Kontakt

Home  >  Aktuelles

Sind Caritasverbände eigentlich von NIS-2 betroffen?

 

Spannende Frage. Da die Verbände meist alle Einrichtungen unter der selben Firmierung betreiben, könnte hier eine Meldung / Registrierung nach NIS-2 erforderlich sein, obwohl inhaltlich der meiste Teil ja definitiv keine Gesundheitsvorsorge im Sinne der Richtlinie sein wird.

Caritasverbände und ihre Einrichtungen (wie Krankenhäuser, Pflegeheime oder Beratungsstellen) können unter die NIS-2-Richtlinie fallen und werden dann in der Regel als

“wichtige Einrichtungen” eingestuft. 

Hier sind die wichtigsten Punkte:

  • Relevanz: Caritasverbände sind wichtige Säulen der sozialen Infrastruktur und fallen aufgrund ihrer Tätigkeit in den sozialen Einrichtungen unter die Cybersicherheitsanforderungen der NIS-2.
  • Schwellenwerte: Einrichtungen der Caritas sind betroffen, wenn sie als mittelgroße Unternehmen gelten, d.h. in der Regel mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz/Jahresbilanzsumme von mehr als 10 Mio. Euro aufweisen.
  • Gesundheitssektor: Insbesondere Caritas-Einrichtungen im Bereich Gesundheit und Pflege sind betroffen.
  • Konsequenzen: Als “wichtige Einrichtungen” müssen sie Maßnahmen zur Cybersicherheit ergreifen, Meldepflichten bei Sicherheitsvorfällen nachkommen und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. 

Die genaue Einordnung hängt von der Größe und dem spezifischen Dienstleistungsbereich der jeweiligen Verbandsebene (Diözesan-, Bezirks- oder Ortsverband) ab.

Zwei wichtige Themen, die sich daraus ergeben:

  1. Wichtige und besonders wichtige Unternehmen im Sinne der NIS‑2‑Umsetzung müssen sich in Deutschland beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Die Registrierung erfolgt zentral über das BSI‑Onlineportal. Dort sind insbesondere die Unternehmensdaten, die Einordnung als wichtige oder besonders wichtige Einrichtung, der zugehörige NIS‑2‑Sektor sowie die Kontaktdaten der verantwortlichen Ansprechpersonen für Informationssicherheit und Meldungen zu hinterlegen. Bestehende betroffene Unternehmen müssen diese Registrierung innerhalb von drei Monaten nach Inkrafttreten der neuen Regelungen beziehungsweise bis zu der aktuell gesetzten Übergangsfrist vornehmen; künftig ist jeweils binnen drei Monaten nach Eintritt der Betroffenheit zu registrieren, und Änderungen der Angaben sind zeitnah im Portal zu aktualisieren.
  2. In § 32 BSIG ist eine gesetzliche Meldepflicht für sogenannte „erhebliche“ Sicherheitsvorfälle i.S.d. § 2 Abs. 1 Nr. 11 BSIG geregelt. 


Hier noch mal die genauen Kriterien und Schwellenwerte:

Nach Art. 3 NIS‑2 wird nicht „besonders wichtig“ vs. „wichtig“ als Begriffspaar verwendet, sondern „wesentliche“ (essential) und „wichtige“ (important) Einrichtungen; die deutsche Umsetzung (NIS2UmsuCG) spricht dabei von „besonders wichtigen“ und „wichtigen“ Einrichtungen und knüpft inhaltlich an Art. 3 an.

1. „Besonders wichtige“ / wesentliche Einrichtung

Nach Art. 3 Abs. 1 NIS‑2 gelten als wesentliche Einrichtungen:

  • Einrichtungen der in Anhang I genannten Art (u.a. Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT‑Dienstleister), die die Schwellenwerte für mittlere Unternehmen nach der Empfehlung 2003/361/EG überschreiten (i.d.R. ≥ 250 Beschäftigte oder bestimmte Umsatz-/Bilanzwerte).
  • Qualifizierte Vertrauensdiensteanbieter, Register der Domäne oberster Stufe (TLD‑Registries) und DNS‑Diensteanbieter unabhängig von ihrer Größe.
  • Einrichtungen, die nach der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft sind und in Art. 2 Abs. 3 NIS‑2 genannt werden.
  • Sonstige Einrichtungen der in Anhang I oder II genannten Art, die ein Mitgliedstaat nach Art. 2 Abs. 2 Buchst. b–e als wesentliche Einrichtung bestimmt (z.B. wegen besonderer nationaler Bedeutung).

In der deutschen Diskussion werden diese Art.‑3‑Abs.‑1‑Einrichtungen als „besonders wichtige Einrichtungen“ bezeichnet; zusätzlich ordnet der deutsche Entwurf u.a. Betreiber kritischer Anlagen (KRITIS) sowie größere Unternehmen in den in Anlage 1 genannten Sektoren (Schwellenwerte: i.d.R. ≥ 250 MA oder ≥ 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme) dieser Kategorie zu.

