Jan Pohle, RA, Lorenz Wascher, RA, und Nico Winter, RA, LL. M.

Das neue Cybersicherheitsrecht im internationalen Konzern

Konzernspezifische Herausforderungen der NIS-2-Umsetzung durch das novellierte BSI-Gesetz

Das novellierte BSI-Gesetz verschärft das regulatorische Umfeld zu Cybersicherheit in Deutschland – doch wie wirkt es sich auf Unternehmensgruppen aus? Dieser Beitrag beleuchtet konzernspezifische Herausforderungen der NIS-2-Umsetzung: Von der Schwellenwertberechnung unter Einbeziehung verbundener Unternehmen über ungeklärte Fragen der vernachlässigbaren Geschäftstätigkeit oder der IT-systemischen Unabhängigkeit bis hin zur Qualifizierung konzerninterner IT-Dienstleister als regulierte Managed Service Provider bzw. Managed Security Service Provider (MSP/MSSP). Besonders praxisrelevant: Bringt das neue Recht Vereinfachungen für Konzerne? Und wie funktioniert die umsatzbezogene Bußgeldberechnung auf Konzernebene? Der Beitrag analysiert systematisch konzernrelevante Vorgaben und zeigt auf, was Konzerne zu beachten haben und wie sie die neuen Anforderungen effizient umsetzen können.

I. Hintergrund

Die Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) stellt den Kern des Gesetzes zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) dar, das die europarechtlich vorgegebenen Cybersicherheitsanforderungen der Richtlinie EU 2022/2555 (NIS-2-RL) mit Inkrafttreten am 6. 12. 2025 in nationales Recht übersetzt hat. Das BSIG weitet seinen Anwendungsbereich nicht nur auf eine Vielzahl neuer Unternehmen aus, sondern sieht neben zahlreichen Neuerungen einen umfassenden Pflichtenkatalog vor: Regulierte Einrichtungen müssen ein risikobasiertes Informationssicherheits-Risikomanagement mit geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen implementieren, das unter anderem Risikoanalyse- und IT-Sicherheitskonzepte, Incident Response, Notfall- und Krisenmanagement und Lieferkettensicherheit umfasst. Hinzu treten gestufte Meldepflichten bei erheblichen Sicherheitsvorfällen (Frühwarnung binnen 24 Stunden, ausführlichere Meldung binnen 72 Stunden, Abschlussmeldung binnen eines Monats), eine Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie eine persönliche Verantwortung der Geschäftsleitung für die Umsetzung und fortgesetzte Überwachung der Risikomanagementmaßnahmen.

Auf Unternehmensgruppen als solche geht das Gesetz hingegen nicht ein – es regelt den Konzern nicht als eigenständiges Subjekt. Dabei kann die Zugehörigkeit eines Unternehmens zu einer Unternehmensgruppe Auswirkungen mit weitreichenden Folgen haben: Ein Unternehmen, das aufgrund seiner Größe isoliert betrachtet nicht in den Anwendungsbereich des BSIG fallen würde, kann über seine Konzernzugehörigkeit doch erfasst werden, sofern keine Ausnahme gilt. Ebenfalls ist es möglich, dass ein gruppeninterner IT-Service-Provider wegen seiner Leistungserbringung innerhalb der Unternehmensgruppe als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) im Sinne des BSIG zu qualifizieren ist und die gesetzlich geforderte Cyber-Compliance umsetzen muss. Gleichwohl ermöglicht die Gesetzesbegründung in bestimmten Fällen Vereinfachungen für Konzerne und auch Risikomanagementmaßnahmen lassen sich auf Konzernebene umsetzen. Die konzernspezifischen Implikationen des novellierten BSIG erfordern daher eine differenzierte Betrachtung, die im Folgenden systematisch dargestellt wird.

