IT-Sicherheit: Neue EU-Regeln verpflichten auch Kleinunternehmen
Die Kennzahlen der Unternehmensgröße, ab der die „NIS2-Richtlinie“anzuwenden ist, können täuschen. Daraus kann ein unerkanntes Haftungsrisiko folgen.
Die EU-Richtlinie 2022/2555 (NIS2-Richtlinie) muss in Österreich bis spätestens 17. Oktober 2024 umgesetzt werden. Sie verpflichtet Unternehmen, die in als kritisch eingestuften Wirtschaftssektoren (zum Beispiel Energie, Verkehr, Lebensmittel, IT-Services, verarbeitendes Gewerbe) tätig sind, umfassende Risikomanagementmaßnahmen zur Absicherung ihrer IT-Infrastruktur zu schaffen, ihre Mitarbeiter auf deren Anwendung zu schulen sowie deren Einhaltung zu überwachen.
Betroffene Einrichtungen müssen überdies Vorkehrungen zum Schutz ihrer IT-Systeme vor Sicherheitslücken in der Lieferkette einrichten. Bei Verstößen gegen diese Vorgaben drohen hohe Geldbußen, und die Leitungsorgane verpflichteter Unternehmen können persönlich zur Haftung herangezogen werden.
Unternehmen hinzuzurechnen
Die NIS2-Richtlinie gilt primär für in der EU tätige Einrichtungen, die in einem der in den Anhängen der Richtlinie genannten Wirtschaftssektoren tätig sind und gemäß der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen überschreiten. Im privaten Wirtschaftsbereich erfasst die Richtlinie demnach Unternehmen, die mindestens 50 Personen beschäftigen und entweder einen Jahresumsatz von mehr als zehn Mio. Euro erzielen oder deren Jahresbilanzsumme sich auf mehr als zehn Mio. Euro beläuft.
Zur Beantwortung der Frage, ob ein Unternehmen diese Kennzahlen erfüllt und daher zur Einhaltung der NIS2-Richtlinie verpflichtet ist, darf allerdings nicht allein auf die Daten der betroffenen Einrichtung abgestellt werden. Wie sich aus Art 3 und 6 der Empfehlung 2003/361/EG ergibt, sind die Arbeitnehmer-, Umsatz- und Bilanzdaten von mit einer Einrichtung verbundenen Unternehmen der betreffenden Einrichtung nämlich zuzurechnen und auf dieser Basis die Größenkennzahlen für das (Nicht-)Vorliegen eines mittleren Unternehmens zu ermitteln.
Gleiches gilt – proportional zur jeweiligen Beteiligung – auch für alle der betreffenden Einrichtung unmittelbar vor- und nachgeschalteten Partnerunternehmen. Die Empfehlung 2003/361/EG definiert „Partnerunternehmen“als Unternehmen, die 25% oder mehr des Kapitals oder der Stimmrechte eines anderen Unternehmens halten. Verbundene Unternehmen sind solche, die über ein anderes Unternehmen Kontrolle ausüben, etwa weil sie über die Mehrheit der Stimmrechte an der kontrollierten Einrichtung verfügen.
Auf Grundlage dieses Regelungskonzepts können auch Klein (st)unternehmen in Unternehmensgruppen sehr rasch in den Anwendungsbereich der NIS2Richtlinie fallen, sofern sie eine Tätigkeit in einem kritischen Wirtschaftssektor ausüben. Unerkannt kann dieser Umstand massive Haftungen auslösen.
Umsicht ist geboten
Auch kleine Unternehmen sollten sorgsam prüfen, ob sie aufgrund der Zurechenbarkeit von Arbeitnehmern und Bilanzzahlen beteiligter Gesellschaften in den Anwendungsbereich der NIS2-Richtlinie fallen könnten. In größeren Unternehmensgruppen können zielgerichtete Umgründungen (z. B. gezielte Abspaltung kritischer Betriebe in eine einheitliche „NISGruppengesellschaft“) der Notwendigkeit vorbeugen, die Anforderungen der NIS2-Richtlinie kostspielig in gleich mehreren Konzernbereichen umsetzen und einhalten zu müssen.