2. „Wichtige“ Einrichtung

Nach Art. 3 Abs. 2 NIS‑2:

  • Einrichtungen der in Anhang I oder II genannten Art, die nicht als wesentliche Einrichtungen im Sinne von Abs. 1 gelten, sind wichtige Einrichtungen.
  • Das umfasst insbesondere Unternehmen in den erfassten Sektoren (Anhang I und II), die nur die Schwellenwerte für mittlere Unternehmen erreichen, aber nicht unter Art. 3 Abs. 1 fallen, sowie Einrichtungen, die ein Mitgliedstaat nach Art. 2 Abs. 2 Buchst. b–e ausdrücklich als wichtige Einrichtungen bestimmt.

In der deutschen Umsetzung werden als „wichtige Einrichtungen“ typischerweise mittlere Unternehmen (≥ 50 Beschäftigte oder ≥ 10 Mio. € Umsatz/Bilanzsumme) in den in Anlage 1 und 2 genannten Sektoren sowie bestimmte kleinere Vertrauensdienste‑ oder Telekommunikationsanbieter eingeordnet, soweit sie nicht bereits als besonders wichtig/wesentlich gelten.

3. Kernelemente für die Einordnung

Für die Einordnung sind im Kern drei Kriterien maßgeblich:

  • Sektor: Das Unternehmen muss einem in Anhang I (hochkritische Sektoren) oder Anhang II (weitere kritische Sektoren) genannten Bereich angehören.
  • Größe (size‑cap‑Mechanismus): Ab mittlerer Unternehmensgröße (i.d.R. ≥ 50 MA oder ≥ 10 Mio. € Umsatz/Bilanzsumme) besteht grundsätzlich NIS‑2‑Pflicht; ab Überschreitung der Schwelle für große Unternehmen (i.d.R. ≥ 250 MA oder ≥ 50 Mio. € Umsatz) wird typischerweise die Einstufung als wesentliche/besonders wichtige Einrichtung relevant.
  • Sondertatbestände / nationale Einstufung: Unabhängig von der Größe können bestimmte Dienste (z.B. qualifizierte Vertrauensdienste, DNS, TLD‑Registries, bestimmte Telekommunikationsdienste, kritische Einrichtungen nach der CER‑Richtlinie) sowie von Mitgliedstaaten zusätzlich bestimmte Einrichtungen als wesentliche oder wichtige Einrichtungen eingestuft werden.


Betroffenheitsanalysen

Sofern die Umsatz/Bilanzsumme erreicht sind, stellt sich immer noch die Frage, ob die sektorale Einordnung so zu interpretieren ist, dass man als Caritas Verband unter die NIS-2 Richtlinie fällt. Viele Dienstleister nennen das „Betroffenheitsanalyse“, inhaltlich wird aber immer dasselbe geprüft:

  1. Grunddaten des Unternehmens
    • Sitz in einem EU‑Mitgliedstaat, Art der Tätigkeit (Dienstleistung/Produktion), ggf. Konzernzugehörigkeit.
    • Erbringen von Leistungen für Dritte (entgeltlich) und Rolle im Markt (z.B. Betreiber, Dienstleister, Zulieferer).
  2. Sektorzuordnung (Branche)
    • Abgleich Ihrer Tätigkeit mit den Sektoren/Untersektoren aus Anhang I und II der NIS2 bzw. Anlagen 1 und 2 des deutschen Umsetzungsgesetzes (z.B. Energie, Verkehr, Gesundheit, Finanz‑/Versicherungswesen, digitale Infrastruktur, IKT‑Dienstleister, Entsorgung, öffentliche Verwaltung, Weltraum etc.).
    • Oft wird hierzu der NACE‑Code bzw. WZ‑Code abgefragt, um die Zuordnung zu erleichtern.
  3. Größenkriterien (Size‑Cap‑Mechanismus)
    • Mitarbeiterzahl (Schwellen: 50 / 250 Beschäftigte).
    • Jahresumsatz und Jahresbilanzsumme (Schwellen etwa 10 Mio. EUR bzw. 50 Mio. EUR und 43 Mio. EUR Bilanzsumme).
    • Auf dieser Basis Einordnung, ob die Schwellen für „mittleres“ bzw. „großes“ Unternehmen überschritten sind und damit eine Betroffenheit als wichtige oder wesentliche/besonders wichtige Einrichtung vorliegt.
  4. Spezialtatbestände / Sonderrollen
    Es wird geprüft, ob Sie unabhängig von der Größe unter NIS2 fallen, etwa als:
    • qualifizierter Vertrauensdiensteanbieter, TLD‑Registry, DNS‑Diensteanbieter,
    • Betreiber kritischer Anlagen (KRITIS) oder sonstige kritische Einrichtung,
    • bestimmte Telekommunikations‑/Netzbetreiber oder zentrale öffentliche Verwaltung.
      Hierfür werden meist gezielte Ja/Nein‑Fragen gestellt.
  5. Ergebnis und Kategorie
    • Auf Basis dieser Daten wird eine Ersteinschätzung erstellt: „nicht betroffen“, „wichtige Einrichtung“ oder „wesentliche/besonders wichtige Einrichtung“.
    • Daraus werden dann die Folgen abgeleitet: Registrierungspflicht beim BSI, Risikomanagement‑ und Sicherheitsmaßnahmen, Meldepflichten, Governance‑Pflichten für die Leitungsebene.