II. Bestimmung der Anwendung des BSIG in der Unternehmensgruppe

Mit dem neuen BSIG hat der deutsche Gesetzgeber im Zuge der Umsetzung der NIS-2-RL einen deutlich erweiterten und zugleich systematisch neu strukturierten Rechtsrahmen für Cybersicherheit geschaffen. Zentrales Element dieses Regelungskonzepts ist eine differenzierte Bestimmung des persönlichen Anwendungsbereichs, die sowohl qualitative Kriterien der Kritikalität als auch quantitative Schwellenwerte berücksichtigt und zugleich bestimmte Unternehmen kraft gesetzlicher Typisierung ausdrücklich einbezieht. Insbesondere für Unternehmensgruppen wirft diese mehrstufige Systematik komplexe Abgrenzungs- und Zuordnungsfragen auf, da Anwendbarkeit und Pflichten nicht allein an die Größe einzelner Gesellschaften, sondern an deren sektorale Einbindung, wirtschaftliche Bedeutung und regulatorische Vorprägung anknüpfen. Eine Sonderregelung zur Bestimmung der Anwendung des Gesetzes für Unternehmensgruppen existiert zwar nicht, gleichwohl kann die Zugehörigkeit eines Unternehmens zu einer Unternehmensgruppe für die Bestimmung der Anwendbarkeit des Gesetzes relevant sein. Vor diesem Hintergrund bedarf es einer näheren Betrachtung der in § 28 BSIG normierten Differenzierung zwischen besonders wichtigen Einrichtungen, wichtigen Einrichtungen sowie ausdrücklich erfassten Unternehmen, um Reichweite und Konsequenzen des neuen Cybersicherheitsrechts zutreffend einordnen zu können. Zunächst erfolgt dazu nachfolgend eine Betrachtung der Anwendungsprüfung im Konzern (1.). Anschließend wird auf möglicherweise anwendbare Ausnahmen in Bezug auf einzelne Einrichtungen hingewiesen (2.), bevor die Sonderkonstellation der konzerninternen IT-Dienstleister thematisiert wird (3.).

1. Berechnung der Schwellenwerte in der Unternehmensgruppe

a) Grundsätzliche Anwendungsprüfung

Bei der Prüfung der Anwendbarkeit des BSIG ist die einzelne Einrichtung, also eine natürliche oder juristische Person, zu betrachten.1 § 28 BSIG regelt den Anwendungsbereich des Gesetzes anhand sowohl qualitativer als auch quantitativer Kriterien. Maßgeblich sind zum einen die Zugehörigkeit zu einem bestimmten Sektor und damit die Kritikalität der jeweils erbrachten Dienstleistung für die Allgemeinheit, zum anderen das Erreichen bestimmter Schwellenwerte in Bezug auf Beschäftigtenzahl sowie Umsatz oder Bilanzsumme. Für die Bestimmung dieser Schwellenwerte hat der deutsche Gesetzgeber die in der NIS-2-RL in Bezug genommene Empfehlung 2003/361/EG („KMU-Empfehlung“) ausdrücklich in den Gesetzestext übernommen. Anknüpfungspunkt der Anwendbarkeit ist dabei stets das einzelne Unternehmen als Rechtsträger, das entweder in einem der in § 28 Abs. 1 oder Abs. 2 BSIG explizit genannten Bereiche tätig ist, etwa kritische Infrastrukturen oder Telekommunikation, oder eine der in Anlage 1 oder 2 genannten Tätigkeiten ausübt und zugleich die maßgeblichen Größen- und Bedeutungsmerkmale erfüllt.

Das BSIG unterscheidet systematisch zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Als besonders wichtige Einrichtungen gelten Unternehmen, deren Funktion oder Dienstleistung eine erhebliche Bedeutung für die Aufrechterhaltung gesellschaftlicher und wirtschaftlicher Tätigkeiten hat und die in einem der in Anlage 1 zum BSIG genannten Sektoren tätig sind, sofern sie entweder mindestens 250 Beschäftigte haben oder einen Jahresumsatz von über 50 Mio. EUR sowie zugleich eine Jahresbilanzsumme von über 43 Mio. EUR erreichen. „Wichtige Einrichtungen“ sind demgegenüber Unternehmen, die in einem der in Anlage 1 oder 2 zum BSIG aufgeführten Sektoren tätig sind, ohne die Schwellenwerte der besonderen Wichtigkeit zu erfüllen, jedoch mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. EUR aufweisen. Unabhängig von diesen Größenkriterien erfasst das BSIG zudem bestimmte Unternehmen ausdrücklich kraft gesetzlicher Anordnung, insbesondere Betreiber kritischer Infrastrukturen sowie Unternehmen aus dem Bereich der Telekommunikation, deren besondere Bedeutung für die Versorgungssicherheit und Funktionsfähigkeit zentraler Dienste bereits gesetzlich festgelegt ist (§ 28 Abs. 1 und Abs. 2 BSIG).

b) Berücksichtigung von Partnerunternehmen und verbundene Unternehmen

Gehört ein Unternehmen einem Konzern an, wird die Anwendungsprüfung nach dem BSIG hinsichtlich der im Gesetz formulierten Größenkriterien von einer rein einzelgesellschaftlichen Betrachtung gelöst. Dies erfolgt durch den Verweis in § 28 Abs. 4 Satz 1 BSIG auf Art. 3 des Anhangs zur KMU-Empfehlung. Danach sind die Beschäftigtenzahlen sowie die relevanten Größenmerkmale von Partner- und verbundenen Unternehmen einzubeziehen.2

