NIS-2
NIS-2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit (Richtlinie EU 2022/2555), die durch das NIS2UmsuCG in deutsches Recht umgesetzt wurde und rund 29.500 Unternehmen zu konkreten Cybersicherheitsmaßnahmen, Meldepflichten und Haftungsregeln verpflichtet. Wer Technologieplattformen aus Sondersituationen erwirbt, erbt bestehende Compliance-Lücken. NIS-2-Defizite werden im Closing nicht neutralisiert.
Definition
NIS-2 ersetzt die erste NIS-Richtlinie aus dem Jahr 2016 und erweitert deren Anwendungsbereich erheblich. Die Richtlinie unterscheidet zwischen "wesentlichen Einrichtungen" und "wichtigen Einrichtungen". Wesentliche Einrichtungen unterliegen strengeren Aufsichtsregimen, proaktiven Prüfungen durch die Aufsichtsbehörden und einem Bußgeldrahmen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen werden reaktiv überwacht, mit einem Bußgeldrahmen von bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes.
Die Pflichtenbasis umfasst technische und organisatorische Sicherheitsmaßnahmen nach dem Stand der Technik, ein Risikomanagement-System, Meldepflichten bei erheblichen Sicherheitsvorfällen (Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden) sowie die Sicherung von Lieferketten. Hinzu kommt die persönliche Haftung der Geschäftsleitung für die Umsetzung. Leitungsorgane können bei Pflichtverletzung persönlich in Anspruch genommen werden, was in der klassischen Mittelstandsstruktur eine neue Qualität darstellt.
In Deutschland setzt das NIS2UmsuCG die Richtlinie um. Zuständige Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Erfasst werden Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz in definierten Sektoren. Die Sektoren reichen von Energie, Wasser und Verkehr bis zu digitalem Infrastruktur, Gesundheitswesen und Rüstung. Wer in diesen Sektoren eine Transaktion strukturiert, muss den NIS-2-Status der Zielgesellschaft von Beginn der Due Diligence an prüfen.
Abgrenzung
NIS-2 ist keine Datenschutzvorschrift. Die DSGVO regelt den Umgang mit personenbezogenen Daten. NIS-2 regelt die Sicherheit von Netz- und Informationssystemen unabhängig vom Personenbezug der verarbeiteten Daten. Ein Unternehmen kann DSGVO-konform und zugleich NIS-2-defizitär sein. Beide Regelwerke laufen parallel, verlangen separate Compliance-Strukturen und werden von unterschiedlichen Behörden durchgesetzt. In einer Transaktion sind beide Prüfspuren eigenständig zu führen, nicht zusammenzufassen.
NIS-2 ist auch kein Ersatz für sektorspezifische Regulierung. KRITIS-VO, BSIG, DORA für Finanzinstitute, MDR für Medizinprodukte und ITAR für Rüstungsgüter stehen parallel. Diese Regime überlagern sich, ohne sich gegenseitig zu ersetzen. Eine Cybersecurity-Plattform, die NIS-2-konform ist, kann dennoch IEC-62443-Anforderungen nicht erfüllen. Eine MedTech-Komponente, die NIS-2-Meldepflichten erfüllt, kann dennoch 21 CFR Part 11-Anforderungen der FDA verfehlen. Die Compliance-Architektur einer Plattform muss alle relevanten Regime gleichzeitig tragen.
Praxis
In DACH-Transaktionen taucht NIS-2 an zwei Stellen auf: in der juristischen Due-Diligence-Spur und in der operativen Integrationsplanung. In der Due Diligence wird geprüft, ob das Zielunternehmen korrekt eingestuft ist, ob die Registrierung beim BSI erfolgt ist, ob ein funktionsfähiges Informationssicherheits-Managementsystem besteht und ob historische Vorfälle korrekt gemeldet wurden. Fehlende Registrierungen oder nicht gemeldete Vorfälle erzeugen Haftungsrisiken, die in der Transaktionsstruktur durch Indemnities adressiert werden müssen. Bei einem übertragenden Sanierungsverfahren gehen diese Risiken nicht automatisch auf den Erwerber über. Bei einem Share Deal gehen sie mit.
