📌 Kernaussage: Bei der Prüfung der Schwellenwerte (Mitarbeiter, Umsatz, Bilanz) müssen grundsätzlich auch die Daten von Partner- und verbundenen Unternehmen berücksichtigt werden – mit einer wichtigen Ausnahme für unabhängigen IT-Betrieb.
📜 Gesetzliche Grundlage
§28 Absatz 4 NIS2UmsuCG regelt:
"Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme [...] ist die Empfehlung der Kommission 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung der Kommission 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen ist."
🏢 Arten von Unternehmensverbindungen
🤝 Partnerunternehmen
Definition: 25% bis 50% Beteiligung
- Anteilige Hinzurechnung der Kennzahlen
- Proportional zur Beteiligungsquote
- Gilt in beide Richtungen
🔗 Verbundene Unternehmen
Definition: Mehr als 50% Beteiligung
- Vollständige Hinzurechnung (100%)
- Mehrheitsbeteiligung = Kontrolle
- Auch bei mittelbarer Verbindung
✅ Ausnahme: Unabhängiger IT-Betrieb
Keine Konsolidierung wenn:
- IT-Systeme werden eigenständig betrieben
- Keine gemeinsame IT-Infrastruktur
- Unabhängige Sicherheitsprozesse
📊 Berechnungsbeispiele
Beispiel 1: Verbundenes Unternehmen (>50%)
Muttergesellschaft hält 80% an einer Tochter.
Eigenes Unternehmen: 120 MA | 15 Mio. € | 12 Mio. €
+ Tochter (100%): 150 MA | 40 Mio. € | 35 Mio. €
─────────────────────────────────────────────────────────
= Konsolidiert: 270 MA | 55 Mio. € | 47 Mio. €
→ Besonders wichtige Einrichtung (≥250 MA)
+ Tochter (100%): 150 MA | 40 Mio. € | 35 Mio. €
─────────────────────────────────────────────────────────
= Konsolidiert: 270 MA | 55 Mio. € | 47 Mio. €
→ Besonders wichtige Einrichtung (≥250 MA)
Beispiel 2: Partnerunternehmen (25-50%)
Beteiligung von 40% an einem Partnerunternehmen.
Eigenes Unternehmen: 80 MA | 20 Mio. € | 18 Mio. €
+ Partner (40% von): 100 MA | 30 Mio. € | 25 Mio. €
+ Anteilig (40%): 40 MA | 12 Mio. € | 10 Mio. €
─────────────────────────────────────────────────────────
= Konsolidiert: 120 MA | 32 Mio. € | 28 Mio. €
→ Wichtige Einrichtung (≥50 MA)
+ Partner (40% von): 100 MA | 30 Mio. € | 25 Mio. €
+ Anteilig (40%): 40 MA | 12 Mio. € | 10 Mio. €
─────────────────────────────────────────────────────────
= Konsolidiert: 120 MA | 32 Mio. € | 28 Mio. €
→ Wichtige Einrichtung (≥50 MA)
Beispiel 3: Unabhängiger IT-Betrieb
Konzerngesellschaft mit eigenständiger IT.
Eigenes Unternehmen: 45 MA | 8 Mio. € | 7 Mio. €
Konzern gesamt: 5000 MA | 500 Mio. € | 450 Mio. €
✓ IT wird vollständig eigenständig betrieben
✓ Keine gemeinsamen IT-Systeme mit Konzern
✓ Eigene IT-Sicherheitsorganisation
─────────────────────────────────────────────────────────
= Relevante Werte: 45 MA | 8 Mio. € | 7 Mio. €
→ Nicht betroffen (unter Schwellenwerten)
Konzern gesamt: 5000 MA | 500 Mio. € | 450 Mio. €
✓ IT wird vollständig eigenständig betrieben
✓ Keine gemeinsamen IT-Systeme mit Konzern
✓ Eigene IT-Sicherheitsorganisation
─────────────────────────────────────────────────────────
= Relevante Werte: 45 MA | 8 Mio. € | 7 Mio. €
→ Nicht betroffen (unter Schwellenwerten)
✅ Wann gilt die Ausnahme für unabhängigen IT-Betrieb?
Prüfkriterien für IT-Unabhängigkeit:
| Kriterium | Unabhängig ✅ | Abhängig ❌ |
|---|---|---|
| IT-Infrastruktur | Eigene Server, Netzwerke, Rechenzentren | Gemeinsame Infrastruktur im Konzern |
| IT-Personal | Eigene IT-Abteilung | Zentrale IT-Services |
| Sicherheitsmanagement | Eigenes ISMS, eigener ISB | Konzern-ISMS, zentraler ISB |
| Systeme | Eigenständige ERP, CRM, etc. | Konzernweite Systeme |
| Netzwerk | Getrennte Netze | VPN/Verbindung zu Konzern-IT |
| Incident Response | Eigene Prozesse | Zentrale Meldewege |
⚠️ Wichtig: Die Beweislast für die IT-Unabhängigkeit liegt beim Unternehmen. Dokumentieren Sie die Unabhängigkeit sorgfältig!
📋 Checkliste: Dokumentation der IT-Unabhängigkeit
Folgende Nachweise sollten Sie bereithalten:
- ☐ Netzwerkdiagramm (zeigt getrennte Infrastruktur)
- ☐ IT-Organigramm (eigene IT-Verantwortliche)
- ☐ Verträge über IT-Services (keine konzerninternen)
- ☐ ISMS-Dokumentation (eigenständiges System)
- ☐ Asset-Inventar (eigene Hardware/Software)
- ☐ Incident-Response-Plan (eigene Prozesse)
- ☐ Backup-Konzept (unabhängige Datensicherung)
❓ Häufige Fragen
Was ist mit Cloud-Services?
Die Nutzung gleicher Cloud-Anbieter (z.B. Microsoft 365) führt nicht automatisch zur Abhängigkeit. Entscheidend ist, ob die Mandanten/Tenants getrennt verwaltet werden und ob es gemeinsame Sicherheitsprozesse gibt.
Reicht eine Firewall zur Trennung?
Eine technische Trennung allein reicht nicht aus. Es muss auch eine organisatorische Unabhängigkeit gegeben sein (eigene IT-Verantwortung, eigene Sicherheitsprozesse).
Was gilt bei Shared Services?
Werden IT-Dienstleistungen (Helpdesk, Administration, Monitoring) zentral erbracht, spricht dies gegen eine Unabhängigkeit.