Hierbei differenziert die KMU-Empfehlung in Art. 3 des Anhangs zwischen Partnerunternehmen und verbundenen Unternehmen. Als Partnerunternehmen im Sinne von Art. 3 Abs. 2 UAbs. 1 gilt ein Unternehmen, das an einem anderen Unternehmen Kapitalanteile oder Stimmrechte in einer Bandbreite von mindestens 25 % und höchstens 50 % hält oder kontrolliert.3 Allerdings sind Stimmrechte von Risikokapitalgebern und institutionellen Anlegern nicht zu berücksichtigen.4 Unternehmen gelten als verbunden (Art. 3 Abs. 3), wenn die Beteiligung des einen Unternehmens an dem anderen den Schwellenwert von 50 % der Stimmrechte überschreitet oder das andere Unternehmen faktisch-rechtlich kontrolliert wird.5 Eine Zurechnung unterbleibt nach Art. 3 Abs. 2 UAbs. 1, wenn ein anderes Unternehmen oder mehrere verbundene Unternehmen gemeinsam weniger als 25 % der Kapitalanteile oder Stimmrechte an dem betroffenen Unternehmen halten oder kontrollieren. Gleiches gilt im umgekehrten Fall, wenn das betroffene Unternehmen selbst weniger als 25 % der Kapitalanteile oder Stimmrechte an einem anderen Unternehmen hält, sodass es unterhalb dieser Beteiligungsschwelle trotz seiner Einbindung in eine Unternehmensgruppe weiterhin als eigenständiges Einzelunternehmen und gerade nicht als Partnerunternehmen im Sinne von Art. 3 Abs. 2 UAbs. 1 gilt. Bei der Ermittlung der maßgeblichen Schwellenwerte sind die Kennzahlen verbundener Unternehmen vollständig (Art. 6 Abs. 2 UAbs. 3 KMU-Empfehlung) sowie diejenigen von Partnerunternehmen anteilig (Art. 6 Abs. 2 UAbs. 2 KMU-Empfehlung) entsprechend der jeweiligen Beteiligungsquote zu berücksichtigen. Die praktische Tragweite der Anrechnungspflicht ist weitreichend. Zum einen scheidet die Abspaltung einzelner regulierungsrelevanter Einheiten als Mittel zur Vermeidung der Anwendung des Gesetzes aus. Zum anderen begründet die Konsolidierungspflicht für Unternehmensgruppen einen erheblichen Erhebungs- und Analyseaufwand, da gesellschaftsrechtliche Verflechtungen sowie Beschäftigtenzahlen und Finanzkennzahlen sämtlicher relevanter Konzerneinheiten umfassend zu erfassen und zu berücksichtigen sind.

Das Ziel dieser Zurechnung liegt allerdings nicht darin, die gesetzten Schwellenwerte durch eine Konzernzurechnung zu „unterlaufen“ und den Anwendungsbereich des Gesetzes auszuweiten. Stattdessen ergibt sich aus dem Umkehrschluss der Anwendungsausnahme bei „unabhängiger IT“ gemäß § 28 Abs. 4 S. 2 BSIG (dazu unten), dass Konzernunternehmen, die für sich allein die Schwellen nicht erreichen, nur dann über die Zurechnung der Konzernkennzahlen als besonders wichtige Einrichtung gelten, wenn sie keinen bestimmenden Einfluss auf ihre eigenen IT-Systeme ausüben. Die Regelung zielt also auf eine sachgerechte Zuordnung der IT-Verantwortung und eine daran angepasste Regulierung ab.6

c) Berücksichtigung ausländischer Konzerngesellschaften

Die KMU-Empfehlung sieht keine territoriale Beschränkung auf inländische oder unionsansässige Unternehmen vor. Auch ausländische Konzerngesellschaften haben damit für die Berechnung der Schwellenwerte eine Relevanz, unabhängig davon, ob der Sitz dieser Gesellschaften innerhalb oder außerhalb der Europäischen Union liegt.7 Bezüglich der Daten von im europäischen Ausland niedergelassenen Konzerngesellschaften gelten folglich die gleichen Bestimmungen zur Zurechnung wie bei inländischen Partner- oder verbundenen Unternehmen.8

2. Gesetzlich bestimmte Ausnahmen zur Anwendung

Das BSIG sieht für seine Anwendbarkeit auch Ausnahmen vor. Zum einen können nach § 28 Abs. 3 BSIG vernachlässigbare Geschäftstätigkeiten innerhalb einer Einrichtung bei der Anwendungsprüfung außer Betracht bleiben. Zum anderen sieht § 28 Abs. 4 Satz 2 BSIG im Hinblick auf die Berücksichtigung von Schwellenwerten von Partnerunternehmen und verbundenen Unternehmen eine Ausnahme bei IT-systemischer Unabhängigkeit vor. Beide Ausnahmen werfen in der praktischen Anwendung erhebliche Abgrenzungs- und Auslegungsfragen auf, die im Folgenden näher beleuchtet werden.