In der operativen Integration zeigt sich die eigentliche Schwere des Themas. Viele Sondersituations-Targets haben NIS-2-Pflichten formal anerkannt, aber nicht operativ umgesetzt. Penetration-Tests fehlen. Meldewege sind nicht definiert. Lieferantenketten sind nicht auditiert. Die Lücke zwischen formaler Compliance-Erklärung und tatsächlich tragfähigem Sicherheitsbetrieb ist in der Praxis das häufigste Problem. Wer das erst nach Closing sieht, zahlt die Sanierungskosten aus Plattformkapital. Wer es in der Timing-Phase vor Closing erkennt, kann es in den Erwerbspreis einpreisen oder als Bedingung formulieren.
Für Plattformen, die in mehreren EU-Mitgliedstaaten operieren, gilt: NIS-2 ist eine EU-Richtlinie, aber die nationalen Umsetzungsgesetze variieren in Fristen, Bußgeldhöhen und Aufsichtsstrukturen. Eine österreichische Tochter unterliegt dem österreichischen NISG 2024, eine schweizerische Gesellschaft dem ISDS als Referenzstandard, eine israelische Gesellschaft dem Cyber Directorate. Eine Plattform mit Operationen in drei Rechtsordnungen hat drei parallele NIS-2-analoge Regime. Diese werden in einer zentralen Compliance-Matrix zusammengeführt, nicht einzeln verwaltet.
Häufige Fragen
Wann ist ein Unternehmen NIS-2-pflichtig? Die Schwellenwerte lauten: mindestens 50 Mitarbeiter oder mindestens zehn Millionen Euro Jahresumsatz, kombiniert mit Tätigkeit in einem der erfassten Sektoren. Unterschwellige Unternehmen können als Teil der Lieferkette eines wesentlichen oder wichtigen Unternehmens dennoch mittelbar betroffen sein, wenn Vertragspartner entsprechende Sicherheitsanforderungen vertraglich weitergeben.
Was passiert im Closing, wenn NIS-2-Defizite bekannt sind? Bekannte Defizite fließen in die Risikomatrix der Due Diligence ein. Abhängig von der Transaktionsstruktur werden sie über Kaufpreisanpassung, spezifische Indemnities, Escrow-Tranchen oder als Closing-Bedingung behandelt. Bei einem Letter of Intent sollte der NIS-2-Status bereits als wesentlicher Prüfpunkt benannt werden. Ein Closing ohne adressierte NIS-2-Defizite bei erfassten Unternehmen ist ein kalkulierbares, aber vermeidbares Risiko.
Trägt der Insolvenzverwalter NIS-2-Pflichten? In der Insolvenz gehen die Betreiberpflichten nicht auf den Insolvenzverwalter über, solange der Betrieb fortgeführt wird. Die Gesellschaft als juristische Person bleibt Adressatin der Pflichten. Für den Erwerber in einem vorinsolvenzlichen Restrukturierungsverfahren oder nach Section-363-Analogie ist entscheidend, ob er in die Betreiberstellung eintritt oder ob die Substanz durch eine NewCo übernommen wird, die zunächst nicht erfasst ist.
Welche Rolle spielt NIS-2 in einer Distressed-M&A-Transaktion? In Distressed-Situationen läuft die technische Compliance oft monatelang im Notbetrieb. Penetration-Tests werden nicht durchgeführt. Sicherheitsupdates werden verschoben. Lieferantenaudits entfallen. Das erzeugt eine Compliance-Schuld, die nach Closing bedient werden muss. Die Kosten liegen je nach Ausgangslage zwischen 80.000 und 500.000 Euro für die Erstkonsolidierung, ohne laufende Auditierungskosten.
Gilt NIS-2 auch für Software-Anbieter ohne eigene Infrastruktur? Ja, wenn der Anbieter digitale Infrastruktur oder IT-Dienste für erfasste Einrichtungen erbringt. Managed-Service-Provider, Cloud-Anbieter und Software-Hersteller für kritische Anwendungen können als Teil der Lieferkette einer wesentlichen Einrichtung erfasst sein, auch wenn sie selbst keinen Infrastrukturbetrieb führen. In einer Plattform, die solche Anbieter integriert, ist diese mittelbare Pflichtenstellung Teil der Compliance-Architektur.
Verwandte Begriffe
NIS-2 ist kein Hindernis. NIS-2 ist eine Prüfschicht, die den Unterschied zwischen formaler und tatsächlicher Substanz sichtbar macht.