Artikel 2 und 3 der Richtlinie (EU) 2022/2555 regeln, wer unter NIS2 fällt — und sie tun es mechanisch. NIS2 wesentliche und wichtige Einrichtungen werden nicht nach Gefühl bestimmt: Eine Einrichtung ist erfasst, wenn sie in einem der beiden Anhänge steht und eine Größenschwelle überschreitet, oder wenn einer der Sonderfälle die Größenfrage vollständig aufhebt.
Das operative Risiko liegt in der Reihenfolge der Entdeckung. Unternehmen, die an NIS2 scheitern, scheitern selten zuerst an den Maßnahmen; sie scheitern am Anwendungsbereich — und erfahren aus einem Schreiben der Aufsichtsbehörde, dass eine Zeile in Anhang II oder eine nationale Benennung sie seit Monaten erfasste. Vier Tests, der Reihe nach durchgeführt und dokumentiert, liefern die Antwort, die eine Behörde akzeptiert — und Artikel 3 Absätze 3 und 4 macht aus dieser Antwort eine Registrierungspflicht mit einer Aktualisierungsfrist von zwei Wochen.
Test 1 — der Sektortest: 18 Sektoren in zwei Anhängen
Anhang I der Richtlinie nennt elf „Sektoren mit hoher Kritikalität": Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (Business-to-Business), öffentliche Verwaltung und Weltraum. Anhang II ergänzt sieben „sonstige kritische Sektoren": Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung. Achtzehn Sektoren insgesamt — aber die Sektorüberschrift ist nicht der Test.
Die Richtlinie gilt für „Einrichtungen einer in Anhang I oder II genannten Art". Die maßgebliche Einheit ist die im Anhang gelistete Einrichtungsart, nicht das Branchenetikett. Das verarbeitende Gewerbe etwa umfasst eine geschlossene Liste von Teilsektoren — Medizinprodukte, Datenverarbeitungsgeräte und elektronische Erzeugnisse, elektrische Ausrüstungen, Maschinenbau, Kraftwagen und sonstiger Fahrzeugbau. Digitale Anbieter umfasst genau drei Arten: Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerke. Ein Anbieter von Logistiksoftware steht in keiner davon; dasselbe Unternehmen kann stattdessen in Anhang I unter der Verwaltung von IKT-Diensten als Anbieter verwalteter Dienste auftauchen.
Der häufige Fehlermodus: die achtzehn Überschriften überfliegen und dort aufhören. Der Scoping-Vermerk zitiert die Anhangzeile wörtlich — Sektor, Teilsektor, Einrichtungsart — oder stellt Zeile für Zeile fest, dass keine zutrifft. Die NIS2-Selbsteinschätzung in 3 Fragen geht die Anhänge genau in dieser Reihenfolge durch.
Test 2 — die Größenkappungsregel: 50 Beschäftigte oder 10 Millionen Euro
Artikel 2 Absatz 1 wendet die Richtlinie auf Einrichtungsarten der Anhänge I und II an, die als mittlere Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten — oder deren Schwellenwerte überschreiten — und die ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben. Übersetzt: Eine Einrichtung ist ab 50 Beschäftigten erfasst, oder ab einem Jahresumsatz und einer Jahresbilanzsumme über 10 Millionen Euro.
Dieselbe Arithmetik setzt die obere Trennlinie. Einrichtungen des Anhangs I, die die Schwellenwerte für mittlere Unternehmen überschreiten — 250 Beschäftigte, oder mehr als 50 Millionen Euro Umsatz und 43 Millionen Euro Bilanzsumme —, sind wesentliche Einrichtungen nach Artikel 3 Absatz 1 Buchstabe a. Mittlere Einrichtungen des Anhangs I und erfasste Einrichtungen des Anhangs II jeder Größe fallen standardmäßig in die Kategorie der wichtigen Einrichtungen.
Zwei Fallen stecken in der Empfehlung. Beschäftigtenzahl, Umsatz und Bilanz werden einschließlich der Partnerunternehmen und verbundenen Unternehmen bewertet — eine 30-Personen-Tochter eines großen Konzerns kann die Schwelle allein über konsolidierte Zahlen überschreiten. Und die Zahlen bewegen sich: Eine Einrichtung, die im letzten abgeschlossenen Geschäftsjahr die 50 Beschäftigten überschritten hat, ist jetzt erfasst — nicht erst bei der nächsten Jahresprüfung.
Test 3 — erfasst unabhängig von der Größe: Artikel 2(2) bis 2(4)
Artikel 2 Absatz 2 hebt die Größenkappung für definierte Fälle auf. Buchstabe a erfasst drei Einrichtungsarten nach dem, was sie sind: Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste, Vertrauensdiensteanbieter sowie Namenregister der Domäne oberster Stufe zusammen mit DNS-Diensteanbietern. Die Buchstaben b bis e erfassen Einrichtungen, die ein Mitgliedstaat einzeln benennt — den einzigen Anbieter eines wesentlichen Dienstes, eine Einrichtung, deren Störung die öffentliche Sicherheit, Ordnung oder Gesundheit erheblich beeinträchtigen würde, eine Quelle systemischen, grenzüberschreitenden Risikos oder eine Einrichtung von spezifischer nationaler oder regionaler Bedeutung. Buchstabe f ergänzt Einrichtungen der öffentlichen Verwaltung der Zentralregierung.
