Ist Ihr Unternehmen von NIS2 betroffen?

Ein Beitrag von GROSS Rechtsanwaltsgesellschaft mbH

Die Anforderungen an Cybersicherheit haben sich für viele Unternehmen in Deutschland nach dem NIS2-Umsetzungsgesetz erhöht. Im Dezember 2025 ist in Deutschland das sog. NIS2-Umsetzungsgesetz in Kraft getreten, durch das die EU-Richtlinie 2022/2555 zur Festlegung von Mindeststandards für Cybersecurity umgesetzt wird.

Die maßgeblichen Regelungen befinden sich im neu beschlossenen BSI-Gesetz (BSIG). Danach haben sich die Anforderungen für Cybersicherheit für viele Unternehmen in Deutschland erheblich verschärft. Nach den Bußgeldvorschriften in § 65 BSIG drohen außerdem hohe Bußgelder bei Pflichtverstößen. Neu ist auch, dass die Geschäftsleitung für einen schuldhaft verursachten Schaden persönlich haften kann (§ 38 BSIG).

Das NIS2-Umsetzungsgesetz kann neben öffentlichen Betreibern von kritischer Infrastruktur auch mittelständische Unternehmen betreffen. Das BSIG nennt insofern Einrichtungen aus insgesamt 18 Sektoren, die grundsätzlich in den Anwendungsbereich fallen. Dazu zählen z.B. die Bereiche Energie/Stromversorgung, Transport und Verkehr, Anbieter von digitaler Infrastruktur, Abfallbewirtschaftung, Lebensmittelunternehmen oder Hersteller von Medizinprodukten und elektronischen Erzeugnissen.

Je nach Wichtigkeit der Einrichtung für die öffentliche Versorgung hängt die Anwendbarkeit des BSIG zusätzlich von der Überschreitung von Schwellenwerten bezüglich der Anzahl der im Unternehmen beschäftigten Mitarbeiter und vom Umsatz ab. Im Fall von „besonders wichtigen Einrichtungen“ iSv § 28 Abs. 1 Nr. 4 BSIG müssen mindestens 250 Mitarbeiter beschäftigt sein oder ein Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro erreicht werden. Bei „wichtigen Einrichtungen“ im Sinne von § 28 Absatz 2 ist das BSIG nur anwendbar, wenn mindestens 50 Mitarbeiter beschäftigt sind oder eine Jahresbilanzsumme von jeweils über 10 Millionen Euro erreicht wird.

Nach § 28 Abs. 3 BSIG fällt eine Einrichtung ausnahmsweise dann nicht in den Anwendungsbereich des BSIG, wenn die sektorrelevante Tätigkeit des Unternehmens im Hinblick auf seine gesamte Geschäftstätigkeit vernachlässigbar ist. Da die EU-Richtlinie eine solche Ausnahmeregelung nicht vorsieht besteht aktuell Unsicherheit darüber, ob das BSIG hinsichtlich dieser Regelung europarechtskonform ist. Unternehmen, die den Ausnahmetatbestand für sich beanspruchen, müssen deswegen damit rechnen, dass die Ausnahmevorschrift ggf. zukünftig im Zuge einer EU-gerichtlichen Kontrolle wegfällt und ab diesem Zeitpunkt dann auch für diese Unternehmen die Anforderungen und die Sanktionsnormen des BSIG gelten.

Die zentrale Norm zur Bestimmung des Anwendungsbereichs vom NIS2-Umsetzungsgesetzes ist § 28 Abs. 1 und 2 BSIG, wo zwischen dem „Betreiber kritischer Anlagen“, „besonders wichtigen Einrichtungen“ sowie „wichtigen Einrichtungen“ unterschieden wird. Maßgeblich für die Einordnung sind folgende Fragen:

Nach der Begriffsdefinition in § 2 Nr. 22 BSIG ist „kritische Anlage“ eine Anlage im Sinne des § 2 Nummer 3 des KRITIS-Dachgesetzes. Nach dieser Bestimmung ist eine kritische Anlage „eine Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich ist“. Eine kritische Dienstleistung wiederum ist nach der Definition in § 2 Nummer 4 KRITIS-Dachgesetz eine Dienstleistung „zur Versorgung der Allgemeinheit in den Sektoren Energie, …, Wasser,…, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde;“. Damit setzt der Anwendungsbereich von § 28 Abs. 1 Nr. 1 BSIG also voraus, dass die Beeinträchtigung einer Versorgungsanlage die Allgemeinheit betrifft und zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde.

Nach § 28 Absatz 1 Nr. 4 und Abs. 2 Nr. 3 BSIG fallen unter den Anwendungsbereich des BSIG ferner „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Dabei handelt es sich außerhalb des behördlichen Bereichs um natürliche oder juristische Personen, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einem Sektor der Anlagen 1 und 2 BSIG zuzuordnen sind. Prüfen Sie also, ob sich Ihre Geschäftstätigkeit in einen Sektor der Anlage 1 (bei „besonders wichtigen Einrichtungen“) oder Anlagen 1 und 2 (bei „wichtigen Einrichtungen“) einordnen lässt. Verwenden Sie dabei die in Spalte D der Anlage jeweils angegebenen Begriffsdefinitionen.

