Was ist die NIS-2-Richtlinie – und wann sind ArbG betroffen?

Mit der Richtlinie (EU) 2022/2555 („NIS-2“) hat der europäische Gesetzgeber den Ordnungsrahmen für Cybersicherheit grundlegend verschärft und zugleich erheblich ausgeweitet. Die NIS-2 ersetzt die bisherige NIS-1-Richtlinie. Sie verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu gewährleisten. Anders als ihr Vorgänger erfasst sie deutlich mehr Unternehmen, konkretisiert Pflichten und verschärft Sanktionen – mit spürbaren Folgewirkungen für ArbG und deren arbeitsrechtliche Compliance.

NIS-2 unterscheidet zwischen „wesentlichen Einrichtungen“ (essential entities) und „wichtigen Einrichtungen“ (important entities). Erfasst werden Unternehmen aus 18 Sektoren, u. a.

Zentrales Abgrenzungskriterium ist regelmäßig die Unternehmensgröße. Grundsätzlich gilt: Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von über 10 Mio. EUR fallen in den Anwendungsbereich, sofern sie in einem der gelisteten Sektoren tätig sind. Kleinere Unternehmen können ausnahmsweise erfasst sein, wenn sie eine besondere Kritikalität aufweisen.

ArbG sollten beachten: Pflichten entstehen nicht erst mit dem formalen Inkrafttreten, sondern erfordern frühzeitige Vorbereitung, da Übergangsfristen kurz und Bußgeldrahmen hoch sind. Unternehmen können auf der Webseite des BSI prüfen, ob sie unter die Regulierung fallen.

NIS-2 verpflichtet betroffene Unternehmen zur Einführung angemessener technischer und organisatorischer Maßnahmen (TOM), darunter:

Diese Pflichten sind klassische ArbG-Pflichten im Sinne der betrieblichen Organisation. Sie berühren die arbeitsrechtliche Nebenpflicht zur Schaffung sicherer Arbeitsbedingungen (§ 618 BGB analog) und konkretisieren die Organisationsverantwortung der Unternehmensleitung.

Explizit verlangt NIS-2 die Schulung von Beschäftigten im Umgang mit Cybersicherheitsrisiken. Für ArbG stellt sich hier die Frage:

Versäumnisse können nicht nur aufsichtsrechtliche Sanktionen auslösen, sondern auch arbeitsrechtliche Haftungsrisiken begründen, etwa bei Pflichtverletzungen von ArbN infolge unzureichender Unterweisung.

Die Umsetzung von NIS-2-Maßnahmen ist regelmäßig mitbestimmungspflichtig. Besonders relevant sind:

Cybersecurity-Tools, Monitoring-Systeme oder Zugriffskontrollen können Leistungs- und Verhaltenskontrollen ermöglichen. ArbG sind daher gut beraten, frühzeitig Betriebsvereinbarungen zu Cyber- und IT-Sicherheit abzuschließen, um Umsetzungsrisiken zu minimieren.

NIS-2 verschärft die Meldepflichten bei Sicherheitsvorfällen erheblich. Unternehmen müssen erhebliche Vorfälle binnen 24 Stunden anzeigen und innerhalb kurzer Fristen nachberichten. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Arbeitsrechtlich relevant sind dabei u. a.

Disziplinarmaßnahmen gegen Beschäftigte nach Sicherheitsvorfällen sind nur rechtmäßig, wenn klare Vorgaben, Schulungen und Zuständigkeiten bestanden. NIS-2 erhöht damit indirekt die Anforderungen an eine saubere arbeitsrechtliche Compliance-Struktur.

Besonders brisant ist die persönliche Verantwortung der Geschäftsleitung. NIS-2 verlangt ausdrücklich, dass Leitungsorgane

Bei Verstößen drohen hohe Bußgelder sowie – je nach nationaler Ausgestaltung – Organhaftung. Arbeitsrechtlich stellt sich die Frage der Innenhaftung von Geschäftsführern und leitenden Angestellten sowie der Regressmöglichkeiten gegenüber verantwortlichen Beschäftigten.

Die Bußgeldrahmen erreichen eine neue Dimension: Für wesentliche Einrichtungen sind bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vorgesehen. Auch für wichtige Einrichtungen drohen empfindliche Sanktionen. Für ArbG bedeutet dies: Cybersicherheit wird zur Compliance-Kernaufgabe, vergleichbar mit Datenschutz (DSGVO).

In Deutschland ist das BSI die zentrale und zuständige Behörde für die Überprüfung und Durchsetzung der NIS2-Richtlinie, sie fungiert als sogenannte „NIS2 Competent Authority“ und unterstützt betroffene Einrichtungen bei der Umsetzung und Registrierung. Das BSI überwacht die Einhaltung der Meldepflichten bei Sicherheitsvorfällen und die Registrierung der Unternehmen.

NIS-2 ist keine reine IT-Richtlinie, sondern ein querschnittliches Organisations- und Compliance-Regime mit erheblicher arbeitsrechtlicher Sprengkraft. ArbG sind betroffen, wenn sie

Für Arbeitsrechtler eröffnet NIS-2 ein neues Beratungsfeld: Von der Gestaltung arbeitsvertraglicher Pflichten über Mitbestimmung bis hin zur Haftungsvermeidung für Unternehmensleitung und HR-Verantwortliche. ArbG sollten jetzt handeln – präventiv, strukturiert und arbeitsrechtlich sauber.