Zuständigkeiten in der EU – Wer ist für dein Unternehmen verantwortlich?
Willkommen zum achten und abschließenden Teil unserer Blogreihe über die NIS-2-Richtlinie! Nachdem wir in den vorherigen Beiträgen die Grundlagen, den Zeitablauf, die notwendigen Nachweise, Registrierungs- und Meldepflichten, Aufsicht und Sanktionen, das Risikomanagement sowie technische und organisatorische Maßnahmen behandelt haben, widmen wir uns heute der Klärung der Zuständigkeiten innerhalb der EU – ein entscheidender Aspekt, um sicherzustellen, dass dein Unternehmen die NIS-2-Anforderungen korrekt erfüllt.
NIS-2: Ein Flickenteppich an Zuständigkeiten?
Die NIS-2-Richtlinie schafft zwar einen einheitlichen Rahmen für Cybersicherheit in der EU, die Umsetzung in den einzelnen EU-Mitgliedsstaaten kann jedoch variieren. Die Richtlinie definiert das Mindestmaß, strengere nationale Regelungen sind durchaus möglich.
Für Unternehmen, die grenzüberschreitend tätig sind, kann die Umsetzung daher komplex sein. Die zentrale Frage lautet: Welches Land ist für dein Unternehmen zuständig? Muss du dein Unternehmen bei mehreren nationalen Meldestellen registrieren? Was gibt es alles zu beachten?
Was geschieht, wenn nationale Regeln strenger sind?
Wenn dein Unternehmen Dienste in einem EU-Mitgliedstaat anbietet, der strengere nationale Vorschriften als die NIS-2-Richtlinie hat, musst du diese strengeren Vorschriften einhalten. Ein Vorteil, der mit der NIS-2-Richtline kommt, ist die klare Definition von Verantwortlichkeiten innerhalb der Länder. Jedes Land hat eine zentrale Meldestelle (Art. 8), die für die Zusammenarbeit der Behörden zuständig ist. Dies kann entsprechende Informationen zum nationalen Recht zur Verfügung stellt. Darüber hinaus können Branchenverbände oder Beratungsunternehmen bei der Erfüllung der verschiedenen nationalen Anforderungen behilflich sein.
Welcher Mitgliedstaat ist zuständig, wenn dein Unternehmen in mehreren Ländern tätig ist?
Grundsätzlich ist der Mitgliedstaat zuständig, in dem sich die Hauptverwaltung deines Unternehmens befindet. Als Hauptniederlassung definiert, wird in Art. 26 der Richtlinie in dieser Reihenfolge:
- Die Niederlassung in der die Entscheidungen in Bezug auf die Maßnahmen zur Cybersicherheitsrisikomanagements getroffen werden.
- Die Niederlassung in der die Entscheidungen umgesetzt werden.
- Die Niederlassung mit der höchsten Beschäftigtenzahl innerhalb der EU.
Dabei ist zu beachten, dass Punkt zwei nur dann greift, wenn die Niederlassung, in der die Entscheidungen getroffen werden, außerhalb der EU liegt. Punkt drei wird nur herangezogen, wenn die ersten beiden Regelungen nicht anwendbar sind. Hier ein paar kleine Beispiele zur Veranschaulichung.
Beispiel 1:
Ein deutsches Unternehmen hat seinen Hauptsitz in Hamburg und weitere Niederlassungen in München, Paris und Brüssel. Die Entscheidungen zur Cybersicherheit des Unternehmens werden in der Hauptverwaltung getroffen. Es greift die erste Regel: Die Hauptniederlassung in Hamburg ist ausschlaggebend und Deutschland somit zuständig.
Beispiel 2:
Ein Unternehmen hat seine Hauptniederlassung in London. Dort werden auch die Entscheidungen zur Cybersicherheit getroffen. Weitere Niederlassungen befinden sich in Stuttgart und Berlin. Da die Entscheidungen außerhalb der EU, nämlich im Vereinigten Königreich, getroffen werden, greift die zweite Regelung. Die Cybersicherheitsmaßnahmen werden in Deutschland umgesetzt. Somit fällt das Unternehmen in die Zuständigkeit von Deutschland für die Umsetzung der NIS-2-Richtlinie.