Für Unternehmen, die auf dem Immobiliensektor tätig sind, soll nachfolgend exemplarisch geprüft werden, ob deren Geschäftstätigkeit unter § 28 Abs. 1 Nr. 1 BSIG oder eine in Betracht kommende Einrichtungskategorie der Anlage 1 und 2 BSIG fällt.

Oftmals betreiben Immobilienunternehmen oder Wohnungseigentümergemeinschaften Anlagen wie Ladesäulen, PV-Anlagen oder Blockheizkraftwerke - mithin Anlagen zur Energieversorgung. Man könnte deswegen daran denken, dass sie als Betreiber kritischer Anlagen iSd BSIG in Betracht kommen, weil der Sektoren „Energie“ in § 28 und in der Anlage 1 zum BSIG als besonders wichtige Einrichtung genannt wird.

Allerdings dienen Anlagen wie Ladesäulen, PV-Anlagen oder Blockheizkraftwerke nicht der Versorgung der Allgemeinheit, sondern in erster Linie der Selbstversorgung einer Mehrfamilienhausanlage bzw. der Versorgung einer WEG. Selbst in Fällen, wo z.B. Reststrom aus einer PV-Anlage in das allgemeine Netz eingespeist wird, würde das in einem Umfang geschehen, dessen Ausfall nicht zu erheblichen Versorgungsengpässen der Allgemeinheit führt.

Selbst betriebenen Anlagen zur Energieversorgung fallen damit nicht unter den Anwendungsbereich von § 28 Abs. 1 Nr. 1 BSIG.

Aus der Anlage 1 zum BSIG kommen für Immobilienunternehmen oder Wohnungseigentümergemeinschaften theoretisch die folgenden Sektoren als Geschäftstätigkeit nach dem BSIG in Betracht:

Nummer 1.1.1 Stromlieferant nach § 3 Nummer 31c EnWG

Nach dem EnWG setzt die Eigenschaft als Stromlieferant voraus, dass Elektrizität zum Zwecke der Belieferung von Letztverbrauchern vertrieben wird. Es wird also darauf abgestellt, dass der Stromlieferant Vertragspartner des Endverbrauchers wird und, dass eine geschäftliche, d.h. eine auf Gewinnerzielung ausgerichtete Tätigkeit vorliegt.

Die von Wohnungseigentümergemeinschaften oftmals betriebenen PV-Anlagen, dienen in erster Linie der Selbstversorgung und fallen damit nicht unter den Begriff „Stromlieferant“, genauso wenig wie ein etwaiger Gewinn aus der Einspeisung von Strom aus der PV-Anlage in das öffentliche Netzt, weil dafür kein Vertragsverhältnis mit einem Endverbraucher eingegangen wird.

Nummer 5.1.1 Betreiber von Wasserversorgungsanlagen iSv § 2 Nr. 3 TrinkwV

Bei Wohnungseigentümergemeinschaften oder Eigentümern von Mehrfamilienhäusern könnte es sich nach der Definition in § 2 Nr. 3, Nr. 2 TrinkwV, auf die in der Anlage 1 BSIG verwiesen wird, um Inhaber einer Wasserversorgungsanlagen iSv § 2 Nr. 3 TrinkwV handeln.

Nach den Tatbestandsvoraussetzungen von § 28 Abs. 1 Nr. 4 und Abs. 2 Nr. 3 BSIG wäre für die Anwendbarkeit des BSIG jedoch außerdem erforderlich, dass entgeltlich Waren oder Dienstleistungen angeboten werden, die einem Sektor der Anlagen 1 und 2 zum BSIG zuzuordnen sind (s.o.).

Das ist nicht der Fall, weil Eigentümergemeinschaften oder Verwaltungen die Wasserversorgung nicht entgeltlich anbieten, sondern allenfalls die vom Versorgungsunternehmen abgerechneten Kosten an die Nutzer der Immobilie weitergeben.

Zum anderen würde die Ausnahme nach § 28 Absatz 3 BSIG eingreifen, weil die Wasserversorgung nicht den Schwerpunkt der Geschäftstätigkeit einer Immobiliengesellschaft darstellt.

Nach Anlage 2 zum BSIG kommen grundsätzlich folgender Sektor in Betracht:

Nummer 2.1.1 „Abfallbewirtschaftung“

Nach der Beschreibung der Einrichtungsart (Spalte D der Nummer 2.1.1) sind vom Anwendungsbereich dieses Sektors allerdings Unternehmen ausgeschlossen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist.

Für den Bereich der Immobilienbewirtschaftung kommt der Sektor damit nicht in Betracht.

Für Unternehmen, die auf dem Immobiliensektor tätig sind oder für Wohnungseigentümergemeinschaften, verbleibt für deren übliche Geschäftstätigkeiten kein Anwendungsbereich nach dem NIS2-Umsetzungsgesetz.

Autorin: Tanja Zerull - GROSS Rechtsanwaltsgesellschaft mbH