NIS-2 und konzerninterne Rechenzentrumsdienste

Allgemeines 

Die mit 16.1.2023 in Kraft getretene Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU („NIS2-RL“) soll die Netz- und Informationssicherheit erhöhen. Im Gegensatz zur Vorgängerrichtlinie (NIS-1) gilt die NIS-2-Richtlinie auch für öffentliche oder private Einrichtungen in systemrelevanten Sektoren (zu finden in den Anhängen I und II zur RL), die bestimmte Schwellenwerte überschreiten ("Size-Cap-Rule"). Sie gilt jedoch unabhängig von der Größe für besonders relevante Einrichtungen.

Die NIS2-RL unterschiedet außerdem zwischen wesentlichen und wichtigen Einrichtungen, an die ebenfalls unterschiedliche Rechtsfolgen geknüpft werden (zB betreffend Aufsicht, Durchsetzungsmaßnahmen und Geldbußen).

Konzernspezifika nach der NIS2-RL

Weder der derzeitig vorliegende Gesetzesentwurf noch die NIS2-RL enthalten explizite Regelungen für die Einstufung von Konzernen in Bezug auf den Anwendungsbereich. Vor allem stellt sich die Frage des Umgangs mit Konstellationen, in denen eine Konzerngesellschaft IT-Dienstleistungen für andere Konzerngesellschaften erbringt, ohne dass abgesehen davon im Konzern ein von der NIS2-RL erfasster Sektor betrieben wird.

Gemäß der NIS-2-RL ist eine „Einrichtung“ eine natürliche oder juristische Person, „die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann“. Diese sehr weite Definition ermöglicht jedoch einen großen Interpretationsspielraum für die Anwendbarkeit in Hinblick auf die Gesellschaftsstruktur eines Konzerns. Naturgemäß ist eine Einrichtung im Sinne der NIS-2-RL in einem Konzern nämlich nicht ausschließlich einer juristischen Person zugeordnet. Jedenfalls unter den Begriff der „Einrichtung“ fallen Konzernunternehmen mit internem Rechenzentrum, da sie innerhalb einer Konzerngruppe eine selbstständige juristische Person darstellen.

Unter die Sektoren mit hoher Kritikalität gemäß des Anhangs I der NIS2-RL fallen gemäß Z 8 auch „Anbieter von Rechenzentrumsdiensten“. Ein „Rechenzentrumsdienst“ im Sinne des Art 6 Z 31 NIS2-RL ist „ein Dienst, mit dem spezielle Strukturen oder Gruppen von Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von IT- und Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Datentransportdiensten sowie alle Anlagen und Infrastrukturen für die Leistungsverteilung und die Umgebungskontrolle bereitgestellt werden.“

Dieser sehr weit gefasste Definition erfährt jedoch durch ErwGr 35 NIS2-RL eine Einschränkung: Demnach sollten „Rechenzentrumsdienste“ nicht „interne Rechenzentren, die sich im Besitz der betreffenden Einrichtung befinden und von der betreffenden Einrichtung für eigene Zwecke betrieben werden“ umfassen. Dem Wortlaut nach betrifft die explizite Ausnahme allerdings nicht den Betrieb eines Rechenzentrumsdienstes für andere Unternehmen des Konzerns, denn in diesen Fällen wird der Betrieb nicht nur für eigene Zwecke durchgeführt. Demnach müssten die strengeren Anforderungen der NIS2-Richtlinie für ein solches Rechenzentrum gelten.

Dies entspricht jedoch nicht der Intention des europäischen Gesetzgebers. Gemäß ErwGr 1 NIS2-RL sollen nämlich durch die Reglementierung Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, verringert werden. Der Fokus liegt dabei auf der Gewährleistung von Sicherheit und einem reibungslosen Funktionieren der Wirtschaft und Gesellschaft. Ziel ist daher hauptsächlich die Gewährleistung und Aufrechterhaltung der Infrastruktur, die für das Wohl der Allgemeinheit von entscheidender Bedeutung ist. Dies wird auch deutlich, wenn man die umfassten Sektoren insgesamt betrachtet (zB Gesundheitswesen, Trinkwasserversorgung, Verkehr). Gerade die Eingrenzung der Definition eines „Rechenzentrumsdienstes“ legt nahe, dass der europäische Gesetzgeber eine ausschließlich individuelle Betroffenheit vom Anwendungsbereich der NIS2-RL ausschließen wollte. Das entspricht auch den der NIS2-RL zugrunde gelegten Zielen.

Fazit

Bei einer strengen Auslegung der aktuellen Rechtslage fallen Rechenzentren innerhalb eines Konzerns unter den Anwendungsbereich der NIS2-RL und müssen somit die verschärften Anforderungen an die Cybersicherheit erfüllen. Eine derartige Auslegung erscheint jedoch weder vom Gesetzgeber gewollt noch in der Praxis zielführend zu sein.

Weder der derzeitige österreichische Gesetzesentwurf noch die Erläuterungen geben dazu aktuell Anhaltspunkte für eine mögliche Auslegung. Eine Klarstellung dieser Frage durch den österreichischen Gesetzgeber bleibt abzuwarten, wäre jedoch wünschenswert.