) ein Unternehmen ist berechtigt, die Mehrheit der Mitglieder des Verwaltungs-, Leitungs- oder Aufsichtsgremiums eines anderen Unternehmens zu bestellen oder abzuberufen. Zu den Daten des betreffenden Unternehmens werden 100 Prozent der Daten jedes mit ihm direkt oder indirekt verbundenen Unternehmens hinzugerechnet, sofern diese Daten nicht bereits durch die Konsolidierung im Jahresabschluss erfasst sind.
Auf diese Regel verweist Art. 6 Abs. 2 NIS 2. Eine Tochter mit 30 Personen, mehrheitlich gehalten von einer Mutter mit 400 Personen, wird für den Größentest als Teil eines Konzerns mit 430 Personen behandelt. Erwägungsgrund 16 lässt der nationalen Behörde Spielraum, die operative Unabhängigkeit anzurechnen. Der Regelfall ist aber: zusammenzählen.
§28 BSIG (Deutschland, Beispielumsetzung)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 1 oder Anlage 2 aufgeführten Einrichtungsart angehören und die in §28 BSIG genannten Schwellenwerte erreichen.
Das BSIG behält die Pro-Rechtsträger-Logik bei. Das BSI liest den Größentest über die Empfehlung 2003/361/EG und rechnet daher die Kennzahlen verbundener Unternehmen zusammen. Andere Mitgliedstaaten folgen derselben Empfehlung. Die Formulierung der Umsetzungsgesetze unterscheidet sich. Der Mechanismus nicht.
Liegt diese Einrichtung in Anhang I oder II?
Fragen Sie, ob diese konkrete Tochter selbst etwas tut, was in Anhang I (hohe Kritikalität) oder Anhang II (sonstige kritische Sektoren) von NIS 2 steht. Eine reine Holding, die nur Beteiligungen hält und Dividenden vereinnahmt, in der Regel nicht. Eine operative Tochter, die eine Kläranlage betreibt, ein Krankenhaus führt, MSP-Dienste anbietet oder eine Fertigungslinie betreibt, in der Regel schon.
Ist die Einrichtung allein schon groß genug?
Nehmen Sie die eigenen Beschäftigtenzahlen und Finanzkennzahlen der Einrichtung. Erreicht sie allein bereits die Schwelle für mittlere Unternehmen (50 oder mehr Beschäftigte, oder Umsatz über 10 Millionen Euro mit Bilanzsumme über 10 Millionen Euro), ist der Größentest erledigt. Sie müssen den Konzern nicht dazurechnen.
Konzernkennzahlen dazurechnen
Liegt die Einrichtung allein unterhalb der Schwelle, rechnen Sie 100 Prozent der Kennzahlen jeder mehrheitlich kontrollierten Beteiligung und der kontrollierenden Mutter nach 2003/361/EG Anhang Art. 3 hinzu. Überschreitet die Summe die Schwelle, erfüllt die Einrichtung den Größentest über den Konzern. Erwägungsgrund 16 lässt Sie vor der Behörde die Unabhängigkeit argumentieren. Das ist aber eine Ausnahme, die Sie nachweisen müssen, kein Plan, auf den Sie sich verlassen können.
Anwendungsbereich pro Rechtsträger (Art. 2 NIS 2)
Die Richtlinie kennt keinen Konzernanwendungsbereich. Sie gilt für jede Einrichtung, die selbst eine erfasste Tätigkeit ausübt. Der Status der Mutter, der Holding oder der Schwestergesellschaften überträgt sich nicht auf Ihre Einrichtung. Ihre Einrichtung ist nur erfasst, wenn sie selbst die Voraussetzungen erfüllt.
Größe wird nach 2003/361/EG zusammengezählt
Der Größentest folgt der KMU-Empfehlung. Sie rechnet Daten verbundener Unternehmen zu 100 Prozent zusammen. Eine kleine Tochter in einem großen Konzern zählt daher für den Größentest in der Regel wie ein mittleres oder großes Unternehmen, selbst wenn die eigene Belegschaft klein ist. Genau dieser Mechanismus zieht viele kleine Töchter in den Anwendungsbereich.
§28 BSIG und BSI-Anwendungsbereichshinweise
Deutschland setzt über §28 BSIG um. Die veröffentlichten BSI-Hinweise lesen den Größentest über die Empfehlung 2003/361/EG und rechnen die Kennzahlen verbundener Unternehmen zusammen. Töchter registrieren und melden selbst, sofern sie die Prüfung selbst bestehen. Die Holding registriert nicht in deren Namen.