a) Ausnahme 1: Vernachlässigbare Geschäftstätigkeit nach § 28 Abs. 3 BSIG

Mit § 28 Abs. 3 BSIG hat der Bundesgesetzgeber eine Ausnahmeregelung geschaffen, die unverhältnismäßige Ergebnisse der Gesetzesanwendung in Einzelfall vermeiden soll.9 Einrichtungen müssen bei der Anwendungsprüfung solche Geschäftstätigkeiten nicht berücksichtigen, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Dies gilt beispielsweise für eine Einrichtung, die zwar unter Berücksichtigung der Schwellenwerte in den gesetzlichen Anwendungsbereich fällt, die tatsächliche Ausübung einer Tätigkeit nach Anlage 1 oder 2 durch diese Einrichtung an sich aber sehr gering ist.10

aa) Vernachlässigbar als unbekannter Rechtsbegriff

Mit dem im Grundsatz begrüßenswerten Bestreben des nationalen Gesetzgebers, eine sektorübergreifende Einschränkung des Anwendungsbereichs aus Gründen der Verhältnismäßigkeit einzuführen, ergeben sich jedoch Folgeprobleme. Aus diesem Grund war die Norm bereits im Gesetzgebungsprozess erheblicher Kritik ausgesetzt: Es bestünden Abgrenzungsschwierigkeiten, die Relativität der Neben- zur Haupttätigkeit sorge für Ungleichbehandlungen zwischen kleineren und größeren Einrichtungen und im Übrigen sei die Unionsrechtskonformität der Regelung zweifelhaft.11 Der Wunsch nach greifbaren Schwellenwerten oder konkreten Abgrenzungskriterien blieb ungehört. Mehr Aufschluss als der Normtext bietet für die Rechtspraxis die Gesetzesbegründung, welche die Anzahl der im zu bewertenden Bereich tätigen Mitarbeiter, den hierdurch erwirtschafteten Umsatz oder die Bilanzsumme als Anhaltspunkte für die Bewertung nennt.12 Daraus ergibt sich, dass eine Bewertung als vernachlässigbar jedenfalls relativ zu den anderen Bereichen einer Einrichtung erfolgen kann. Ebenso stellt die Gesetzesbegründung klar, dass es als Indiz für eine vernachlässigbare Tätigkeit gelten kann, wenn die Geschäftstätigkeit nicht im Gesellschaftervertrag, in der Satzung oder in vergleichbaren Gründungsdokumenten genannt ist.13 Dieser Aspekt kann möglicherweise auch im Rahmen der Corporate Governance bei der Gestaltung von Gesellschaftsdokumenten berücksichtigt werden. Insoweit hinterlässt der Gesetzgeber jedoch ein widersprüchliches Bild, denn entscheidend ist stets das Gesamtbild.14 Es fehlt an einem verbindlichen, praktisch konkretisierten Maßstab zur Abgrenzung relevanter von zu vernachlässigender Tätigkeit.

bb) Unionsrechtswidrigkeit der Ausnahme?

Auch die Unionsrechtskonformität der Norm ist fraglich. Die Ausnahme im § 28 Abs. 3 BSIG wurde durch den nationalen Gesetzgeber geschaffen und ist in der NIS-2-RL nicht vorgesehen. Es handelt sich damit um einen deutschen Sonderweg. Die NIS-2-RL verlangt nach Art. 5 NIS-2-RL eine Mindestharmonisierung und erlaubt Mitgliedsstaaten bei der Umsetzung nur zu Gunsten eines höheren Cybersicherheitsniveaus abzuweichen. Eine verkürzende Umsetzung ist nicht erlaubt.15

Eine unionsrechtskonforme Auslegung der Norm ist indes nicht möglich.16 Mit dem § 28 Abs. 3 BSIG schränkt der nationale Gesetzgeber den persönlichen Anwendungsbereich des Gesetzes ein und verstößt damit gegen seine Pflicht zur unionsrechtskonformen Umsetzung. Daraus, dass die NIS-2-RL durchaus spezifische Ausnahmen für Nebentätigkeiten vorsieht, kann gefolgert werden, dass eine generelle Ausnahme nicht beabsichtigt war. Solche Ausnahmen bestehen beispielsweise für die Abfallbewirtschaftung oder Abwasserentsorgung, wenn diese Tätigkeiten nicht die wirtschaftliche Haupttätigkeit der Einrichtung darstellen. Hieraus lässt sich ableiten, dass in allen weiteren, nichtgenannten Bereichen der Anwendungsbereich auch in solchen Fällen eröffnet sein soll, in denen die zu betrachtende Tätigkeit eine untergeordnete Nebentätigkeit ist.17 Für eine Unionsrechtswidrigkeit spricht auch der Sinn und Zweck der NIS-2-RL, das unionsrechtliche Harmonisierungsziel eines gemeinsamen hohen Cybersicherheitsniveaus, Art. 1 Abs. 1 NIS-2-RL.18 Denn aus der persönlichen Anwendungsbereichseinschränkung folgt das Absenken des Schutzniveaus durch eine sachliche Verkürzung des Geltungsbereichs der NIS-2-RL, womit letztlich die Effektivität des Unionsrechts sowie das Funktionieren des Binnenmarktes beeinträchtigt wird.19 

