Sign in Subscribe

Betroffenheit von Mehrspartenunternehmen der Energiewirtschaft nach dem NIS2-Umsetzungsgesetz

Betroffenheit von Mehrspartenunternehmen der Energiewirtschaft nach dem NIS2-Umsetzungsgesetz
Photo by Matthew Henry / Unsplash
  • Das NIS2-Umsetzungsgesetz ist seit dem 6.12.2025 in Kraft getreten und verpflichtet die betroffenen Unternehmen bis zum 6.3.2026 zur Registrierung beim BSI
  • Die Prüfung, ob das eigene Unternehmen betroffen ist von der Regulierung ist insbesondere für Mehrspartenunternehmen in der Energiewirtschaft schwierig
  • Häufig profitieren diese Unternehmen davon, dass die Energieerzeugung entweder eine vernachlässigbare Geschäftstätigkeit ist oder nur eine Nebentätigkeit ist

A. Einleitung

Am 6.12.2025 ist das NIS2-Umsetzungsgesetz in Kraft getreten und seitdem geltendes Recht. Da überwiegend keine Übergangsvorschriften existieren müssen die betroffenen Unternehmen seit diesem Zeitpunkt das NIS2-Umsetzungsgesetz einhalten. Ob das eigene Unternehmen betroffen ist oder nicht, wird einem jedoch von keiner Behörde mitgeteilt, sondern müssen die Unternehmen selbst bestimmen. Eigentlich müssen sich die betroffenen Unternehmen bis zum 6.3.2026 beim BSI registrieren, auch wenn das BSI inoffiziell eine einen Monat längere Frist einräumt.

Dies führt zu ganz erheblichen Herausforderungen, da die Bestimmung der eigenen Betroffenheit durch das NIS2-Umsetzungsgesetz äußerst komplex sein kann. Zwar gibt es Hilfestellungen durch das BSI (siehe insbesondere die Betroffenheitsprüfung hier). Allerdings ist diese Art der Betroffenheitsprüfung in der Praxis häufig nicht hilfreich, weil wichtige Aspekte ausgeklammert werden. Es wird insbesondere nicht auf die Sondersituation von sogenannten Mehrspartenunternehmen eingegangen.

Mit diesem Beitrag will ich diese Lücke zumindest teilweise schließen, indem ich die Betroffenheitsprüfung von Mehrspartenunternehmen genauer beschreibe. Bei Mehrspartenunternehmen handelt es sich um Unternehmen, die in mehr als einer Einrichtungsart nach Anlage 1 und Anlage 2 des BSIG tätig sind, was häufig der Situation in kommunalen Unternehmen wie Stadtwerken entspricht.

B. Übersicht über den Inhalt des Blog-Beitrags

Inhaltlich beschränke ich mich im Folgenden auf die Betroffenheitsprüfiung von Versorgungsunternehmen, die als Mehrspartenunternehmen in der Energiewirtschaft und in einem anderen Bereich tätig sind (z.B. ein Stadtwerk, dass im Bereich der Abwasserentsorgung und Energieerzeugung tätig ist).

  • Hierfür beschreibe ich zunächst vier verschiedene Beispielunternehmen, anhand derer ich die Regulierung exemplarisch erkläre (siehe unter "C. Beispielunternehmen").
  • Ich erkläre danach, ob diese Beispielunternehmen überhaupt vom NIS2-Umsetzungsgesetz betroffen sind . Hierbei stelle ich die Vernachlässigbarkeit einer Geschäftstätigkeit in den Mittelpunkt. (siehe unter "D. Betroffenheitsprüfung I")
  • Im Folgenden diskutiere ich die Frage, nach welcher gesetzlichen Grundlage die Beispielunternehmen reguliert sind und gehe insbesondere auf den Begriff der Nebentätigkeit ein (siehe unter "E. Betroffenheitprüfung II").
  • Am Ende ziehe ich ein Fazit mit einer Zusammenfassung (siehe unter "F. Fazit"). Alle ungedulidgen Lesen sollten zunächst dorthin springen.