Beispiel 3:
Ein drittes Unternehmen hat seine Hauptniederlassung ebenfalls in London. Weitere Niederlassung befinden sich in Portugal, Frankreich und Deutschland. Da die Entscheidungen im EU-Ausland getroffen und in mehreren EU-Mitgliedsstaaten umgesetzt werden greift weder die erste noch die zweite Regelung. Maßgeblich ist nun in welcher Niederlassung innerhalb der EU, die meisten Beschäftigten hat. Wenn die Niederlassung in Portugal also 200 Beschäftigte hat, die beiden Niederlassungen in Frankreich und Deutschland beide darunter liegen, so fällt das Unternehmen in die portugiesische Zuständigkeit.
Was geschieht, wenn ein Unternehmen keine Niederlassung innerhalb der EU hat?
Die NIS-2-Richtlinie gilt auch für Unternehmen, die Dienste innerhalb der EU anbieten, aber keine Niederlassung in einem der EU-Mitgliedsstaaten haben. In diesem Fall muss das Unternehmen einen Vertreter bestimmen, der in einem EU-Mitgliedstaat niedergelassen ist. Sodann greifen die oben beschriebenen Regeln für den Vertreter.
Wird kein Vertreter benannt, so kann jeder EU-Mitgliedsstaat rechtliche Schritte wegen Verstoßes gegen die NIS-2-Richtlinie einleiten.
Amtshilfe
Bietet ein Unternehmen seine Dienste in mehreren EU-Mitgliedsstaaten an, so kann ein Mitgliedsstaat die jeweils zuständige Behörde um Amtshilfe ersuchen. Dabei geht es sowohl um Aufsichts- als auch um Durchsetzungsmaßnahmen. Die Amtshilfe umfasst
- Auskünfte
- Vor-Ort-Kontrollen
- Externe Aufsichtsmaßnahmen
- Gezielte Sicherheitsprüfungen
Die zuständige Behörde kann die Amtshilfe nur ablehnen, wenn
- Sie nicht zuständig ist.
- Die Amtshilfe nicht in angemessenem Verhältnis steht.
- Informationen oder Tätigkeiten betroffen sind, deren Offenlegung der nationalen oder öffentlichen Sicherheit zuwiderlaufen würde.
Die Komplexität meistern: Wir unterstützen dich!
Die NIS-2-Richtlinie stellt Unternehmen vor komplexe Herausforderungen, insbesondere bei grenzüberschreitenden Aktivitäten. Es gilt, die Mindestanforderungen der Richtlinie zu erfüllen und gleichzeitig die länderspezifischen Vorschriften zu berücksichtigen.
Unser Beratungsangebot:
- Analyse deiner individuellen Situation: Wir ermitteln, welches Land für dein Unternehmen zuständig ist und welche spezifischen Vorschriften dein Unternehmen einhalten muss.
- Erstellen einer umfassenden Risikoanalyse als Grundlage für ein ISMS.
- Unterstützung bei der Umsetzung: Wir helfen dir bei der Implementierung der erforderlichen technischen und organisatorischen Maßnahmen, um die NIS-2-Anforderungen zu erfüllen.
Kontaktiere uns für ein unverbindliches Beratungsgespräch!
Die in diesem Blogpost enthaltenen Informationen dienen lediglich zu Informationszwecken und stellen keine Rechtsberatung dar. Wir haben die Informationen nach bestem Wissen und Gewissen zusammengestellt, übernehmen jedoch keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Für eine verbindliche Auslegung der NIS-2-Richtlinie und deren Umsetzung in nationales Recht konsultiere bitte einen Rechtsberater.
Quellenangaben
- BSI (Bundesamt für Sicherheit in der Informationstechnik): „FAQ zur NIS-2-Richtlinie.“ [https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-FAQ/FAQ-zu-NIS-2\_node.html]
- BSI: „Was tun? Leitfaden zur Umsetzung der NIS-2-Richtlinie.“ [https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun\_node.html]
- Europäisches Parlament und Rat der Europäischen Union (2022): Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148. Amtsblatt der Europäischen Union, L 333, S. 80–152. Verfügbar unter: [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX%3A32022L2555]