Ein Verstoß einer nationalen Umsetzung einer Richtlinie gegen Unionsrecht hat zur Folge, dass das unionsrechtswidrige Gesetz auf nationaler Ebene für öffentliche Stellen unanwendbar ist.20

b) Ausnahme 2: Autarke IT nach § 28 Abs. 4 Satz 2 BSIG

Die zweite Ausnahme betrachtet die IT-systemische Verbindung zwischen einem Unternehmen und der IT der Unternehmensgruppe und adressiert die Abhängigkeit beziehungsweise Eigenständigkeit des Unternehmens. Diese Ausnahme wirkt sich bei einem Unternehmen, das in einem Sektor nach Anlage 1 oder 2 zum BSIG tätig ist, auf die Grundlage für die Schwellenwertberechnung aus.

Nach § 28 Abs. 4 Satz 2 BSIG sind die Daten von Partner- oder verbundenen Unternehmen im Sinne der KMU-Empfehlung nicht hinzuzurechnen, wenn das zu bewertende „Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen ist“. So wird sichergestellt, dass Konzernunternehmen, die für sich gesehen die vorgesehenen Schwellen für Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nicht erreichen oder überschreiten, nur in denjenigen Fällen als (besonders) wichtige Einrichtung gelten, wenn sie keinen bestimmenden Einfluss auf ihre eigenen IT-Systeme, Komponenten und Prozesse ausüben können und ihnen die Risikosteuerung damit entzogen ist. Das BSIG stellt über das Merkmal der IT-systemischen Unabhängigkeit auf die tatsächliche IT-Entscheidungsbefugnis ab: Eine Hinzurechnung der Daten verbundener Unternehmen erfolgt nur, wenn die zu bewertende Einrichtung keinen bestimmenden Einfluss auf die Beschaffenheit und den Betrieb ihrer IT-Systeme ausübt und die IT-Verantwortung damit bei anderen Konzerngesellschaften liegt.21

Zentrale Voraussetzung der Ausnahmeregelung ist die Unabhängigkeit der IT-Systeme, Komponenten und Prozesse des Unternehmens. Diese Unabhängigkeit ist nach der Gesetzesbegründung anzunehmen, wenn kein anderes Unternehmen im Konzernverbund einen bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der IT-Systeme, Komponenten und Prozesse ausüben kann und die grundsätzlichen Entscheidungen zur Beschaffung, zum Betrieb und zur Konfiguration der informationstechnischen Systeme, Komponenten und Prozesse durch das zu bewertende Unternehmen in eigener Verantwortung getroffen werden.22 Diese eigene Verantwortung kann sich darin zeigen, dass die Einrichtung ihre IT-Services und Dienstleister selbst auswählen kann und in direkter vertraglicher Verbindung mit diesen steht.23 In diesem Fall sieht die Gesetzesbegründung einen ausreichenden Nachweis für eine IT-systemische Unabhängigkeit der Einrichtung.24 Als Beispiel für keine ausreichende Eigenverantwortlichkeit und damit keine Unabhängigkeit im Sinne des § 28 Abs. 4 BSIG nennt die Gesetzesbegründung den Fall, dass die Systeme, Komponenten und Prozesse vollständig durch eine Konzernmutter vorgegeben und betrieben werden und das Unternehmen selbst keinen Einfluss nehmen kann.25

3. Konzerninterne IT-Serviceprovider (MSP/MSSP)

Einen besonderen Fall stellen IT-Dienstleister im Konzernverbund dar. Sofern ein IT-Dienstleister seine Dienste als MSP oder MSSP erbringt (a) und die Schwellenwerte des BSIG überschreitet (b), fällt der IT-Dienstleister selbst – und zwar unabhängig von den Tätigkeiten des Konzerns – als wichtige oder sogar besonders wichtige Einrichtung in den Anwendungsbereich des BSIG.