Nicht eingehen werde ich auf die Besonderheiten von Konzernunternehmen. Auch blende ich solche Unternehmen aus, die Telekommunikationsnetze betreiben oder Telekommunikationsdienste anbieten. Nicht genauer eingehen werde ich zudem darauf, welche Pflichten genau aus der Betroffenheitsprüfung folgen. Ich habe vor, die Betroffenheitsprüfung mit einer Reihe von Blogbeiträgen zu beschreiben und hierbei auch auf die hier ausgeschlossenen Fragestellungen einzugehen. Zunächst will ich jedoch die Situation von Mehrspartenunternehmen mit einer Tätigkeit auch in der Energiewirtschaft beschreiben, da dort nach meiner Wahrnehmung besonders viele Missverständnisse bestehen.  

C. Beispielunternehmen

Um die Beschreibung deutlicher zu machen, werde ich in diesem Blogbeitrag die Rechtslage für die folgenden Beispielunternehmen beschreiben:

Beispiel 1: Die A-GmbH ist ein Unternehmen, das ausschließlich mit Energieanlagen Strom erzeugt. Es ist kein Betreiber einer kritischen Anlage nach der BSI-Kritisverordnung. Es hat insgesamt 60 Mitarbeiter.

Beispiel 2: Die B-GmbH betreibt Trinkwasserversorgungsanlagen, ist aber kein Betreiber einer kritischen Anlage nach der BSI-Kritisverordnung. Zudem hat die A-GmbH einige wenige Solarmodule auf dem Dach installiert, die teilweise der eigenen Stromversorgung dienen und teilweise in das öffentliche Netz einspeisen. Insgesamt arbeiten bei der A-GmbH 280 Mitarbeiter, wovon nur ein Mitarbeiter ausschließlich für den Betrieb der Solarmodule zuständig ist.

Beispiel 3: Die C-GmbH ist ein Unternehmen im Bereich der Abfallbewirtschaftung. Es wird neben der Abfallsammlung und Abfallbeförderung auch die Abfallverwertung durch Verbrennung des Abfalls in einer thermische Abfallbehandlungsanlage vorgenommen. Diese thermische Abfallbehandlungsanlage erzeugt auch Energie. Insgesamt beschäftigt die B-GmbH 280 Mitarbeiter, wobei hiervon 250 im Bereich der Abfallsammlung und Abfallbehandlung tätig sind. Die restlichen 30 Mitarbeiter sind im Bereich der Energieerzeugung durch die die thermische Abfallbehandlungsanlage tätig.

Beispiel 4: Die D-GmbH betreibt Trinkwasserversorgungsanlagen und Energieerzeugungsanlagen, ist aber kein Betreiber einer kritischen Anlage nach der BSI-Kritisverordnung. Zudem erzeugt die C-GmbH Strom über verschiedene Erzeugungsanlagen und speist diesen Strom in das öffentliche Netz ein. Insgesamt arbeiten bei der C-GmbH 280 Mitarbeiter, wobei 140 Mitarbeiter im Bereich der Trinkwasserversorgung und 140 Mitarbeiter im Bereich der Stromerzeugung tätig sind.

blue solar panel
Photo by Chelsea / Unsplash

D. Betroffenheitsprüfung I (Bin ich betroffen?)

I. Allgemeines

Die Betroffenheitsprüfung umfasst eigentlich drei Fragen:

  • Unterliegt das Unternehmen den Pflichten nach dem NIS2-Umsetzungsgesetz (Bin ich betroffen?) --> Betroffenheitsprüfung I
  • Falls ja, welches Gesetz innerhalb des NIS2-Umsetzungsgesetzes legt meine Pflichten fest (Von welchem Gesetz bin ich betroffen?) --> Betroffenheitsprüfung II
  • Welche Pflichten ergeben sich aus dem einschlägigen Gesetz?

Schwerpunkt des Blogbeitrags ist die zweite Frage (also die Betroffenheitsprüfung II). Allerdings muss zumindest kurz auch auf auch auf die erste Frage eingegangen (Betroffenheitsprüfung I) werden, nämlich der Frage, ob das Unternehmen überhaupt den Regelungen des NIS2-Umsetzungsgesetzes unterliegt. Denn hierauf baut die Antwort auf die zweite Frage auf. Im Folgenden setzte ich voraus, dass die grundsätzliche Prüfungsreinfolge der Betroffenheitpsprüfung bekannt ist (als dies nicht der Fall ist siehe näher Grundwissen, Nr. 11-15).

Für Energienetze, Telekommunikationsnetze und Telekommunikationsdienste gelten hiervon abweichende Regelungen, die aber nicht weiter betrachtet werden.

