Hinweise zu NIS 2 Versaeumnissen
Die EU-Richtlinie 2019/1937 schuetzt Meldungen ueber Verstoesse im Bereich der Netzwerk- und Informationssicherheit. Das Hinweisgeberschutzgesetz (HinSchG) ist die deutsche Umsetzung. Diese Seite beschreibt den Rechtsrahmen und ist keine Rechtsberatung im Einzelfall.
Worum es geht
Hinweismeldungen sind ein eigener Rechtsweg neben der NIS 2 Vorfallsmeldung. Beschaeftigte, Auftragnehmer oder Bewerberinnen, die ein NIS 2 Versaeumnis melden, sind durch die EU-Richtlinie 2019/1937 geschuetzt. Die Richtlinie nennt die Sicherheit von Netzwerk- und Informationssystemen ausdruecklich in Anhang Teil I.B als geschuetzten Meldebereich.
In Deutschland setzt das Hinweisgeberschutzgesetz (HinSchG, in Kraft seit dem 2. Juli 2023) die Richtlinie um. Das Bundesamt fuer Justiz fuehrt die zentrale externe Meldestelle. Einrichtungen mit in der Regel mindestens 50 Beschaeftigten muessen nach Paragraf 12 HinSchG eine interne Meldestelle einrichten.
Eine Meldung an eine externe Stelle ersetzt nicht die eigene Vorfallsmeldung der Einrichtung nach Artikel 23 NIS 2 (Paragraf 32 BSIG). Beide Pflichten koennen durch dasselbe Ereignis ausgeloest werden und laufen jeweils auf eigener Uhr.
EU-Richtlinie 2019/1937, Anhang Teil I.B
Network and information systems security, as defined in Article 4, point (1), of Directive (EU) 2016/1148 of the European Parliament and of the Council.
Der Anhang zaehlt die Sachbereiche auf, in denen eine Meldung geschuetzt ist. Die Netzwerk- und Informationssicherheit steht in Teil I.B neben Verkehrssicherheit und Umweltschutz. NIS 2 (Richtlinie 2022/2555) loest die Richtlinie 2016/1148 ab; Meldungen ueber NIS 2 Versaeumnisse fallen damit in diesen Anwendungsbereich.
EU-Richtlinie 2019/1937, Artikel 4 (persoenlicher Anwendungsbereich)
This Directive shall apply to reporting persons working in the private or public sector who acquired information on breaches in a work-related context.
Der persoenliche Anwendungsbereich umfasst Beschaeftigte, Selbststaendige, Anteilseigner, Mitglieder von Verwaltungs-, Leitungs- oder Aufsichtsorganen, Freiwillige, bezahlte und unbezahlte Praktikanten, Auftragnehmer, Subunternehmer und Lieferanten. Auch Bewerberinnen und ehemalige Beschaeftigte sind erfasst. Anonyme Meldungen sind nach Paragraf 16 Absatz 1 HinSchG zulaessig; die Bearbeitung kann jedoch eingeschraenkt sein.
Paragraf 12 HinSchG (interne Meldestelle)
Beschaeftigungsgeber mit in der Regel mindestens 50 Beschaeftigten sind verpflichtet, eine Stelle einzurichten und zu betreiben, an die sich Beschaeftigte zur Abgabe von Meldungen nach diesem Gesetz wenden koennen.
Die Schwelle von 50 Beschaeftigten ist als Regelgroesse zu verstehen, nicht als taggenaue Zahl. Einrichtungen unter 50 koennen freiwillig eine interne Meldestelle einrichten; Einrichtungen ab 50 muessen. Das Bundesamt fuer Justiz betreibt die externe Stelle.
Was gemeldet werden kann
Paragraf 2 HinSchG zaehlt die geschuetzten Meldegegenstaende auf. Dazu zaehlen Verstoesse gegen EU-Recht, einschliesslich der Netzwerk- und Informationssicherheit. Eine Meldung ueber eine NIS 2 Pflicht, etwa fehlende Massnahmen nach Artikel 21 oder eine ausgebliebene Meldung nach Artikel 23, ist erfasst.
Intern zuerst, extern parallel
Interne Meldestelle nach Paragraf 12 HinSchG (ab 50 Beschaeftigten). Externe Stellen nach Paragraf 19 HinSchG: Bundesamt fuer Justiz als zentrale externe Stelle, dazu sektorale Behoerden. Die hinweisgebende Person kann waehlen; Erwaegungsgrund 33 der Richtlinie nennt eine Praeferenz fuer den internen Kanal, macht ihn aber nicht zur Voraussetzung.
Dokumentationspflicht
Paragraf 11 HinSchG: Meldungen werden in dauerhaft abrufbarer Form dokumentiert. Die Dokumentation wird drei Jahre nach Abschluss des Verfahrens geloescht; eine laengere Aufbewahrung ist zulaessig, soweit fuer Rechtsverfahren erforderlich. Personenbezogene Daten folgen den Grundsaetzen der DSGVO.
Vertraulichkeit der Identitaet
Paragraf 8 HinSchG: Die Identitaet der hinweisgebenden Person, der in der Meldung genannten Personen und sonstiger Dritter bleibt vertraulich. Eine Offenlegung ist nur in engen Ausnahmen zulaessig, etwa auf schriftliches Verlangen einer Strafverfolgungsbehoerde. Die Bearbeitenden muessen unabhaengig und frei von Interessenkonflikten sein.