a) IT-Dienstleister als Managed Service oder Managed Security Service

Die Tätigkeitsfelder von MSP und MSSP sind legaldefiniert. Ein MSP ist gem. § 2 Nr. 26 BSIG „ein Anbieter von Diensten im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung“, der entweder in den Räumlichkeiten des Kunden oder Remote tätig wird. Ein MSSP ist nach § 2 Nr. 25 BSIG eine spezielle Ausprägung eines MSP und im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicherheit tätig. Die Tätigkeit als MSP und MSSP ist nach Anlage 1 zum BSIG (besonders wichtige und wichtige Einrichtungen) dem Sektor Digitale Infrastruktur zugeordnet. Nach der Gesetzesbegründung fallen Unternehmen, die ausschließlich den zentralen IT-Betrieb eines Unternehmensverbundes übernehmen, in der Regel unter den Begriff des MSP.26 Der IT-Dienstleister muss als „Anbieter“ eine eigenständige Einrichtung im Sinne des § 28 BSIG sein. Eine Markttätigkeit außerhalb der eigenen Unternehmensgruppe ist nicht erforderlich.27

b) Schwellenwertberechnung und Ausnahmen

MSP oder MSSP gelten als besonders wichtige oder wichtige Einrichtung, wenn sie die dafür vorgesehenen Schwellenwerte nach § 28 Abs. 1 oder Abs. 2 überschreiten. Zu berücksichtigen sind bei der Berechnung auch die Kennzahlen von Partnerunternehmen und verbundenen Unternehmen nach Maßgabe der KMU-Empfehlung, was in der Regel zu einem Überschreiten der relevanten Schwellenwerte führen wird.28 Allerdings gilt auch für als MSP oder MSSP qualifizierte IT-Dienstleister die Ausnahme nach § 28 Abs. 4 S. 2 BSIG.29

III. (K)ein Konzernprivileg

Das novellierte BSIG bestimmt kein ausdrückliches Konzernprivileg. Allerdings ist dem BSIG die Vereinfachung der Anwendung des Gesetzes für Unternehmensgruppen auch nicht vollständig fremd. Die Gesetzesbegründung weist teilweise ausdrücklich auf eine Vereinfachung für Unternehmensgruppen hin. Dadurch wird die Umsetzung notwendiger Compliance-Maßnahmen im Konzern jedenfalls erleichtert. Eine Pflichtenlast allein aus sich heraus kraft Zugehörigkeit zu einer Unternehmensgruppe entsteht allerdings nicht. Damit ist eine Infektionswirkung im Hinblick auf die Pflichten des BSIG, die auf verbundene Unternehmen oder Partnerunternehmen übergehen könnte, nicht zu befürchten.

1. Gemeinsames Risikomanagement im Konzern

Nach § 30 Abs. 1 BSIG sind regulierte Einrichtungen zur Implementierung geeigneter und wirksamer technischer und organisatorischer Maßnahmen verpflichtet. Teil des nicht abschließenden Katalogs an Mindestmaßnahmen in § 30 Abs. 2 BSIG ist auch die Pflicht zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS).30 Adressat dieser Pflicht ist immer nur die jeweilige regulierte Einrichtung, nicht jedoch der gesamte Konzern.31 Bei Konzernen, deren Gesellschaften gemeinsame sogenannte Shared Services nutzen, über eigene MSP/MSSP verfügen und eine zentral verwaltete IT nutzen, stellt sich allerdings die Frage, ob ein konzernweit vereinheitlichtes ISMS eingeführt werden kann.

Festzustellen ist zunächst, dass das Gesetz die Pflicht zur Einführung von Risikomanagementmaßnahmen an die jeweils regulierte Einrichtung adressiert. Eine konzernweite Umsetzung von Risikomanagementmaßnahmen wird nicht untersagt. Um die gesetzliche Anknüpfung an die jeweilige Einrichtung nicht außer Acht zu lassen, sind bei einem einrichtungsübergreifenden Risikomanagement einige Voraussetzungen zu beachten. Zunächst muss die zur Bestimmung der erforderlichen Maßnahmen durchzuführende Risikoanalyse auf das jeweilige Risikoprofil der einzelnen Einrichtung zugeschnitten sein. Eine abstrakte Konzernrisikoanalyse ohne Bezug zur konkreten Einrichtung erfüllt die Anforderungen aus § 30 BSIG nicht. Entsprechend müssen auch die umzusetzenden Maßnahmen für jede Einrichtung individuell geeignet und wirksam sein, um Störungen zu vermeiden und Sicherheitsvorfälle beherrschen zu können. Zu beachten ist, dass sofern einzelne Einrichtungen speziellen Anforderungen wie branchenspezifischen Vorgaben unterliegen, diese berücksichtigt und jedenfalls für die betroffenen Einrichtungen umgesetzt werden müssen. Praktisch lässt sich dies entweder über die Erfüllung der branchen- bzw. sektorspezifischen Anforderungen im gesamten Konzern oder alternativ dadurch erwirken, dass die zusätzlichen Anforderungen allein von der regulierten Einrichtung umgesetzt werden. Auch die Nachweisbarkeit der getroffenen Maßnahmen muss für jede Einrichtung gegeben sein, da andernfalls die einrichtungsbezogene Dokumentationspflicht aus § 30 Abs. 1 BSIG verletzt werden würde. In diesem Zusammenhang ist zudem zu beachten, dass bei einer IT-systemischen Verbindung zwischen Konzerngesellschaften die Anforderung der Unabhängigkeit nach § 28 Abs. 4 BSIG entfallen kann. Dies ermöglicht konzernweite IT-Infrastrukturen für kritische Bereiche, ohne dass dadurch die einrichtungsspezifischen Anforderungen an das Risikomanagement nach § 30 BSIG berührt werden.