II. Sektorzuordnung und Vernachlässigbarkeit einer Geschäftstätigkeit

Das in Frage stehende Unternehmen muss zunächst mindestens einer Einrichtungsart nach Anlage 1 oder 2 zuzuordnen des BSIG zuzuordnen sein. Bei Mehrspartenunternehmen können dies auch mehrere Einrichtungsarten sein. Diese Zuordnung muss insbesondere auch dann vorgenommen werden, falls es sich um ein Betreiber einer Energieanlage nach § 5c Abs. 1 Nr. 2 EnWG handelt. Denn diese Norm stellt darauf ab, dass eine besonders wichtige oder wichtige Einrichtung nach dem BSIG vorliegt, womit insbesondere § 28 BSIG auch auf diese Unternehmen anwendbar ist.

Bei der Zuordnung zu den Einrichtungsarten gilt es eine Besonderheit zu beachten: Es werden solche Einrichtungsarten eines (Mehrsparten-)Unternehmens nicht berücksichtigt, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind (§ 28 Abs. 3 BSIG).

Hintergrund dieser Regelung ist, dass der Gesetzgeber Unternehmen nicht über das NIS2-Umsetzungsgesetz regulieren wollte, die ganz offensichtlich nur zu einem sehr geringen Anteil überhaupt in den erfassten Einrichtungsarten tätig sind. Der Gesetzgeber hatte bei der Regelung ein großes Möbelhaus vor Augen, dass wenige Solarmodule auf dem Dach zur Energieerzeugung betreibt.

Ob eine Geschäftstätigkeit vernachlässigbar ist oder nicht, ist nicht ganz einfach zu beantworten. Denn es existieren keine festen Schwellenwerte, sondern es ist eine Abwägung im Einzelfall anzustellen. Hierbei kann der Gesetzesbegründung folgend wohl wie folgt vorgegangen werden:

Gesetzesbegründung in BT-Drs. 21/1501, S. 144:

„Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Damit wird im Einzelfall vermieden, dass eine nur geringfügige Nebentätigkeit zu einer unverhältnismäßigen Identifizierung als wichtige oder besonders wichtige Einrichtung führt.

Mögliche Anhaltspunkte für diese Bewertung können etwa die Anzahl der in diesem Bereich tätigen Mitarbeiter, der durch diese Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme für diesen Bereich sein. Ein Indiz, dass es sich nicht um eine vernachlässigbare Geschäftstätigkeit handelt, kann ihre Nennung in einem Gesellschaftervertrag, einer Satzung oder einem vergleichbaren Gründungsdokument der Einrichtung sein.

Entscheidend ist dabei unter Berücksichtigung aller relevanten Anhaltspunkte das Gesamtbild der betreffenden Geschäftstätigkeit im Lichte der Gesamtgeschäftstätigkeit der Einrichtung.“

  1. Prüfung, ob die in Frage stehende Geschäftstätigkeit in einem Gesellschaftervertrag, einer Satzung oder einem vergleichbaren Gründungsdokument genannt wird --> Indiz, dass diese Geschäftstätigkeit nicht zu vernachlässigen ist.
  2. Vergleich von der in den verschiedenen Geschäftstätigkeiten tätigen Mitarbeiter, der durch diese Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme (fiktive Trennung der Geschäftstätigkeiten innerhalb eines Unternehmens und Vergleich untereinander) --> Falls hier eine Geschäftstätigkeit nicht ins Gewicht fällt, dann Indiz für Vernachlässigbarkeit dieser Geschäftstätigkeit. Zu beachten ist, dass es nicht ausreicht, dass es sich um eine bloße Nebentätigkeit handelt. Es muss sich nach der Gesetzesbegründung um eine geringfügige Nebentätig handeln, was eine enge Auslegung vermuten lässt.
  3. Abschließende wertende Betrachtung des Gesamtbildes der betreffenden Geschäftstätigkeit im Lichte der Gesamtgeschäftstätigkeit des Unternehmens. Leitfrage ist, ob eine Regulierung alleine wegen dieser Geschäftstätigkeit unverhältnismäßig wäre.

