Mit der NIS‑2‑Richtlinie verfolgt die EU das Ziel, ein hohes, gemeinsames Niveau der Informationssicherheit in der EU (und damit auch in Deutschland) sicherzustellen. Dazu werden die bisherigen IT‑Sicherheitsanforderungen ausgeweitet – sowohl hinsichtlich der Zahl der erfassten Unternehmen als auch in Bezug auf konkrete organisatorische und technische Pflichten. Kernpunkte sind insbesondere verbindliche Maßnahmen zum Risikomanagement sowie Meldepflichten bei erheblichen Sicherheitsvorfällen, um Cyberrisiken frühzeitig zu erkennen, Schäden zu begrenzen und die Resilienz zu erhöhen. Auch eine Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (kurz „BSI“) gehört zu den Pflichten. Die Frist zur Registrierung läuft am 06.03.2026 ab. 

Der nachfolgende Beitrag dient lediglich der Einordnung, welche Wohnungsunternehmen und vergleichbare, nicht direkt in die Regelungsinhalte der NIS-2 fallenden Unternehmen trotzdem betroffen sein könnten. Auf die konkreten Pflichten infolge dessen wird hier nicht eingegangen.

Gelten die Pflichten aus der NIS-2 für alle Unternehmen?

Die NIS‑2‑Richtlinie wurde vom deutschen Gesetzgeber im Wesentlichen im BSIG umgesetzt. Grundsätzlich ist es so, dass EU-Richtlinien (wie die NIS-2) keine unmittelbare Geltung entfalten – im Gegensatz zu EU-Verordnungen (z.B. die DSGVO), die unmittelbar gelten. Das heißt, dass grundsätzlich im Wesentlichen die Regelungen des BSIG für Sie gelten.

Im BSIG ist insbesondere neben den Anlagen 1 und 2 der § 28 relevant. Hieraus ergibt sich, dass sowohl Größengrenzen überschritten als auch Sektorzugehörigkeiten gegeben sein müssen, um in den Anwendungsbereich der NIS-2-Regelungen zu fallen.

Welche Sektoren sind im BSGI definiert?

Die NIS-2 umfasst nicht direkt die Wohnungswirtschaft. Vielmehr sind beispielsweise Betreiber kritischer Anlagen, Telekommunikationsdienste/-netze, Unternehmen im Bereich Transport und Verkehr, Energie, Abfallbewirtschaftung, verarbeitendes Gewerbe, Bankwesen usw. umfasst.

Es wurde allerdings sowohl in der NIS-2-Richtlinie als auch in der deutschen Umsetzung nicht definiert, wann die Zugehörigkeit zu einem Sektor erfüllt ist und wann nicht. Dies hat zur Folge, dass auch Wohnungsunternehmen und vergleichbare, nicht direkt in die Regelungsinhalte der NIS-2 fallenden Unternehmen, die insbesondere in nachfolgenden Bereichen tätig sind, von den NIS-2-Regelungen betroffen sein können:

• Betreiber von Energieerzeugungsanlagen nach § 3 Nr. 18d EnWG (inzwischen § 3 Nr. 43 EnWG), also z.B. PV-Anlagen
• Ladepunktbetreiber (Ladepunkte für elektrisch betriebene Fahrzeuge)

• Betreiber von Fernwärme- oder Fernkälteversorgung im Sinne von § 3 Nr. 19 oder Nr. 20 GEG

• Betreiber öffentlicher Telekommunikationsnetze

• Abfallbewirtschaftung nach § 3 Absatz 14 KrWG (kann nicht besonders wichtige Einrichtung sein)

Welche Größengrenzen gelten?

Im BSIG wird zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen unterschieden. Die unterschiedliche Einordnung richtet sich insbesondere nach Anzahl der Mitarbeiter, Umsatz und Bilanzsumme (Hinweis: das Gesetz stellt für alle drei Kennzahlen auf das gesamte Unternehmen und nicht die betroffenen Sektoren/Geschäftsbereiche ab).

Die Größengrenzen unterschieden sich zudem in Abhängigkeit der Sektoren:

Was ist mit Tochtergesellschaften (oder sonstigen verbundenen Unternehmen)?

Grundsätzlich ist jedes Unternehmen einzeln zu betrachten. Eine zusammengefasste Betrachtung ist nur vorzunehmen, wenn das Unternehmen „unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse abhängig von seinen Partner- oder verbundenen Unternehmen ist.“

In Hinblick auf Unternehmensgruppen ist demnach eine Einzelfallbetrachtung notwendig.

Was ist zu tun, wenn die Sektorzugehörigkeit gegeben ist und die Größengrenzen überschritten sind?

Abweichend von der EU-Gesetzgebung, hat der deutsche Gesetzgeber mit § 28 Abs. 3 BSIG einen Ausnahmetatbestand geschaffen. Demnach können grundsätzlich betroffene Wohnungsunternehmen und vergleichbare, nicht direkt in die Regelungsinhalte der NIS-2 fallenden Unternehmen aus dem Anwendungsbereich rausfallen, wenn die betreffenden Geschäftstätigkeiten (z.B. Energieerzeugung, Ladepunktbetreiber) in Bezug zur gesamten Geschäftstätigkeit vernachlässigbar sind.

Zur Ermittlung, ob die Nebentätigkeit vernachlässigbar ist, bieten sich zunächst die vom Gesetz selbst festgelegten Kennzahlen an, d.h. Anzahl der Mitarbeiter, Umsatz, Bilanzsumme. Das berechnete Verhältnis der Kennzahlen bietet Indikatoren, um abzuschätzen, ob die Geschäftstätigkeiten vernachlässigbar sind.

Achtung: Es sind jeweils die Umstände des Einzelfalls zu würdigen. Es gibt keine definierten Schwellenwerte.

Ergänzend zu den Kennziffern bietet auch die Satzung/der Gesellschaftsvertrag Anhaltspunkte, ob eine vernachlässigbare Nebentätigkeit vorliegt: ist z.B. die Stromerzeugung als Zweck des Unternehmens definiert, spricht dies in der Gesamtwürdigung gegen die Vernachlässigbarkeit.

In vielen Fällen sollte sich für typische Wohnungsunternehmen argumentieren lassen, dass nur eine vernachlässigbare Nebentätigkeit vorliegt. Die Überlegung, ob eine vernachlässigbare Nebentätigkeit vorliegt oder nicht sollte stets dokumentiert werden. Bei Bedarf unterstützen wir Sie hier gerne.

Abschließende Hinweise

Aufgrund der deutschen Sonderregelung hinsichtlich des Ausnahmetatbestands besteht die Möglichkeit, dass diese als europarechtswidrig einzustufen ist. Es ist daher nicht auszuschließen, dass in der Zukunft eine Anpassung der deutschen NIS-2-Regelungen erfolgen wird.

Von einer „nur vorsorglichen“ Registrierung beim BSI raten wir derzeit ab.

Für Fragen zum Thema NIS-2 stehen Ihnen Frau Verena Seifert und Herr Robert Dobroschke gerne zur Verfügung.

Verena Seifert
Wirtschaftsprüferin, Steuerberaterin, Rechtsanwältin
verena.seifert@bavariatreu.de
+4989290020226

Robert Dobroschke
Wirtschaftsprüfer, Steuerberater,
Certified Information Systems Auditor (Zusatzqualifikation)
robert.dobroschke@bavariatreu.de
+4989290020209