Viele Konzerne oder Unternehmensgruppen betreiben eine eigene IT-(Service) Gesellschaft, die bspw. ERP, MS 365 & Co. ausschließlich für andere Konzerngesellschaften bereitstellt. Mit Geltung der neuen Vorgaben der NIS-2-Richtlinie stellt sich die Frage, ob diese eigene interne IT nach dem deutschen NIS-2-Umsetzungsgesetz (= § 2 Nr. 26 BSIG) als „Managed Service Provider“ (MSP) einzuordnen ist – und sich daher spezifische Pflichten ergeben. Nach der Norm handelt es sich hierbei um einen „Anbieter von Diensten im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung in den Räumlichkeiten der Kunden oder aus der Ferne“.

Die Situation in Deutschland

Die Gesetzesbegründung zum deutschen NIS-2-Umsetzungsgesetz ist insoweit erstaunlich deutlich (S. 132):

"Die Rolle des MSP setzt einen gewissen Grad an tatsächlichem Zugriff auf IKT-Produkte, -Netzwerke oder -Infrastrukturen voraus und ist insofern etwa von reinen Beratungstätigkeiten abzugrenzen. Eine Mindestanzahl an Kunden ist dagegen nicht Voraussetzung für die Einstufung als MSP, so fallen z. B. auch Unternehmen, die ausschließlich den zentralen IT-Betrieb eines Unternehmensverbundes übernehmen, in der Regel unter den Begriff des MSP.“

Maßgeblich ist also, wie die konzerninterne IT agiert. Das heißt, aktiver Betrieb, Verwaltung, Wartung, Monitoring oder Zugriff auf kritische Systeme sprechen eher für die Einordnung als MSP.

Damit rücken viele zentrale Konzern-ITs in den Anwendungsbereich des BSIG – mit entsprechenden Pflichten zu Sicherheitsmaßnahmen, Incident-Handling und Reporting.

Die Situation in den anderen EU-Mitgliedstaaten

Abgesehen von diesem verhältnismäßig klaren deutschen Standpunkt stellt sich, aufgrund des europarechtlichen Ursprungs der Vorgaben, die Frage, wie es die anderen EU-Mitgliedstaaten mit der Einordnung von MSPs halten. Schließlich basiert das NIS-2-Umsetzungsgesetz auf der gleichnamigen NIS-2-Richtlinie, welche jeder EU-Mitgliedstaat – unter Ausnutzung gewisser Spielräume – umsetzen muss.

Der Begriff des MSP findet sich auch in anderen Umsetzungsgesetzen, so z. B. in § 3 Nr. 23 des österreichischen Netz- und Informationssystemsicherheitsgesetzes: „Im Sinne dieses Bundesgesetzes bedeutet „Anbieter verwalteter Dienste“ (Managed Service Provider) eine Einrichtung, die Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung erbringt, dies entweder in den Räumlichkeiten der Kunden oder aus der Ferne;“. Entsprechende Erläuterungen in der österreichischen Gesetzesbegründung, wie sie sich in der vorgenannten deutschen finden, existieren indes nicht. Auch andere europäische Gesetze zu diesem Thema sind nicht ergiebig.

Stattdessen lassen die anderen mitgliedstaatlichen Umsetzungsgesetze – wenn überhaupt – nur Indizien zur Beantwortung dieser Frage erkennen.

So heißt es unter Ziff. 8.3 Anhang II des kroatischen NIS-2-Umsetzungsgesetzes (UREDBU O KIBERNETIČKOJ SIGURNOSTI) (übersetzt): „…die Überprüfung des Status der Kategorisierung von Managed Service Providern und Anbietern von verwalteten Sicherheitsdiensten erfolgt über die Zentralstaatliche Behörde für Cybersicherheit…“. Daraus lässt sich ableiten, dass die kroatische Cybersicherheitsbehörde zukünftig ggf. darüber entscheiden wird, ob eine (kroatische) Konzern-IT als MSP einzuordnen ist.

Darüber hinaus heißt es in der Gesetzesbegründung des polnischen NIS-2-Umsetzungsgesetzes (übersetzt): „Das nationale Cybersicherheits-Zertifizierungssystem wird eine wertvolle Ergänzung zum europäischen Cybersicherheitssystem darstellen. Es wird ein präzises System zur Bewertung von IKT-Produkten, IKT-Dienstleistungen, IKT-Prozessen und Managed Services im Bereich der Sicherheit schaffen, wodurch Produkte identifiziert werden können, die den besten Standards im Bereich der Cybersicherheit entsprechen.“ (S. 4). Aus diesem nationalen Cybersicherheits-Zertifizierungssystem könnten sich zukünftig ggf. nähere Anhaltspunkte ableiten lassen, ob auch nach polnischer Sichtweise eine Konzern-IT als MSP einzuordnen ist.

