NIS-2 und IT-Autarkie: Neue Maßstäbe für die regulatorische Einordnung von Unternehmen
Ausgangspunkt der regulatorischen Einordnung
Ob eine Einrichtung vom BSIG erfasst wird und damit als besonders wichtige Einrichtung oder als wichtige Einrichtung im Sinne des BSIG einzuordnen ist, bestimmt sich zunächst nach ihrer Sektorzugehörigkeit. Führt diese nicht bereits unmittelbar zu einer Einstufung als besonders wichtige Einrichtung, etwa bei Betreibern kritischer Anlagen, sind ergänzend die Mitarbeiterzahl und die finanziellen Schwellenwerte nach der Empfehlung der Kommission 2003/361/EG maßgeblich:
Besonders wichtige Einrichtungen im Sinne des § 28 Abs. 1 Nr. 4 BSIG umfassen Einrichtungen der in Anlage 1 zum BSIG aufgeführten Sektoren (darunter z. B. Erbringer von Gesundheitsleistungen), die entweder mindestens 250 Beschäftigte (Vollzeitäquivalente) haben oder sowohl einen Jahresumsatz von über 50 Mio. € als auch eine Jahresbilanzsumme von mehr als 43 Mio. € aufweisen (Umsatz- und Bilanzsumme müssen kumulativ vorliegen).
Wichtige Einrichtungen nach § 28 Abs. 2 Nr. 3 BSIG sind Einrichtungen der in den Anlagen 1 und 2 zum BSIG aufgeführten Sektoren (darunter z. B. Erbringer von Gesundheitsleistungen sowie Medizinproduktehersteller), die entweder mindestens 50 Beschäftigte haben oder jeweils einen Jahresumsatz und eine Jahresbilanzsumme von mehr als 10 Mio. € erzielen (Umsatz- und Bilanzsumme müssen kumulativ vorliegen).
Für bestimmte Sektoren und Einrichtungen gelten darüber hinaus weitergehende Schwellenwerte sowie sektorbezogene Sonderregelungen.
Berücksichtigung von verbundenen und Partnerunternehmen
Besonders praxisrelevant ist die Frage, in welchem Umfang verbundene Unternehmen und Partnerunternehmen bei der Berechnung der Schwellenwerte einzubeziehen sind.
Bei der Berechnung der vorgenannten Schwellenwerte sind nach § 28 Abs. 4 S. 1 BSIG grundsätzlich auch die Daten von Partner- und verbundenen Unternehmen einzubeziehen. Maßgeblich sind somit nicht allein die Kennzahlen des einzelnen Unternehmens, sondern gegebenenfalls auch die Daten weiterer Gesellschaften innerhalb der Unternehmensgruppe. Die Berechnung richtet sich nach der europäischen KMU-Definition gemäß Empfehlung 2003/361/EG:
Verbundene Unternehmen sind Unternehmen, die zueinander in einer der folgenden Beziehungen stehen:
- ein Unternehmen hält die Mehrheit der Stimmrechte der Aktionäre oder Gesellschafter eines anderen Unternehmens;
- ein Unternehmen ist berechtigt, die Mehrheit der Mitglieder des Verwaltungs-, Leitungs- oder Aufsichtsgremiums eines anderen Unternehmens zu bestellen oder abzuberufen;
- ein Unternehmen ist gemäß einem mit einem anderen Unternehmen abgeschlossenen Vertrag oder aufgrund einer Klausel in dessen Satzung berechtigt, einen beherrschenden Einfluss auf dieses Unternehmen auszuüben;
- ein Unternehmen, das Aktionär oder Gesellschafter eines anderen Unternehmens ist, übt gemäß einer mit anderen Aktionären oder Gesellschaftern dieses anderen Unternehmens getroffenen Vereinbarung die alleinige Kontrolle über die Mehrheit der Stimmrechte von dessen Aktionären oder Gesellschaftern aus.
Als Partnerunternehmen gelten alle Unternehmen, die nicht als verbundene Unternehmen einzustufen sind, bei denen jedoch ein Unternehmen (das vorgeschaltete Unternehmen) – allein oder gemeinsam mit einem oder mehreren verbundenen Unternehmen – mindestens 25 % des Kapitals oder der Stimmrechte eines anderen Unternehmens (des nachgeschalteten Unternehmens) hält.
Die Daten von Partnerunternehmen fließen dabei proportional zum jeweils höheren Anteil am Kapital oder an den Stimmrechten in die Berechnung ein. Die Daten verbundener Unternehmen sind hingegen grundsätzlich vollständig (zu 100 %) zu berücksichtigen.
