Der folgende Beitrag dient dazu, eine Übersicht über die Anwendbarkeit der NIS-2 Richtlinie (im Folgenden „NIS-2“) zu vermitteln. Für den Bereich des verarbeitenden Gewerbes wird teilweise eine Klassifizierung als „Chemischer Sektor“ im Sinne der NIS-2 relevant. Dies betrifft u.a. Unternehmen, die Waren herstellen bei denen es zur Verarbeitung chemischer Elemente und deren Verbindungen kommt. Es wird herausgearbeitet, worauf es ankommt, um für solche Unternehmen die Betroffenheit nach der NIS-2 zu ermitteln.
Der Inhalt im Überblick
Hintergründe der NIS-2-Richtlinie
Die EU hat sich zum Ziel gemacht, die Cybersicherheit der einzelnen Mitgliedsstaaten nachbessern zu lassen und durch die Festlegung von verpflichtenden Maßnahmen auf ein einheitliches Niveau zu bringen. NIS steht für „Network and Information Security“ und ist dem Bereich der IT-Sicherheit zuzuordnen, die Kenntnis ihrer Geltung und ihrer Inhalte ist aber auch für die datenschutzrechtliche Beratung von Relevanz.
Es ist vorgesehen, dass die NIS-2 bis zum 17. Oktober 2024 von dem nationalen Gesetzgeber in deutsches Recht überführt wird. Inhaltlich gehen mit der NIS-2 diverse Verpflichtungen im Bereich Cybersicherheitsrisikomanagement sowie Berichtspflichten einher. Der Geltungsbereich ist umfassend, betroffen sind hauptsächlich Unternehmen im Bereich der kritischen Infrastruktur, wobei der Anwendungsbereich teilweise sehr weit ist.
Da dem nach der DSGVO Verantwortlichen gem. Art. 32 Abs. 1 DSGVO die Beurteilung eines angemessenen Schutzniveaus der technischen und organisatorischen Maßnahmen (TOM) obliegt, ist es für einen Datenschutzbeauftragten im Unternehmen wichtig, zumindest überblicksweise die aktuellen Anforderungen und Standards im Bereich IT-Sicherheit zu kennen. Nur wer die geltenden gesetzlichen Anforderungen in der eigenen Branche sowie der Branche von eingesetzten Dienstleistern kennt, kann abschließend beurteilen, ob wirklich ein angemessenes Niveau an technischer Datensicherheit gewährleistet wird.
Notwendigkeit einer Betroffenheitsanalyse
Da die Anwendbarkeit der NIS-2 von mehreren Komponenten abhängig ist, lässt sich nicht ohne Weiteres bestimmen, für welche Unternehmen diese Relevanz entfaltet. Die Frage, ob eine der relevanten Komponenten einschlägig ist, erfordert teilweise eine umfangreiche rechtliche Betrachtung. Sicherheit bei der Frage, ob das eigene Unternehmen von der NIS-2 betroffen ist, kann eine rechtliche Betroffenheitsanalyse geben.
Darauf kommt es an, um die Betroffenheit zu ermitteln
Im Folgenden werden Kriterien aufgeführt, auf die es (unter anderem) ankommt, um die Anwendbarkeit der NIS-2 im konkreten Fall zu ermitteln. Dabei erfolgt eine Betrachtung auf Richtlinienebene, die (bisher teilweise abweichende Umsetzung) in den Referentenentwürfen wurde im Folgenden nicht berücksichtigt.
- Art der Einrichtung (Art. 2 Abs. 1, Anhang I, II NIS-2). Aufgezählt sind z.B. Einrichtungen aus dem Energiesektor oder dem Gesundheitswesen (Anhang I). Auch die Produktion und der Vertrieb Chemischer Erzeugnisse sowie die Herstellung von Waren im Bereich Medizinprodukte, Computer, Elektronik oder Maschinen (Anhang II) können eine Betroffenheit auslösen.
- Größe der Einrichtung (Art. 2 Abs. 1 NIS-2 i.V.m. Art. 2 des Anhangs der Empfehlung 2003/361/EG).
- Ort an dem die Dienste erbracht werden oder die Tätigkeit ausgeübt wird (Art. 2 Abs. 1 NIS-2).
- Erbringung spezifischer Dienste im Zusammenhang mit elektronischer Kommunikation und Domänen (Art. 2 Abs. 2 lit. a, Art. 2 Abs. 4 NIS-2).
- Monopolstellung des Anbieters (Art. 2 Abs. 2 lit. b NIS-2).
- Wesentliche Auswirkungen einer Störung des Dienstes auf die öffentliche Ordnung, Sicherheit oder Gesundheit (Art. 2 Abs. 2 lit. c NIS-2).
- Wesentliches Systemrisiko im Fall einer Störung des Dienstes (Art. 2 Abs. 2 lit. d NIS-2).
- Besondere Bedeutung der Einrichtung für einen Sektor (Art. 2 Abs. 2 lit. e NIS-2).
- Einrichtung der öffentlichen Verwaltung (Art. 2 Abs. 2 lit. f NIS-2).
