Reuschlaw

Stadt­wer­ke & NIS‑2: Die­se 5 Fall­stri­cke wer­den oft übersehen

Ob Strom­ver­sor­gung, Trink­was­ser, Fern­wär­me oder öffent­li­cher Per­so­nen­nah­ver­kehr – Stadt­wer­ke sind tra­gen­de Säu­len der öffent­li­chen Daseins­vor­sor­ge in Deutsch­land. Zen­tra­le Tätig­keits­be­rei­che der Stadt­wer­ke sind bereits regu­liert und unter­lie­gen ins­be­son­de­re den Anfor­de­run­gen an KRITIS-Betreiber nach dem Gesetz über das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSIG).

Mit der NIS-2-Richtlinie kom­men nun neue Pflich­ten auf Stadt­wer­ke und kom­mu­na­le Unter­neh­men zu – auch für bis­lang nicht regu­lier­te Berei­che. Ziel der euro­päi­schen Richt­li­nie ist es, die Cyber­si­cher­heit in ins­ge­samt 18 Wirt­schafts­sek­to­ren zu stär­ken. Der Anwen­dungs­be­reich wur­de dabei deut­lich aus­ge­wei­tet: Schon ein­zel­ne Neben­tä­tig­kei­ten kön­nen aus­rei­chen, um von den Vor­ga­ben erfasst zu wer­den. Für Stadt­wer­ke mit kom­ple­xen Kon­zern­struk­tu­ren und einem breit gefä­cher­ten Port­fo­lio an Diens­ten und Tätig­kei­ten stellt die sys­te­ma­ti­sche Betrof­fen­heits­ana­ly­se daher häu­fig eine ers­te Hür­de bei der Umset­zung der Vor­ga­ben dar. Für jede Gesell­schaft ist ein­zeln zu prü­fen, ob sie in den Anwen­dungs­be­reich der Richt­li­nie fällt. Nach­fol­gend erläu­tern wir fünf typi­sche Fall­stri­cke, auf die im Rah­men der Betrof­fen­heits­ana­ly­se von Stadt­wer­ken beson­ders zu ach­ten ist.

1) Öffent­li­cher Per­so­nen­nah­ver­kehr (ÖPNV)

Vie­le Stadt­wer­ke betrei­ben den regio­na­len ÖPNV. Der rei­ne Bus­be­trieb fällt nicht unter die NIS-2-Richtlinie. Anders sieht es jedoch aus, wenn digi­ta­le Kom­po­nen­ten wie Fahr­gast­in­for­ma­tio­nen in Echt­zeit, Flot­ten­ma­nage­ment oder Geo­fen­cing zum Ein­satz kom­men. In die­sen Fäl­len kann die betrof­fe­ne Gesell­schaft als Betrei­ber eines intel­li­gen­ten Ver­kehrs­sys­tems gel­ten – und damit in den Anwen­dungs­be­reich fallen.

2) Betrei­ber­rol­len bei Fern­wär­me & Co.

Die NIS-2-Richtlinie stellt viel­fach auf die Rol­le des Betrei­bers bestimm­ter Infra­struk­tu­ren ab – etwa im Bereich der Fern­wär­me­ver­sor­gung. Eine gesetz­lich ein­deu­ti­ge Defi­ni­ti­on, wann eine Gesell­schaft als Betrei­ber gilt, fehlt jedoch. In der Pra­xis lie­gen Eigen­tum, Betrieb, Abrech­nung und Kun­den­ver­trä­ge oft bei ver­schie­de­nen Gesell­schaf­ten. Wel­che Rol­le maß­geb­lich ist, lässt sich nur im Ein­zel­fall klä­ren. Eine prä­zi­se recht­li­che Ein­ord­nung ist essenziell.

