von Nils Brinker
Die nationale Umsetzung der NIS-2-Richtlinie geht in der Bundesrepublik in die abschließende Phase. Nach der Veröffentlichung des finalen Referentenentwurfs des NIS2UmsuCG ist damit zu rechnen, dass sich das Kabinett in den nächsten Wochen dem Thema annehmen wird. Anlass genug, sich mit “Detailfragen” zu beschäftigen.
Für Unternehmen nicht unerheblich ist die Frage nach dem Anwendungsbereich und damit der eigenen Betroffenheit. Hierbei steckt der Teufel im Detail, weshalb dieser Beitrag die Frage erörtert, ob Konzern-IT – also IT, die in eine eigene Tochtergesellschaft ausgelagert ist – in den Anwendungsbereich fällt. So viel vorweg: im Prinzip schon, dennoch ist es durchaus vertretbar, die Betroffenheit zu verneinen. Was fehlt ist: Rechtssicherheit.
Ausweitung des Scopes und die Sache mit dem Beifang
Im Gegensatz zur NIS1 Richtlinie, wird der Anwendungsbereich durch NIS2 (wie auch durch die der nationalen Umsetzung durch das NIS2UmsuCG) erheblich erweitert. Technisch liegt dies insbesondere daran, dass statt sektorspezifischen Schwellenwerten nun (vereinfach dargestellt), sämtliche Unternehmen mit mehr als 50 Mitarbeiter:innen oder 10 Millionen Euro Jahresumsatz eines aufgelisteten Sektors, als wichtige oder wesentliche Unternehmen gelten (im Folgenden der Einfachheit halber KRITIS genannt). Die Festlegung des Anwendungsbereichs richtet sich demnach weniger nach abstrakten Kriterien, sondern besticht durch Listenartigkeit. Der Vorteil einer derartigen Definition des Anwendungsbereichs ist dabei zum einen der kleine Interpretationsspielraum, der jedoch im Zweifel zu, im Ergebnis gefühlt, paradoxen Situationen führen kann.
Eine solche ist die Behandlung von Unternehmens-IT. Grundsätzlich sind sowohl nach dem Wortlaut von Art. 3 NIS2 i.V.m. Annex I als auch Art. 1 § 28 NIS2UmsuCG i.V.m. Anlage 1 sowohl Rechenzentrumsdienstleister, Clouddienste, als auch Managed Service Provider betroffen, was für Anbieter, die ihre Dienste auf einem freien Markt anbieten, auch durchaus sinnvoll ist. Im Ergebnis paradox wäre jedoch die Situation, dass eine in eine eigene Gesellschaft ausgelagerte IT eines Konzerns, der an sich nicht in den Anwendungsbereich fällt, nun auch als KRITIS zu behandeln ist. Nach der Definition von Rechenzentrum und Cloudservice Providern, kommt es dabei nicht darauf an, ob die entsprechenden Dienstleistungen einer unbestimmten Anzahl Dritter angeboten werden.
Doch hier soll es nicht um die generelle Sinnhaftigkeit der Ausweitung des Anwendungsbereichs gehen. Aus Unternehmenssicht ist mehr Regulatorik zunächst natürlich einmal ärgerlich und bedeutet Mehraufwand. Dennoch besteht auch ein gewisses Eigeninteresse an der Umsetzung vernünftiger IT-Sicherheitsmaßnahmen. Es lohnt sich daher auch für die Unternehmen selbst, NIS2 nicht als Auftrag zur Aufführung eines reinen Compliance-Theaters zu verstehen, sondern als Anstoß, sich Aufgaben anzunehmen, die bisher im Prokrastinationsstrudel des wertschöpfungsorientierten Tagesgeschäfts untergegangen sind.