Ein typischer Betroffenheits‑Check ist also im Kern eine strukturierte Abfrage von Branche/Sektor, Unternehmensgröße und ggf. Spezialrollen, mit deren Hilfe die rechtliche Einordnung in den Anwendungsbereich der NIS2‑Regulierung vorgenommen wird.

Und im Grunde sind wir in Gesundheits- und Sozialbereich ja alle irgendwie ein wenig NIS-2, jedenfalls von den grundsätzlichen Anforderungen an die IT-Sicherheit.

Anmerkung:

Der NACE‑Code ist ein europäischer Branchen‑Schlüssel, mit dem Unternehmen nach ihrer wirtschaftlichen Haupttätigkeit klassifiziert werden. Er basiert auf der „Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft“ und dient dazu, wirtschaftliche Aktivitäten in allen EU‑Mitgliedstaaten einheitlich zu erfassen und auswertbar zu machen. In Deutschland entspricht ihm faktisch der WZ‑Code des Statistischen Bundesamts; dieser leitet sich direkt aus der NACE‑Systematik ab. Behörden, Statistikämter, aber auch Banken und Aufsichtsbehörden nutzen den Code z.B. für statistische Zwecke, Regulierung, Förderprogramme oder – wie bei NIS‑2 – zur Zuordnung zu bestimmten Sektoren.


Zu dern Anfangs aufgeworfenen Frage sagt die KI übrigens:

Ja, ich bin mir hier sicher: Bei einem Unternehmen, das nur zum Teil eine NIS‑2‑tatsächliche Tätigkeit (z.B. Gesundheitsvorsorge) ausübt, aber dadurch insgesamt als „wichtige“ oder „besonders wichtige Einrichtung“ im Anwendungsbereich von NIS‑2 zuordnungsfähig ist, gelten für das gesamte Unternehmen die NIS‑2‑Anforderungen. Die Richtlinie und die deutsche Umsetzung (BSIG‑/NIS2UmsuCG‑Regelung) zielen auf die Einrichtung (entity) ab, nicht auf einzelne Geschäftsbereiche im Sinne getrennter Rechtskonstruktionen. Sobald die Einordnung als (besonders) wichtige Einrichtung nach Sektor und Schwellenwerten vorliegt, obliegt dem Unternehmen als Ganzem die Pflicht zur Umsetzung der NIS‑2‑Anforderungen, auch wenn nur ein Teil der Geschäftstätigkeit den NIS‑2‑Sektor berührt. Gesonderte interne Zuordnung einzelner Geschäftsfelder zu bzw. von NIS‑2‑Pflichten ist rechtlich nicht vorgesehen; praktisch kann die Organisation die Maßnahmen jedoch gezielt auf die betroffenen Bereiche ausrichten, solange die gesetzliche Pflicht für die gesamte Einrichtung gewahrt bleibt.

Werde ich aber noch mal prüfen …

Bild von Michael Bock

Michael Bock

Michael Bock, Geschäftsführender Gesellschafter der Daseco GmbH und Inhaber der Rechtsanwaltskanzlei Bock

Neueste Beiträge

 

VG Wiesbaden 2025: Schufa Auskünfte, Verfahren und Grundsätze bei der Erstellung des Score-Werts sollten klar sein.

Zum Beitrag
 

Liste der Änderungen KDG / KDG-DVO und Audit-Fragen zur Umsetzung

Zum Beitrag
 

OLG Frankfurt sieht unmittelbare Haftung von Cookie-Drittanbietern bei fehlender Einwilligung

Zum Beitrag

Individuelles Angebot anfragen

Jetzt Kontakt aufnehmen

Wenn Sie an unseren Dienstleistungen interessiert sind, so nehmen Sie mit uns Kontakt auf. Gerne erstellen wir Ihnen ein individuelles Angebot.
+49 2154 481575
WhatsApp
ue.o1772698707cesad1772698707@ofni1772698707 1772698707