Die NIS2-Richtlinie weitet ihren Anwendungsbereich auch auf Unternehmen aus, die in bestimmten Sektoren tätig sind, selbst wenn sie nicht in der EU ansässig sind. Die Richtlinie legt den Schwerpunkt darauf, wo ein Unternehmen seine Dienste erbringt oder seine Tätigkeiten ausübt, anstatt auf seinen physischen Standort.

Artikel 2, Absatz 1 legt fest, dass die Richtlinie für öffentliche oder private Einrichtungen der in den Anhängen I oder II aufgeführten Typen gilt, die „als mittlere Unternehmen gelten … oder die Schwellenwerte für mittlere Unternehmen überschreiten … und die ihre Dienste innerhalb der Union erbringen oder ihre Tätigkeiten dort ausüben.“

Artikel 2, Absatz 2 stellt weiter klar, dass die Richtlinie für die in den Anhängen I oder II aufgeführten Einrichtungen unabhängig von ihrer Größe gilt, wenn ihre Dienste angeboten werden von:

• Anbietern öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste;
• Vertrauensdiensteanbietern.

Artikel 2, Absatz 4 spezifiziert, dass die Richtlinie auch für Einrichtungen gilt, die Dienste zur Registrierung von Domainnamen erbringen, unabhängig von ihrer Größe.

Artikel 26 legt die Zuständigkeit und den territorialen Geltungsbereich der Richtlinie fest. Insbesondere präzisiert Artikel 26, Absatz 1(b), dass bestimmte Einrichtungen aufgrund des Standorts ihrer Hauptniederlassung in der EU unter die Zuständigkeit der Richtlinie fallen. Dazu gehören Anbieter von Domain-Name-System-Diensten, TLD-Namensregister, Anbieter von Domain-Namen-Registrierungsdiensten, Cloud-Computing-Diensteanbieter, Rechenzentrumsdiensteanbieter, Anbieter von Content-Delivery-Netzwerken, Managed-Service-Anbieter, Managed-Security-Service-Anbieter sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke.

Um die Einhaltung durch Einrichtungen sicherzustellen, die nicht in der EU ansässig sind, aber Dienste innerhalb ihrer Grenzen anbieten, verpflichtet Artikel 26, Absatz 3 diese Einrichtungen, einen Vertreter innerhalb der EU zu benennen. Dieser Vertreter muss in einem der Mitgliedstaaten ansässig sein, in denen die Dienste angeboten werden. Organisationen, die sich in dieser Situation befinden und einen strukturierten Weg zur NIS2-Anpassung beginnen müssen, können von spezialisierter Unterstützung profitieren, um die geltenden Verpflichtungen abzubilden und konkrete Maßnahmen zu definieren.

Wichtige Punkte:

• Die Anwendbarkeit der NIS2-Richtlinie basiert auf dem Ort, an dem eine Einrichtung tätig ist oder Dienste erbringt, und nicht ausschließlich auf dem Ort ihrer Niederlassung.
• Einrichtungen, die unter anderem in Sektoren wie elektronische Kommunikation, Vertrauensdienste und Domain-Namen-Registrierung tätig sind, unterliegen der NIS2 besonders stark, auch wenn sie außerhalb der EU ansässig sind, sofern sie Dienste innerhalb der Union erbringen.
• Die Anforderung, einen Vertreter in der EU zu benennen, stellt sicher, dass Einrichtungen außerhalb der EU für die Einhaltung der NIS2 zur Rechenschaft gezogen werden können.

Zusätzliche Überlegungen:

• Es ist nicht spezifiziert, wie die EU die NIS2-Richtlinie gegenüber Einrichtungen durchsetzen will, die in Rechtsordnungen ohne Kooperationsabkommen mit der EU tätig sind. Dies könnte durch weitere Recherchen vertieft werden. Für diejenigen, die mit dem offiziellen Text der NIS2-Richtlinie beginnen möchten, steht das vollständige Referenzdokument zur Verfügung.

[Callforaction-NIS2-Footer]