Die möglichst wörtliche Definitionsmethodik innerhalb der NIS2-Richtlinie (welche mit einigen Abweichungen im Detail im NIS2UmsuCG übernommen wurde, jedoch nicht für die Frage nach der Konzern-IT relevant sind), ist dabei auch nicht auf Faulheit der Verfassenden, die sich nicht um die Detailfragen gewisser Bereiche der kritischen Versorgung scheren, zurückzuführen. Der somit entstehende geringe Spielraum für die Mitgliedstaaten für die nationale Umsetzung dient der Harmonisierung. Dennoch darf hier argumentiert werden, ob in einigen Konstellationen nicht eine differenziertere Betrachtung notwendig und ob diese nicht dennoch innerhalb des europarechtlich vorgegebenen Rahmens bewegt.
Eine Ausnahme von Konzern-IT: Europarechtswidrig?
“Pah, das habt ihr nun von euren komischen Unternehmensgeflechten, durch die kein Mensch mehr durchblickt”, möchte man von außen meinen. Und auch ITler, denen im Laufe der Karriere des Öfteren vom betriebswirtschaftlichen Personal unter die Nase gerieben wurde, kein Teil der eigentlichen Wertschöpfung eines Unternehmens zu sein, mögen sich über die Aufwertung freuen, “wir sind KRITIS und ihr nicht!”. Die Freude währt zumindest bis zur Erkenntnis der Mehrarbeit, welche die Regulierung mit sich bringt. Der Wortlaut der NIS-2 Richtlinie und der nationalen Umsetzung erscheint hier zunächst klar. Doch gibt es hier im Rahmen der nationalen Umsetzung tatsächlich keinen Spielraum? Eine Ausnahme könnte sich mit Verweis auf den eigentlichen Schutzzweck der NIS-2-Richtlinie argumentieren. Auch wenn dieser nicht explizit formuliert ist, lässt er sich sowohl aus der historischen Entwicklung aus der NIS-1-Richtlinie, aus der Ausgestaltung des Gesetzes insgesamt, sowie aus den Kategorien aus Art. 2 Abs. 2 NIS2, die den Mitgliedsstaaten eine Ausweitung des Anwendungsbereichs erlauben, ableiten.
Hierbei lässt sich argumentieren, dass Zweck von NIS-2 (und entsprechend auch des NIS2UmsCG) eben die Verbesserung der IT-Sicherheit von Kritischen Infrastrukturen ist. Und selbst wenn NIS-2 aus Gründen der verbesserten Harmonisierung innerhalb der Mitgliedsstaaten, den Spielraum durch eine listenartige Festlegung absichtlich eng gehalten hat, muss doch festgestellt werden, dass eine Regulierung von Konzern-IT von sonst nicht betroffenen Unternehmen derart vom eigentlichen Normzweck entfernt ist, dass in diesem Fall ein Lösen vom Wortlaut durchaus vertretbar ist. Praktisch bedeutet juristisch vertretbar jedoch nicht “zwingend”. Die Feststellung der Möglichkeit der Ausnahme von Konzern aus der NIS-2-Definition ist daher weniger als Beruhigung potenziell betroffener Unternehmen zu verstehen, sondern als Feststellung, dass eine Ausnahme hier durchaus im Rahmen der nationalen Umsetzung möglich gewesen wäre. Eine solche ist dem finalen Referentenentwurf jedoch nicht zu entnehmen. Die nationale Gesetzgebung hat hier noch die Möglichkeit entweder im Rahmen des NIS2UmsuCG für Normklarheit zu sorgen. Auch die angekündigte Überarbeitung der Definition von Cloud- und Rechenzentrumsdienstleistern sind hierbei eher als redaktionelle Überarbeitungen zu werten.
Es bleibt: Rechtsunsicherheit
Dieses Versäumnis innerhalb der nationalen Umsetzung ist jedoch in Bezug auf Konzern-IT nicht als eine Bewegung einen Schritt vorwärts und zwei zurück, sondern eher als ein Verweilen auf der Stelle zu interpretieren. Juristisch bleibt es auch unter Bezug auf das NIS2UmsuCG vertretbar, Konzern-IT nicht innerhalb des Anwendungsbereichs anzusiedeln. Die Schaffung von Rechtssicherheit wird hierbei jedoch zeitlich enorm nach hinten (zum Zeitpunkt eindeutiger Aussagen des BSI oder entsprechender Gerichtsurteile) verschoben.