2. Registrierungspflicht

Eine weitere Vereinfachung gilt mit Blick auf die Registrierungspflicht nach § 33 Abs. 1 BSIG. § 33 Abs. 1 BSIG verlangt im Grundsatz, dass sich eine Einrichtung spätestens drei Monate nach ihrer Qualifizierung als besonders wichtige oder wichtige Einrichtung bei einer dafür vorgesehenen Registrierungsstelle des BSI registriert. § 34 BSIG bestimmt eine besondere Registrierungspflicht für Einrichtungen im Sinne von § 60 BSIG (u. a. MSP und MSSP). Die Gesetzesbegründung hält dazu fest, dass für Konzerne, zu denen mehrere registrierungspflichtige Einrichtungen gehören, aus Gründen der Effizienz und Entbürokratisierung die Benennung einer einheitlichen oder mehrerer Kontaktstellen für mehrere Konzernunternehmen möglich ist.32 Voraussetzung ist, dass diese Kontaktstelle alle relevanten Informationen über die einzelnen Einrichtungen hat, um Rückfragen des BSI beantworten zu können. Ob Konzerne in der Praxis auch die Möglichkeit haben werden, die Registrierung mehrerer Einrichtungen durch eine Stelle vorzunehmen, bleibt abzuwarten, wäre aber allein aus praktischen Gründen wenig überraschend.

3. Meldung von Sicherheitsvorfällen

Ebenfalls sollen Konzerne im Falle eines Sicherheitsvorfalls eine „gemeinsame Meldung“ nach § 32 Abs. 1 BSIG abgeben können.33 Wenn ein meldepflichtiger Sicherheitsvorfall mehrere Einrichtungen innerhalb einer Konzerngruppe betrifft, und für diese Einrichtungen eine oder mehrere einheitliche Kontaktstellen benannt sind, soll nach der Gesetzesbegründung im Rahmen der Meldung auch angegeben werden können, welche weiteren Einrichtungen innerhalb der Konzerngruppe vom Vorfall betroffen sind.34 Dadurch sollen, so die Gesetzesbegründung, Mehrfachmeldungen innerhalb einer Konzerngruppe zu ein- und demselben Vorfall mit dem Ziel der Bürokratieminimierung vermieden werden.35 Jedoch ist auch insoweit die Auskunftsfähigkeit der benannten Kontaktstelle(n) gegenüber dem BSI intern sicherzustellen.36

IV. Aufsicht über Unternehmen einer internationalen Unternehmensgruppe

Die Aufsicht über Unternehmen, die Teil einer internationalen Unternehmensgruppe sind, wirft besondere Fragen auf, etwa im Hinblick auf die Zuständigkeit der Aufsichtsbehörden (1.). Aber auch die Bemessung von Sanktionen ändert sich unter Umständen im Konzernkontext (2.).

1. Zuständige Aufsicht im internationalen Kontext

Das BSIG bestimmt eine dem Territorialprinzip entsprechende Zuständigkeitszuweisung für die Aufsicht. Nach § 59 BSIG ist das BSI als Aufsichtsbehörde für Einrichtungen zuständig, die in der Bundesrepublik Deutschland niedergelassen sind. Dies führt bei multinationalen Konzernen mit Niederlassungen in mehreren Mitgliedstaaten zu verschiedenen zuständigen Aufsichtsbehörden für die jeweiligen Gesellschaften in den einzelnen Mitgliedsstaaten. Im Hinblick auf kritische Anlagen, die sich auf deutschem Hoheitsgebiet befinden, ist zudem die Zuständigkeit des BSI unabhängig vom Sitz der Niederlassung des Betreibers in einem anderen Mitgliedsstaat begründet.