Absatz 3 erstreckt die Richtlinie auf jede Einrichtung, die nach der Richtlinie (EU) 2022/2557 — der Richtlinie über die Resilienz kritischer Einrichtungen — als kritisch ermittelt wurde. Absatz 4 ergänzt Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, wiederum ohne Größenuntergrenze.
Die Richtlinie fragt nicht, ob sich ein Unternehmen kritisch fühlt. Sie fragt, ob es in einem Anhang steht, eine Schwelle überschreitet oder von einer Behörde benannt wurde — in dieser Reihenfolge.
Die praktische Konsequenz: Ein DNS-Anbieter mit fünf Beschäftigten ist erfasst, und ein Benennungsschreiben nach den Buchstaben b bis e schlägt jede Größenberechnung in der Akte. Benennungen kommen über die nationalen Umsetzungsgesetze — deshalb verfolgt die Scoping-Akte, wo die vier großen Märkte bei der NIS2-Umsetzung stehen: Das nationale Gesetz, nicht die Richtlinie, bestimmt, wer das Schreiben unterzeichnet.
Test 4 — wesentlich oder wichtig: Was sich zwischen den Regimen ändert
Artikel 3 Absatz 1 listet die wesentlichen Einrichtungen: große Einrichtungen des Anhangs I; qualifizierte Vertrauensdiensteanbieter, Register der Domäne oberster Stufe und DNS-Anbieter unabhängig von der Größe; mittlere Anbieter öffentlicher elektronischer Kommunikation; Einrichtungen der Zentralregierung; von einem Mitgliedstaat nach Artikel 2 Absatz 2 Buchstaben b bis e benannte Einrichtungen; und nach der Richtlinie 2022/2557 als kritisch ermittelte Einrichtungen. Artikel 3 Absatz 2 macht jede andere erfasste Einrichtung zu einer wichtigen Einrichtung. Die materiellen Pflichten sind identisch — dieselben Maßnahmen des Artikels 21, dieselbe Meldeuhr bei Vorfällen, dieselben Pflichten des Leitungsorgans nach Artikel 20 der Richtlinie.
Was sich ändert, ist die Exposition. Wesentliche Einrichtungen unterliegen der Ex-ante-Aufsicht nach Artikel 32: Audits, Vor-Ort-Kontrollen und Auskunftsverlangen ohne erforderlichen Verdacht. Wichtige Einrichtungen unterliegen der Ex-post-Aufsicht nach Artikel 33 — die Behörde handelt, wenn ihr Nachweise oder Anhaltspunkte für einen Verstoß vorliegen. Die Bußgeldobergrenzen divergieren in derselben Weise: mindestens 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen nach Artikel 34 Absatz 4; mindestens 7 Millionen oder 1,4 % nach Absatz 5 für wichtige. Wie nationale Behörden dieses NIS2-Bußgeld berechnen, ist eine Arithmetik, die man vor der Unterzeichnung des Einstufungsvermerks lesen sollte.
Die Kategorie landet außerdem in einem Register. Artikel 3 Absatz 3 verpflichtete die Mitgliedstaaten, bis zum 17. April 2025 eine Liste der wesentlichen und wichtigen Einrichtungen zu erstellen, die mindestens alle zwei Jahre überprüft wird. Absatz 4 legt die Last auf die Einrichtung: Name, Anschrift und aktuelle Kontaktdaten — einschließlich E-Mail-Adressen, IP-Adressbereichen und Telefonnummern —, der Sektor und Teilsektor nach Anhang I oder II sowie die Mitgliedstaaten, in denen erfasste Dienste erbracht werden. Jede Änderung ist unverzüglich zu melden, in jedem Fall binnen zwei Wochen.
Wie gute Umsetzung aussieht
Drei Artefakte schließen die Frage des Anwendungsbereichs in einer Form, die eine Aufsichtsbehörde lesen kann:
- Ein datierter Scoping-Vermerk — der die exakte Anhangzeile zitiert, Beschäftigtenzahl, Umsatz und Bilanzsumme zum Bewertungsstichtag festhält, die vier Tests der Reihe nach anwendet und auf wesentlich, wichtig oder außerhalb des Anwendungsbereichs schließt, unterzeichnet von Rechtsabteilung und CISO.
- Die Registrierungsbestätigung — die Eingangsbestätigung der nationalen Behörde nach Artikel 3 Absatz 4, abgelegt mit einem Änderungsprotokoll, das jede Aktualisierung innerhalb der Zwei-Wochen-Frist nachweist.
- Ein Vorstandsprotokoll, das die Einstufung festhält — das Regime, die aufsichtsrechtliche Konsequenz, die anwendbare Bußgeldobergrenze und die daraus folgende Billigungspflicht des Leitungsorgans.
Keines der drei erfordert einen Berater. Sie erfordern, dass die Antwort auf „Fällt das Unternehmen unter NIS2?" aufgeschrieben, datiert und abgelegt wird — bevor die Behörde fragt, wer sich hätte registrieren müssen.
Quellen
- Richtlinie (EU) 2022/2555, Artikel 2 und 3, Anhänge I und II.
- Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen, Artikel 6 (Ermittlung kritischer Einrichtungen).
- Empfehlung 2003/361/EG der Kommission betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen.
- ENISA — Leitlinien zum NIS2-Anwendungsbereich und zur Einstufung von Einrichtungen (namentlich referenziert).