Dass es sich um eine Abwägungsentscheidung im Einzelfall handelt, hat für die betroffenen Unternehmen Nachteile und Vorteile zugleich. Nachteil ist, dass es teilweise keine eindeutige Entscheidung geben wird, ob eine Geschäftstätigkeit vernachlässigbar ist oder nicht. Vorteil ist, dass sehr mehr Ergebnisse dieser Abwägungsentscheidung juristisch vertretbar sind. Je nach Risikoneigung können also mehr oder weniger Geschäftstätigkeiten als vernachlässigbar angesehen werden. Wichtig ist allerdings, dass die Überlegungen sauber dokumentiert werden, damit im Streitfall gegenüber Behörden oder Gerichten nachgewiesen werden kann, wie man als Unternehmen zu einer Entscheidung gekommen ist.

Europarechtswidrigkeit von § 28 Abs. 3 BSIG?

Teilweise wird in der juristischen Literatur vertreten, dass die Norm des § 28 Abs. 3 BSIG zur vernachlässigbaren Geschäftstätigkeit europarechtswidrig sei (siehe nur Hessel/Schneider, RDi 2026, 25; oder auch hier).

Dies hat der deutsche Gesetzgeber beim Erlass der Norm allerdings nicht so gesehen, denn diese Einwände wurde im Gesetzgebungsverfahren bereits vorgetragen. § 28 Abs. 3 BSIG soll dem Verhältnismäßigkeitsgrundsatz Rechnung tragen. Es wäre unverhältnismäßig das oben genannte Möbelhaus mit wenigen Solarmodulen als Unternehmen der Energiewirtschaft äußerst streng zu regulieren. Zudem kann auch auf Erwägungsgrund 21 der NIS2-Richtlinie verwiesen werden, der der Europäischen Komission die Möglichkeit eröffnet Leitlinien herauszugeben um im Bereich der Mehrspartenunternehmen zu verhältnismäßigen Regeln zu kommen. Die NIS2-Richtlinie steht einer spezifischen Regulierung von Mehrspartenunternehmen durch die Mitgliedsstaaten folglich nicht entgegen, sondern fordert diese ein. Solange es die europäischen Leitlinien nicht gibt, entscheidet der deutsche Gesetzgeber über die verhältnismäßige Regulierung dieser speziellen Unternehmen. Die deutsche Norm gilt somit weiterhin. Solange Behörden / Gerichte nichts anderes feststellen, sollten die Unternehmen diese Norm auch anwenden.

Letztlich ist es aber auch ein Streit um des Kaisers Bart, denn die Norm ist eng auszulegen und betrifft nicht massenhaft Unternehmen. Deutlich wichtiger ist die Regelung des § 28 Abs. 5 S. 4 BSIG. Diese Regelung verhindert, dass die strenge Regulierung des EnWG auf Unternehmen anwendbar ist, die nur als Nebentätigkeit eine Energieanlage betreiben. Diese bleiben aber gleichwohl reguliert nach dem BSIG, sodass hierfür die in Bezug auf § 28 Abs. 3 BSIG angeführten Argumente für die Europarechtswidrigkeit nicht greifen.

Mögliche Anpassungen der NIS2-Richtlinie

Ferner wird darauf hingewiesen, dass die Europäische Kommission einen Entwurf einer Anpassung der NIS2-Richtlinie veröffentlicht hat, nach der sämtliche Energieanlagen mit mehr als 1 MW unter die Regulierung fallen sollen (Link). Dies ist zwar richtig, hat aber zum jetzigen Zeitpunkt ebenfalls keine Auswirkungen auf das deutsche Gesetz. Der Vorschlag der Europäischen Kommission ist noch ganz am Anfang des Gesetzgebungsprozesses und kann sich in den Verhandlungen mit dem Europaparlament und Rat auch noch ändern. Zudem werden mögliche Anpassungen auch nicht zeitnah erfolgen, da die Gesetzgebung auf europäischer Ebene erfahrungsgemäß mehrere Jahre dauern und auch noch in deutsches Recht umgesetzt werden müssten. In den nächsten 2-3 Jahren ist mit keiner Anpassung von § 28 Abs. 3 BSIG zu rechnen.

III. Anwendung auf die Beispielunternehmen

Wendet man diese Logik auf die obigen Beispielsunternehmen an, so ergibt sich folgendes:

Beispiel 1: Für die A-GmbH kommt es nicht auf die Vernachlässigbarkeit einer Geschäftstätigkeit an. Es handelt sich um ein Unternehmen, dass ausschließlich mit Energieanlagen Strom erzeugt. Es ist eine wichtige Einrichtung und nach dem EnWG reguliert.