IT-Autarkie als zentrales Differenzierungskriterium
Das BSIG sieht hierzu eine wichtige Ausnahme vor: Ist ein Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände hinsichtlich der Beschaffenheit und des Betriebs seiner informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen, kann die Hinzurechnung von Gruppendaten entfallen (§ 28 Abs. 4 S. 2 BSIG).
Diese sogenannte IT-Autarkie knüpft nicht an rein formale Kriterien an, sondern an die tatsächlichen organisatorischen und technischen Gegebenheiten innerhalb der Unternehmensgruppe.
Für die Beurteilung sind insbesondere – aber nicht abschließend – folgende Fragen maßgeblich:
- Werden IT-Systeme eigenständig betrieben oder zentral innerhalb der Gruppe bereitgestellt?
- Wo werden wesentliche IT-Sicherheits- und Governance-Entscheidungen getroffen?
- Bestehen gruppenweite IT-Infrastrukturen?
- Wie stark sind Prozesse und Systeme innerhalb der Unternehmensgruppe technisch integriert?
- Wer trägt die operative Verantwortung für Cybersecurity und Risikomanagement?
Unternehmen im Gesundheitswesen sollten daher ihre tatsächliche IT-Organisation frühzeitig und systematisch überprüfen. Entscheidend ist nicht allein die formale Einbindung in eine Unternehmensgruppe, sondern vor allem, inwieweit IT-Strukturen, Entscheidungsprozesse und Verantwortlichkeiten eigenständig ausgestaltet sind. Gerade im Gesundheitssektor ist diese Abgrenzung von besonderer Bedeutung: Viele Einrichtungen – etwa MVZ-Strukturen oder Plattformanbieter – sind zunehmend technisch vernetzt und auf gemeinsame IT-Infrastrukturen angewiesen. Dadurch steigt die Wahrscheinlichkeit, dass trotz rechtlich getrennter Unternehmensstrukturen keine IT-Autarkie vorliegt und eine konsolidierte Betrachtung erforderlich wird.
Praktische Auswirkungen für das Gesundheitswesen
Für Einrichtungen des Gesundheitswesens hat die Einordnung als wichtige oder besonders wichtige Einrichtung erhebliche praktische Folgen. Relevant sind insbesondere:
- Anforderungen an das Risikomanagement (§ 30 BSIG), etwa durch Risikoanalysen, Sicherheitskonzepte und Incident-Handling;
- Persönliche Verantwortung der Geschäftsleitung für die Umsetzung und Überwachung der Risikomanagementmaßnahmen einschließlich einer Schulungspflicht (§ 38 BSIG);
- Meldepflichten bei Sicherheitsvorfällen (§ 32 BSIG);
- Vorgaben zur Kontrolle von Lieferketten (§ 30 Abs. 2 Nr. 4 BSIG);
- Registrierungs- und Nachweispflichten (§§ 33, 34 BSIG); sowie
- Aufsichtsmaßnahmen (§§ 61 ff. BSIG) und Bußgeldrisiken (§ 65 BSIG).
Fazit
Der neue Rechtsrahmen rückt die IT-Organisation in den Mittelpunkt der regulatorischen Bewertung. IT-Autarkie ist dabei kein bloßer Nebenaspekt, sondern ein zentraler Faktor für die Frage, ob ein Unternehmen als wichtige oder besonders wichtige Einrichtung unter das BSIG fällt und welche Pflichten sich daraus ergeben. Die regulatorische Betroffenheit richtet sich damit nicht mehr allein nach gesellschaftsrechtlichen Strukturen, sondern zunehmend nach der tatsächlichen organisatorischen und technischen Kontrolle über die eigene IT-Landschaft. Unternehmen im Gesundheitswesen sind daher gut beraten, ihre IT-Strukturen nicht nur unter Effizienz- und Betriebsaspekten, sondern auch unter regulatorischen Gesichtspunkten frühzeitig zu analysieren und einzuordnen.
Wir unterstützen Unternehmen umfassend bei der Bewertung ihrer Betroffenheit nach der NIS-2-Richtlinie sowie der darauf basierenden nationalen Umsetzung im BSIG. Dies umfasst insbesondere die Analyse bestehender IT- und Sicherheitsstrukturen, die Identifikation von Handlungsbedarfen sowie die praxisgerechte Umsetzung der regulatorischen Anforderungen. Für Fragen zur konkreten Implementierung und zur strategischen Ausrichtung im Kontext von NIS-2 stehen wir Ihnen jederzeit gerne zur Verfügung.
Autorinnen: Charlotte Husemann, Argyro Tsapakidou