Neben diesen Indizien gibt es zumindest erste behördliche Anhaltspunkte, wie andere Mitgliedstaaten zu dem Thema stehen.

So teilt das Center for Cybersecurity Belgium, die zentrale Behörde für Cybersicherheit in Belgien, in ihren NIS-2-FAQ Folgendes mit: „Die Definition des Begriffs "Anbieter verwalteter Dienste" ist relativ weit gefasst und umfasst drei verschiedene Bedingungen:

1) Entweder Installation, Verwaltung, Betrieb oder Wartung;

2) Entweder von IKT-Produkten, Netzen, Infrastrukturen, Anwendungen oder anderen Netz- und Informationssystemen;

3) Durch Unterstützung oder aktive Verwaltung (vor Ort oder aus der Ferne).

Diese 3 Bedingungen müssen alle kumulativ erfüllt sein, um unter die Definition zu fallen.“ (S. 39). Da der Begriff des MSP von der belgischen Behörde also eher weit gefasst verstanden wird, könnte dies dafür sprechen, dass nach belgischer Lesart auch eine Konzern-IT unter den Begriff des MSP fällt.

Auch die italienische Cybersicherheitsbehörde, Agenzia per la cybersicurezza nazionale, hat entsprechende FAQ erstellt. Zwar äußert sie sich zu MSP (Ziff. A 1.9.1 – A 1.9.5), wenn auch nicht ausdrücklich zur Frage der Konzern-IT. Jedoch heißt es dort (übersetzt) unter Ziff. A 1.9.1: „Gemäß dem NIS-Dekret [Anm. d. Autors: Gemeint sein dürfte mit „Dekret“ das nationale NIS-2-Umsetzungsgesetz „DECRETO LEGISLATIVO 4 settembre 2024, n. 138“] gilt der Bereich Verwaltung von IKT-Diensten (Business-to-Business) als hochkritisch.

In seinen Anwendungsbereich fallen alle Organisationen, die der nationalen Gerichtsbarkeit unterliegen, die die in der Empfehlung 2003/361/EG festgelegten Obergrenzen für kleine Unternehmen überschreiten und Tätigkeiten ausüben, die den in Anhang I Nummer 9 der NIS-Verordnung genannten Arten von Einrichtungen zuzuordnen sind.

[…]

Zur Vervollständigung der Informationen verweisen wir auf FAQ 3.1, in der der allgemeine Selbstbewertungsprozess beschrieben wird, den Organisationen durchführen müssen, um festzustellen, ob eine Registrierung erforderlich ist oder nicht.“.

Und dann unter Ziff. 3.1: „Schließlich ist zu beachten, dass alle Organisationen, die Teil einer Unternehmensgruppe (verbundene und/oder assoziierte Unternehmen) sind und die Kriterien gemäß Artikel 3 Absatz 10 des NIS-Dekrets erfüllen, unabhängig von ihrer Größe in den Anwendungsbereich des NIS-Dekrets fallen (siehe FAQ 2.14).“. Klammert man die Frage der Größe einmal aus, so dürften nach Einschätzung der italienischen Behörde im Einzelfall auch Konzerngesellschaften, die IT-Dienstleistungen erbringen als MSP einzuordnen sein. In jedem Fall formuliert die Behörde ihre Einschätzung scheinbar ausnahmslos.

Ergebnis & Empfehlung

Im Ergebnis scheinen also auch andere Mitgliedstaaten von einer eher umfassenden Definition des Begriffs MSP auszugehen, was dafür spricht, dass Konzerngesellschaften, welche IT-Dienstleistungen für eine Konzerngruppe erbringen, als MSP einzuordnen sind.

Mit Blick auf die laufende Frist von drei Monaten ab Geltung des neuen BSIG zur Registrierung (§ 33 Abs. 1 BSIG), empfiehlt es sich in jedem Fall genau zu prüfen, ob man die eigene IT entsprechend einordnet oder eben nicht. Insbesondere für international tätige Unternehmensgruppen empfiehlt es sich, auch die Einschätzungen weiterer Cybersicherheitsbehörden im Blick zu behalten.