ENISA und die KMU-Empfehlung
Die ENISA-Materialien zum Anwendungsbereich folgen der Richtlinie: pro Rechtsträger, Größe aggregiert nach 2003/361/EG. Eine Sammelregistrierung für Konzerne gibt es nicht. Die Ausnahme nach Erwägungsgrund 16 zur Unabhängigkeit existiert. Sie ist aber eine Ausnahme, die Sie nachweisen müssen, kein Planungsweg.
Beispiele NL, AT, FR
Das niederländische Cyberbeveiligingswet, die österreichische Neufassung des NISG und die französische Ordonnance Nr. 2024-1233 behalten die Pro-Rechtsträger-Logik bei und übernehmen die KMU-Empfehlung. Die Formulierungen unterscheiden sich. Die Aggregation verbundener Unternehmen nicht.
Die Mutter ist erfasst, also sind wir es auch.
Nein. Der Anwendungsbereich gilt pro Rechtsträger nach Art. 2 NIS 2. Die Einstufung der Mutter bindet die Tochter nicht. Ihre Tochter ist nur erfasst, wenn sie selbst eine Tätigkeit aus Anhang I oder II ausübt und selbst die Größenschwelle erreicht (gegebenenfalls über die Aggregation verbundener Unternehmen).
Wir bleiben raus, indem wir uns in kleinere Töchter aufteilen.
Nein. Die KMU-Empfehlung rechnet 100 Prozent der Kennzahlen verbundener Unternehmen hinzu. Eine 200-Personen-Einheit auf vier GmbHs mit je 50 Personen zu verteilen, die alle mehrheitlich derselben Mutter gehören, durchbricht den Größentest nicht. Die gesellschaftsrechtliche Trennung ist für die Berechnung nach 2003/361/EG unsichtbar.
Die Holding registriert und meldet für den ganzen Konzern.
Nein. Jeder erfasste Rechtsträger registriert sich selbst bei der zuständigen Behörde (in Deutschland über portal.bsi.bund.de) und meldet eigene Vorfälle nach Art. 23 NIS 2. Die Holding kann operativ koordinieren. Sie kann ihre Registrierung aber nicht an die Stelle der Pflichten der Töchter setzen.
In den Konzernen, die wir sehen, landet die Frage fast immer in Schritt 3. Die operative Tochter tut etwas aus Anhang I oder II. Allein ist sie klein. Im Konzern liegt sie über 50 Beschäftigten oder über 10 Millionen Euro Umsatz. Nach 2003/361/EG zieht sie das in den Anwendungsbereich.
Der Hebel ist Erwägungsgrund 16: die Unabhängigkeit. Ist eine Tochter wirklich selbstständig in ihrer Steuerung (eigenes Leitungsorgan, eigene Kundenverträge, eigene Entscheidungen, keine konzerninterne Kostenverteilung, die das Geschäftsmodell bestimmt), kann die nationale Behörde sie für den Größentest eigenständig behandeln. Schreiben Sie die Unabhängigkeit auf, bevor Sie sich darauf verlassen. Nicht erst danach.
Die Anwendbarkeitsprüfung führt durch die Sektorzugehörigkeit nach Anhang I und II für den konkreten Rechtsträger und danach durch den Größentest mit eingebauter Aggregation verbundener Unternehmen. Das Ergebnis ist eine schriftliche Anwendbarkeitsprüfung mit Sektor, Größenkennzahlen, eingerechneten verbundenen Unternehmen und finaler Einstufung (besonders wichtig, wichtig oder außerhalb des Anwendungsbereichs).
Bei Konzernen mit mehreren operativen Töchtern führt jede Einrichtung eine eigene Prüfung und, falls erfasst, ein eigenes Pflichtenregister. Die Plattform unterstützt einen eigenen Workspace pro Rechtsträger, sodass Registrierungen, Vorfallmeldungen und Freigaben der Geschäftsleitung dem richtigen Rechtsträger zugeordnet werden.
- NIS 2 Richtlinie (EU) 2022/2555, Art. 2 (Anwendungsbereich), Art. 6 (Begriffsbestimmungen), Erwägungsgrund 16 (verbundene Unternehmen und Unabhängigkeit) — EUR-Lex, eli/dir/2022/2555/oj
- Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003, Anhang Art. 2 (KMU-Definition) und Anhang Art. 3 (verbundene Unternehmen, 100-Prozent-Aggregation) — EUR-Lex, CELEX 32003H0361
- BSIG (Deutschland), §28 (Einstufung besonders wichtiger und wichtiger Einrichtungen) — gesetze-im-internet.de
- BSI-FAQ zum Anwendungsbereich (sektorspezifisch) — bsi.bund.de, NIS-2-FAQ-sektorspezifisch
- ENISA-Materialien zu NIS 2 Anwendungsbereich und KMU-Empfehlung — enisa.europa.eu