Für bestimmte Dienstleistungen gilt allerdings eine Ausnahme zu der territorialen Anknüpfung gemäß § 60 Abs. 1 BSIG. Weil die Leistungen von z. B. Cloud-Computing-Dienstleistern, MSP oder MSSP in der Regel grenzüberschreitend erbracht werden, richtet sich die Zuständigkeit der Aufsicht nach dem Sitz der Hauptniederlassung.37 Betreibt etwa ein Konzern mit Hauptsitz in Deutschland einen IT-Dienstleister (MSP/MSSP), der auch für die IT-Services der Konzernniederlassungen in Frankreich, Spanien und Italien zuständig und dort auch niedergelassen ist, so kann für den IT-Dienstleister einzig die deutsche Aufsichtsbehörde zuständig sein. Die Definition der Hauptniederlassung beinhaltet § 60 Abs. 2 BSIG und begründet auf Grundlage der Vorgaben der NIS-2-RL einen eigenen Hauptniederlassungsbegriff: Hauptniederlassung ist danach die Niederlassung in einem Mitgliedsstaat der Europäischen Union, in der die Entscheidungen der Einrichtung im Zusammenhang mit den Maßnahmen zum Cybersicherheitsrisikomanagement vorwiegend getroffen werden. Die Niederlassung setzt eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus, wobei die Rechtsform ebenso unerheblich ist wie die tatsächliche Belegenheit physischer Netze und Informationssysteme.38 Die Hauptniederlassung wird nach diesen Kriterien zwar regelmäßig mit der Hauptverwaltung zusammenfallen. Zwingend ist dies aber nicht, zumal die Begrifflichkeit „vorwiegend“ per se unscharf und mithin mit Einschätzungsrisiken verbunden ist. Im Übrigen gelten Sonderregeln für die Fälle, dass eine solche Hauptniederlassung nicht bestimmt werden kann oder die betreffenden Entscheidungen nicht in der Europäischen Union getroffen werden.39

2. Umsatzbezogene Bußgelder für Konzerne

Nach § 65 BSIG kann das BSI als Aufsichtsbehörde für Verstöße gegen gesetzliche Pflichten Bußgelder in Millionenhöhe verhängen. Die Vorgaben zur Festsetzung der Höhe des Bußgeldes sind für den jeweiligen Verstoß detailliert in § 65 Abs. 2, Abs. 3 und Abs. 5 BSIG ausgearbeitet. Eine Berücksichtigung des Umsatzes der pflichtwidrig handelnden Einrichtung bei der Bußgeldbemessung erfolgt allerdings gemäß § 65 Abs. 6 und 7 BSIG erst ab einer Umsatzschwelle von 500 Mio. EUR. Dann sind bis zu 1,4 % (wichtige Einrichtung) bzw. bis zu 2 % (besonders wichtige Einrichtung) des Gesamtumsatzes als Bußgeld möglich. Für die Berechnung des Umsatzes ist dabei nicht auf den Umsatz der Einrichtung allein, sondern auf den Konzernumsatz abzustellen. Während § 65 Abs. 8 BSIG hier etwas kryptisch auf „das Unternehmen, dem die Einrichtung angehört“, verweist, stellt ErwG 130 zur NIS-2-RL klar, dass der Unternehmensbegriff nach Art. 101, 102 AEUV maßgeblich ist und damit eine konzernweite Betrachtung erfolgen muss.

V. Ergebnis

Das novellierte BSIG stellt Unternehmensgruppen bereits bei der Prüfung seiner Anwendbarkeit, aber auch bei der Erfüllung zentraler Pflichten vor erhebliche Herausforderungen, bietet aber zugleich pragmatische Lösungsmöglichkeiten für die konzernweite Compliance-Umsetzung. Während die Schwellenwertberechnung unter Einbeziehung verbundener Unternehmen den Anwendungsbereich erheblich erweitert und konzerninterne IT-Dienstleister als MSP/MSSP qualifiziert werden können, ermöglicht das Gesetz durch die Ausnahmen bei IT-systemischer Unabhängigkeit und vernachlässigbarer Geschäftstätigkeit eine sachgerechte Differenzierung – wenngleich letztere Regelung unionsrechtlich bedenklich ist. Konzerne profitieren von der Möglichkeit einrichtungsübergreifender Risikomanagementmaßnahmen, zentraler Registrierung und gemeinsamer Meldungen, sofern die einrichtungsspezifischen Anforderungen gewahrt bleiben. Die umsatzbezogene Bußgeldberechnung auf Konzernebene unterstreicht die Notwendigkeit einer gruppenweiten Governance-Struktur. Für die Praxis gilt: Eine frühzeitige, systematische Analyse der Konzernstruktur und eine koordinierte Umsetzung der Cybersicherheitsanforderungen sind unerlässlich, um Rechtssicherheit zu schaffen und Sanktionsrisiken zu minimieren.

Die Autoren danken Ref. iur. Julia Engelbert für die wertvolle Unterstützung bei der Erstellung des Beitrags.

---