Repressalienverbot
Paragraf 36 HinSchG verbietet Repressalien gegen die hinweisgebende Person. Dazu zaehlen Kuendigung, Herabstufung, Verweigerung von Weiterbildung, negative Leistungsbeurteilung und vergleichbare Massnahmen. Paragraf 36 Absatz 2 dreht die Beweislast: Erfaehrt eine Person nach einer Meldung einen Nachteil, wird vermutet, dass es sich um eine Repressalie handelt, solange der Arbeitgeber das Gegenteil nicht nachweist.
BSI als sektorale Behoerde
Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) ist nach Paragraf 61 BSIG zustaendige Aufsichtsbehoerde fuer NIS 2. Eine Meldung, die einer Einrichtung fehlende Massnahmen nach Artikel 21 oder eine ausgebliebene Registrierung nach Artikel 27 vorwirft, landet ueber das Routing der externen Stellen in aller Regel beim BSI, auch wenn sie zunaechst beim Bundesamt fuer Justiz eingeht.
Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit
Die BfDI ist die sektorale externe Meldestelle fuer Verstoesse gegen das Bundesdatenschutzrecht. NIS 2 und DSGVO ueberschneiden sich, wenn ein Vorfall personenbezogene Daten betrifft. Eine Meldung kann beide Rechtsgrundlagen nennen; die zustaendige Stelle leitet die einzelnen Teile an die jeweilige Behoerde weiter.
Bundesamt fuer Justiz als zentrale externe Stelle
Das Bundesamt fuer Justiz betreibt nach Paragraf 19 HinSchG die zentrale externe Meldestelle. Es ist die Voreinstellung, wenn keine sektorale Stelle greift, und leitet Meldungen an die jeweils zustaendige Aufsicht (BSI, BNetzA, BaFin, BfDI) weiter, sobald der Gegenstand dort hingehoert.
Eine Hinweismeldung an das BSI ersetzt unsere eigene Vorfallsmeldung nach Artikel 23.
Das stimmt nicht. Artikel 23 NIS 2 und Paragraf 32 BSIG legen die Meldepflicht auf die Einrichtung selbst. Ein Hinweis Dritter eroeffnet ein eigenes Aufsichtsverfahren. Die Fristen der Einrichtung (Fruehwarnung, 24 Stunden, 72 Stunden) laufen unabhaengig weiter.
Wir haben 60 Beschaeftigte, aber bisher hat niemand gemeldet, also brauchen wir keine Stelle.
Paragraf 12 HinSchG knuepft die Pflicht an die Beschaeftigtenzahl, nicht an eingegangene Meldungen. Paragraf 40 HinSchG sieht ein Bussgeld von bis zu 20.000 EUR vor, wenn die interne Meldestelle nicht betrieben wird. Bei 50 bis 249 Beschaeftigten gilt das Bussgeld seit dem 1. Dezember 2023.
Wir koennen die Person, die gemeldet hat, wegen schwacher Leistung trennen.
Paragraf 36 HinSchG vermutet eine Repressalie, sobald eine Meldung vorliegt. Die Beweislast liegt beim Arbeitgeber, einen davon unabhaengigen, dokumentierten Grund nachzuweisen. Personalentscheidungen ueber die hinweisgebende Person stehen nach der Meldung unter erhoehter Pruefung.
Nach einer Meldung ueber ein NIS 2 Versaeumnis laufen zwei Uhren parallel. Uhr eins ist die HinSchG Reaktionsfrist: Eingangsbestaetigung innerhalb von sieben Tagen nach Paragraf 17 Absatz 1 Nummer 1, Rueckmeldung an die hinweisgebende Person innerhalb von drei Monaten nach Paragraf 17 Absatz 1 Nummer 4. Uhr zwei ist die NIS 2 Meldepflicht, die der Inhalt der Meldung ausloest. Diese trifft die Einrichtung nach Artikel 23 und nicht die hinweisgebende Person.
Im Mittelstand bewaehrt sich folgender Aufbau: eine benannte fallbearbeitende Person in Compliance oder HR, eine zweite benannte Vertretung, ein schriftliches Aufnahmeformular, das den Sachverhalt aufnimmt ohne die Identitaet zu erzwingen, und ein schriftliches Protokoll mit Zeitstempel fuer jeden Schritt. Das Protokoll ist spaeter der einzige Nachweis, wenn ein Gericht oder eine Aufsicht den Ablauf rekonstruiert.
Hinweise gehoeren nicht in das NIS 2 Pflichtenregister selbst. Sie sind eine parallele Steuerungspflicht aus dem HinSchG, mit eigenem Kanal, eigener Aufbewahrung und eigener Repressalienregel.
Das Pflichtenregister beantwortet die Frage, welche NIS 2 Massnahmen die Einrichtung umgesetzt hat und wie das dokumentiert ist. Der Hinweiskanal beantwortet die Frage, wie die Einrichtung Hinweise auf Luecken in diesen Massnahmen entgegennimmt und bearbeitet. Beides sind eigenstaendige Nachweise, beides kann eine Aufsicht anfordern.
- Richtlinie (EU) 2019/1937 vom 23. Oktober 2019 zum Schutz von Personen, die Verstoesse gegen das Unionsrecht melden (ABl. L 305 vom 26.11.2019, S. 17). Anhang Teil I.B und Artikel 4.
- Hinweisgeberschutzgesetz (HinSchG) vom 31. Mai 2023, BGBl. 2023 I Nr. 140. Paragraf 2, 8, 11, 12, 16, 17, 19, 36, 40.
- Richtlinie (EU) 2022/2555 (NIS 2) vom 14. Dezember 2022, Artikel 21, 23, 27.
- BSI-Gesetz (BSIG), Paragraf 32, 33, 61, 65.
- Bundesamt fuer Justiz, externe Meldestelle nach Paragraf 19 HinSchG.