Beispiel 2: Die B-GmbH ist im Bereich der Energieerzeugung (Anhang 1, Nr. 1.1.4 BSIG) und Bereich der Trinkwasserversorgung (Anhang 1, Nr. 5.1 BSIG) tätig. Allerdings handelt es sich im Bereich der Energieerzeugung um eine Geschäftstätigkeit, die vernachlässigt werden kann. Nur einer von 280 Mitarbeitern ist im Bereich der Energieerzeugung tätig. Es verbleibt also bei Einrichtungsart der Trinkwasserversorgung und der alleinigen Regulierung nach dem BSIG. Da der Schwellenwert von 250 Mitarbeitern überschritten wird, handelt es sich um eine besonders wichtige Einrichtung. Eine Abgrenzung von unterschiedlichen Gesetzen muss nicht erfolgen.

Beispiel 3: Die C-GmbH ist im Bereich der Abfallbewirtschaftung (Anhang 2, Nr. 2 BSIG) und im Bereich der Energieerzeugung (Anhang 1, Nr. 1.1.4 BSIG) tätig. Die Energieerzeugung ist eher keine vernachlässigbare Geschäftstätigkeit, weil immerhin ca. 10% der Mitarbeiter in diesem Bereich tätig sind. Die C-GmbH ist also zunächst nach dem EnWG (wegen der Energieerzeugung) und nach dem BSIG (wegen der Abfallbewirtschaftung) reguliert. Es muss folglich abgegrenzt werden, nach welchem Gesetz die C-GmbH reguliert ist (siehe unten E. Betroffenheitsprüfung II). Ohne eine entsprechende Abgrenzung wäre die C-GmbH eine besonders wichtige Einrichtung und nach dem EnWG reguliert. Denn auf der Berechnung der Schwellenwerte wird nicht zwischen den verschiedenen Tätigkeiten eines Unternehmens unterschieden.

Beispiel 4: Die D-GmbH ist im Bereich der Energieerzeugung (Anhang 1, Nr. 1.1.4 BSIG) und Bereich der Trinkwasserversorgung (Anhang 1, Nr. 5.1 BSIG) tätig. Die Energieerzeugung ist nicht vernachlässigbar, da 50% der Mitarbeiter in diesem Bereich arbeiten. Die D-GmbH ist also zunächst nach dem EnWG (wegen der Energieerzeugung) und nach dem BSIG (wegen der Trinkwasserversorgung) reguliert. Es muss folglich abgegrenzt werden, nach welchem Gesetz die D-GmbH reguliert ist (siehe unten E. Betroffenheitsprüfung II). Ohne eine entsprechende Abgrenzung wäre die D-GmbH eine besonders wichtige Einrichtung und nach dem EnWG reguliert.

a chair sitting on top of a pile of rubble
Photo by Grischa / Unsplash

E. Betroffenheitsprüfung II (Von welchem Gesetz bin ich betroffen?)

I. Warum es auf die maßgebliche gesetzliche Grundlage ankommt

Zuvor wurde festgestellt, ob ein Unternehmen reguliert ist nach dem NIS2-Umsetzungsgesetz oder nicht. Man könnte sich nun auf den Standpunkt stellen, dass es gleichgültig ist nach welchem Gesetz des NIS2-Umsetzungsgesetzes das eigene Unternehmen reguliert ist (entweder nach dem EnWG oder dem BSIG oder nach beiden Gesetzen). Dies ist nicht der Fall, denn es kann massive Auswirkungen haben, nach welchem Gesetz Unternehmen reguliert sind.

Gründe warum es darauf ankommt, ob man nach dem BSIG oder nach dem EnWG reguliert ist

Regulierung durch IT-Sicherheitskataloge

Die Regulierung erfolgt im EnWG auf Grund eines IT-Sicherheitskatalogs, der verbindlich einzuhalten ist. In diesem werden zukünftig auch (besonders) wichtige Einrichtungen der Energiewirtschaft reguliert. Bisher ist unklar, wie diese im IT-Sicherheitskatalog reguliert werden. Üblicherweise werden in den IT-Sicherheitskatalogen eine tiefe Regulierung vorgenommen, inklusive entsprechender Zertifizierung durch Dritte.