3) Kon­zern­in­ter­ne IT-Dienstleistungen

Die NIS-2-Richtlinie erfasst auch IT-Dienstleistungen, wenn die­se in Form von Rechen­zen­tren, Cloud-Services oder Mana­ged Ser­vices für ande­re Gesell­schaf­ten inner­halb des Kon­zerns erbracht wer­den. Dabei spielt es kei­ne Rol­le, ob es sich um eine Haupt- oder Neben­tä­tig­keit han­delt. Die zen­tra­le Konzern-IT ist des­halb ein häu­fi­ger, aber oft über­se­he­ner Aus­lö­ser für die Anwen­dung der NIS-2-Richtlinie. Eine genaue Prü­fung kon­zern­in­ter­ner IT-Leistungen ist daher unerlässlich.

4) Smart-City-Projekte

Stadt­wer­ke enga­gie­ren sich zuneh­mend in Smart-City-Initiativen und über­neh­men eine zen­tra­le Rol­le bei der Digi­ta­li­sie­rung urba­ner Infra­struk­tu­ren. Ein häu­fi­ges Tätig­keits­feld ist der Auf­bau und Betrieb von Funk­net­zen wie LoRa­WAN, etwa zur Anbin­dung von IoT-Sensoren für Anwen­dun­gen in den Berei­chen Ver­kehr, Umwelt, Ener­gie oder Abfall­wirt­schaft. Was tech­no­lo­gisch inno­va­tiv ist, kann jedoch auch regu­la­to­risch rele­vant sein: Der Betrieb sol­cher Net­ze kann unter bestimm­ten Vor­aus­set­zun­gen eine Betrof­fen­heit nach der NIS-2-Richtlinie aus­lö­sen. Auch Pilot­pro­jek­te oder öffentlich-private Koope­ra­tio­nen soll­ten früh­zei­tig auf mög­li­che Betrof­fen­heit hin geprüft werden.

5) Unter­schätz­te Nebentätigkeiten

Im Gegen­satz zur bis­he­ri­gen KRITIS-Regulierung sieht die NIS-2-Richtlinie kei­ne fes­ten Schwel­len­wer­te für die Erfas­sung von erbrach­ten Leis­tun­gen oder Diens­ten vor. Maß­geb­lich ist allein, ob eine Gesell­schaft als mitt­le­res Unter­neh­men im Sin­ne der KMU-Definition gilt und eine regu­lier­te Tätig­keit aus­übt. Das hat weit­rei­chen­de Fol­gen: Bereits ver­meint­lich unter­ge­ord­ne­te Tätig­kei­ten wie der Betrieb ein­zel­ner Pho­to­vol­ta­ik­an­la­gen oder Lade­säu­len für E‑Fahrzeuge kön­nen aus­rei­chen, um den Anwen­dungs­be­reich der Richt­li­nie zu eröffnen.

Fazit

Die Betrof­fen­heits­ana­ly­se nach der NIS-2-Richtlinie ist für Stadt­wer­ke auf­grund kom­ple­xer Kon­zern­struk­tu­ren und viel­fäl­ti­ger Tätig­keits­be­rei­che anspruchs­voll – mit der rich­ti­gen Her­an­ge­hens­wei­se aber gut umsetz­bar. Ent­schei­dend ist ein sys­te­ma­ti­sches Vor­ge­hen: Aus­gangs­punkt soll­te stets das voll­stän­di­ge Orga­ni­gramm der Unter­neh­mens­grup­pe sein. Auf die­ser Basis sind Betei­li­gun­gen zu erfas­sen, Schwel­len­wer­te kor­rekt zu berech­nen, sämt­li­che Gesell­schaf­ten zu prü­fen und alle Ergeb­nis­se nach­voll­zieh­bar zu doku­men­tie­ren. Wer dabei auch schein­bar neben­säch­li­che Tätig­kei­ten und typi­sche Fall­stri­cke im Blick behält, schafft die Grund­la­ge für eine rechts­si­che­re und effi­zi­en­te Umset­zung der neu­en Vorgaben.

Den One­pager zu die­sem The­ma kön­nen Sie hier herunterladen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.