Geltung für den Chemischen Sektor gem. Anhang II Nr. 3 oftmals unklar
Für den Bereich des chemischen Sektors muss zunächst untersucht werden, ob das Kriterium der Art der Einrichtung erfüllt ist. Dies ergibt sich gem. Art. 2 Abs. 1 nach dem Anhang II Nr. 3 NIS-2. So weit so gut. Doch wie bereits angekündigt, lässt sich die Betroffenheit bzw. die Frage, ob das untersuchte Kriterium erfüllt ist, nicht ohne Weiteres durch einen Blick in das Gesetz beantworten.
Darauf kommt es für den Chemischen Sektor an, um eine Betroffenheit festzustellen
In Anhang II wird unter 3. der chemische Sektor mit „Produktion, Herstellung und Handel mit chemischen Stoffen“ beschrieben. Demnach kommt es darauf an, dass das Unternehmen
- Stoffe herstellt
- mit Stoffen oder Gemischen handelt
- Erzeugnisse aus Stoffen oder Gemischen produziert.
Welche Unternehmen genau unter diesen Begriff fallen, ergibt sich aus der dritten Spalte des Anhang II, dort wird auf Art. 3 Nr. 9 und 14 der Verordnung (EG) Nr. 1907/2006 (REACH-VO) verwiesen, wo wiederrum Bezug auf die Definition eines Stoffes nach Art. 3 Nr.1 genommen wird. Spätestens hier dürfte klar sein, warum es einer teilweise umfassenden rechtlichen Analyse bedarf, um festzustellen, ob die NIS-2 für ein konkreten Betrieb gilt.
Weiter Anwendungsbereich im gesamten verarbeitenden Gewerbe
Da das Kriterium der Herstellung eines Stoffes i.S.d. Art. 3 Nr. 1 REACH-VO in der Praxis nach der aktuellen Handhabung in der Richtlinie sehr oft in Betracht kommt, ist ein sehr weiter Anwendungsbereich im verarbeitenden Gewerbe zu befürchten, sofern die Unternehmen als Hersteller i.S.d. Art. 3 Nr. 9 REACH-VO auftreten. Dies ist unter anderem dann der Fall, wenn ein Unternehmen, das einen Sitz in der EU hat, einen „Stoff“ herstellt.
Ein solcher ist gem. Art. 3 Nr. 1 REACH-VO definiert als:
„chemisches Element und seine Verbindungen in natürlicher Form oder gewonnen durch ein Herstellungsverfahren, einschließlich der zur Wahrung seiner Stabilität notwendigen Zusatzstoffe und der durch das angewandte Verfahren bedingten Verunreinigungen, aber mit Ausnahme von Lösungsmitteln, die von dem Stoff ohne Beeinträchtigung seiner Stabilität und ohne Änderung seiner Zusammensetzung abgetrennt werden können“.
Beispiele für potenziell betroffene Branchen sind: die Herstellung von Nahrungs- und Futtermitteln, Gummi- und Kunststoffwaren, Glaswaren, Keramik sowie die Verarbeitung von Steinen und Erden und von Metallerzeugnissen aber auch der Maschinenbau (Beispiele im Zusammenhang zur NIS-2 entnommen aus VDMA, Arbeitspapier zum Anhang II Nr. 3 NIS-2-Richtlinie, NIS2 und REACH, S. 5-7).
Vom Grundsatz her fallen Unternehmen in diesen Branchen unter den Anwendungsbereich, sofern sie nicht als Kleinst- oder Kleinunternehmen i.S.d. Art. 2 des Anhangs der Empfehlung 2003/361/EG gelten. Das bedeutet, dass ab einer Beschäftigtenanzahl von 50 Personen und einem Jahresumsatz bzw. einer Jahresbilanz von 10 Mio. EUR die NIS-2 potenziell relevant wird. Erste Einschätzungen gehen davon aus, dass im Bereich des verarbeitenden Gewerbes etwa 50% der Unternehmen in Deutschland betroffen sein werden, was über 22.500 Unternehmen entspricht (VDMA, Arbeitspapier zum Anhang II Nr. 3 NIS-2-Richtlinie, NIS2 und REACH, S. 5).
Bewertung der Betroffenheit und Identifikation von Umsetzungslücken
Welche Umsetzung sich im deutschen Recht letztendlich durchsetzen wird, bleibt abzuwarten. Fest steht, dass sich der Anwendungsbereich von den betroffenen Unternehmen durch die NIS-2 auf vielen bisher nicht betroffene Bereiche ausdehnen wird. Insgesamt wird im Zusammenhang mit den durch die NIS-2 vorgegebenen Einrichtungskategorien von einer „signifikanten Ausweitungen des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereich“ gesprochen (Referentenentwurf der Bundesministeriums des Innern und für Heimat, NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, S.2.).
Bei der Umsetzung der NIS-2 besteht in vielen Fällen bereits jetzt Handlungsbedarf. Nachdem rechtlich geprüft wurde, ob das eigene Unternehmen unter den Anwendungsbereich der NIS-2-Richtlinie fällt, muss ermittelt werden, an welchen Stellen Anpassungen vorzunehmen sind, um die Compliance mit der NIS-2 Richtlinie sicherzustellen. Erst nachdem der konkrete Handlungsbedarf ermittelt wurde, kann mit der Umsetzung der NIS-2 begonnen werden.
Sie benötigen Unterstützung? Unser Fahrplan mit Check, Beratung und Umsetzung für NIS‑2.Eine Ersteinschätzung, ob Ihr Unternehmen von NIS-2 betroffen ist, erhalten Sie mit unserem NIS-2 QuickCheck.