Pflicht zur aktiven Übermittlung von Nachweisen

Nach §5d Abs. 5 Satz 1 EnWG müssen Betreiber die Dokumentation teilweise aktiv an die BNetzA übermitteln. Nach § 61 BSIG müssen dagegen besonders wichtige Einrichtungen die Dokumentationen nur auf Anordnung vorlegen.

Parallele Aufsicht durch BNetzA und BSI

Wenn Unternehmen nur durch das BSIG reguliert sind, unterliegen sie nur der Aufsicht des BSI. Wenn Unternehmen zusätzlich über das EnWG reguliert sind, ist zusätzlich die BNetzA zuständig. Die Unternehmen werden also in Kontakt mit zwei Behörden kommen und sich mit deren spezifischen Dokumenten und Anforderungen befassen müssen. Dies bedeutet zusätzlichen Aufwand für die Unternehmen.

II. Die Abgrenzungsnorm des § 28 Abs. 5 BSIG im Detail

Welche Regulierung des NIS2-Umsetzungsgesetzes anwendbar ist, richtet sich nach § 28 Abs. 5 BSIG. Diese Norm ist leider sehr schwierig zu verstehen, weshalb im Folgenden eine ausführliche Erklärung gegeben wird. Im Anschluss wird die Norm auf die obigen Beispielsfälle angewendet.

1. Generelle Bedeutung und Aufbau der Norm

Wortlaut des § 28 Abs. 5 BSIG

(5) Die §§ 30, 31, 32, 35, 36, 38, 39, 61 und 62 gelten nicht für besonders wichtige Einrichtungen und wichtige Einrichtungen, die

[…]

2. Energieversorgungsnetze, Energieanlagen oder digitale Energiedienste nach dem Energiewirtschaftsgesetz betreiben und den Regelungen der §§ 5c bis 5e des Energiewirtschaftsgesetzes unterliegen.

Satz 1 gilt nicht für die dort aufgeführten besonders wichtigen und wichtigen Einrichtungen, soweit sie über die in Satz 1 Nummer 1 und 2 genannten Anlagen hinaus weitere kritische Anlagen nach § 2 Nummer 22 betreiben oder aufgrund weiterer Tätigkeiten einer der in Anlage 1 oder 2 bestimmten Einrichtungsarten zuzuordnen sind. Satz 2 gilt für alle informationstechnischen Systeme, die für den Betrieb der weiteren kritischen Anlagen erforderlich sind. Im Fall, dass der Betrieb einer Energieanlage nach Satz 1 Nummer 2 einer in Satz 1 aufgeführten besonders wichtigen und wichtigen Einrichtung im Hinblick auf die gesamte Geschäftstätigkeit dieser Einrichtung eine Nebentätigkeit darstellt, findet dieser Absatz keine Anwendung.

Aus dem extrem schwer zu verstehenden Gesetzeswortlaut des § 28 Abs. 5 ergibt sich aus meiner Sicht folgende Prüfungsreinfolge:

  1. Gedanklicher Ausgangspunkt: Sind die Voraussetzungen des § 28 BSIG erfüllt, so ist zumindest auch das BSIG auf diese Einrichtung anwendbar, selbst wenn daneben noch eine Regulierung (insbesondere) als Betreiber einer Energieanlage nach § 5c EnWG bestehen sollte. Es stellt sich die Frage, welches der beiden Gesetze anwendbar ist.
  2. Abgrenzung für Nicht-Mehrspartenunternehmen (§ 28 Abs. 1 S. 1 Nr. 2 BSIG): Betreibt das Unternehmen nur Energieversorgungsnetze, Energieanlagen oder digitale Energiediensten, so ist auf diese Einrichtung nicht das BSIG anwendbar, sondern ausschließlich das EnWG.
  3. Abgrenzung für Mehrspartenunternehmen (§ 28 Abs. 1 S. 2 - 4 BSIG)
    1. Ist der Betrieb einer Energieanlage im Vergleich zur restlichen Geschäftstätigkeit der Einrichtung nur eine Nebentätigkeit, so ist auf diese Einrichtung nicht das EnWG anwendbar, sondern ausschließlich das BSIG.
    2. Wird neben den Energieversorgungsnetzen, Energieanlagen (falls keine Nebentätigkeit vorliegt) oder digitalen Energiediensten eine weitere kritische Anlage / weitere Einrichtungsart nach Anlage 1 oder 2 betrieben…
      1. ...unterliegt die hierfür erforderliche IT dem BSIG
      2. ...unterliegt die restliche IT dem EnWG 

Oben wurde für Beispiel 3 (C-GmbH) und in Beispiel 4 (D-GmbH) festgestellt, dass eigentlich eine Regulierung sowohl nach dem EnWG, als auch nach dem BSIG vorliegt. Es stellt sich somit die Frage, ob diese Unternehmen nach nur einem der beiden Gesetze, nach beiden Gesetzen oder teilweise nach dem einen und teilweise nach dem anderen Gesetz reguliert sind. Dies Frage beantwortet § 28 Abs. 5 BSIG, wenn auch nicht besonders eindeutig.

§ 28 Abs. 5 BSIG ist dabei selbst nochmal unterteilt: § 28 Abs. 5 S. 1 BSIG ist die allgemeine Abgrenzungsnorm, während § 28 Abs. 5 S. 2-4 BSIG Sonderregeln für Mehrspartenunternehmen trifft.  

§ 28 Abs. 5 S. 1 Nr. 2 BSIG bestimmt zunächst, dass die §§ 30, 31, 32, 35, 36, 38, 39, 61 und 62 BSIG nicht anwendbar sind auf Betreiber von Energieversorgungsnetzen, Energieanlagen oder digitale Energiediensten, die den Regelungen der §§ 5c bis 5e des EnWG unterliegen. Bei den §§ 30, 31, 32, 35, 36, 38, 39, 61 und 62 BSIG handelt es sich um die maßgeblichen Pflichten- und Haftungsnormen aus dem BSIG. Angewendet auf Beispiel 1 bedeutet dies, dass die A-GmbH ausschließlich nach dem EnWG als Betreiber einer Energieanlage reguliert ist und die Regulierung nach dem BSIG zurücktritt.

Für Mehrspartenunternehmen wird diese Regelung dagegen modifiziert und eingeschränkt durch § 28 Abs. 5 S. 2-4 BSIG. Hierbei steht die Frage nach einer möglichen Nebentätigkeit und der Erforderlichkeit der IT im Vordergrund (siehe dazu im Folgenden).

2. Nebentätigkeit

§ 28 Abs. 5 S. 4 BSIG stellt eine Sondernorm für den Fall dar, dass ein Mehrspartenunternehmen eine Energieanlage in Nebentätigkeit betreibt und noch weiteren Einrichtungsarten nach Anlage 1 und Anlage 2 des BSIG zugeordnet wird.

Wortlaut § 28 Abs. 5 S. 4 BSIG

Im Fall, dass der Betrieb einer Energieanlage nach Satz 1 Nummer 2 einer in Satz 1 aufgeführten besonders wichtigen und wichtigen Einrichtung im Hinblick auf die gesamte Geschäftstätigkeit dieser Einrichtung eine Nebentätigkeit darstellt, findet dieser Absatz keine Anwendung.

Im Ergebnis führt diese Norm dazu, dass der Betrieb einer Energieanlage als bloße Nebentätigkeit nicht dazu führt, dass das EnWG auf dieses Unternehmen angewendet wird. Es verbleibt bei der alleinen Anwendbarkeit des BSIG.

Um zu diesem Ergebnis zu kommen, muss man jedoch den missverständlichen Wortlaut auslegen. Der Wortlaut erklärt schlicht den gesamten § 28 Abs. 5 BSIG für den Fall des Betriebs einer Energieanlage als Nebentätigkeit unanwendbar. Dies würde dazu führen, dass keine Abgrenzungsnorm zwischen EnWG und BSIG existieren würde. Dies würde wiederum dazu führen, dass auf ein solches Unternehmen sowohl EnWG als auch das BSIG anwendbar wären. Die Regel, dass das spezielle Gesetz dem allgemeinen Gesetz vorgeht, könnte sogar herangezogen, um eine ausschließliche Anwendbarkeit des EnWG zu begründen.

Diese beiden Auslegungsarten widersprechen jedoch dem klar erkennbaren Willen des Gesetzgebers. Dieser hat ausdrücklich erklärt, dass er durch § 28 Abs. 5 S. 4 BSIG eine Doppelregulierung verhindern will und alleine das BSIG auf diesen Fall anwenden will. Gedanklich muss § 28 Abs. 5 S. 4 BSIG durch den folgenden Halbsatz ergänzt werden „…und es verbleibt bei der alleinigen Anwendbarkeit des BSIG.“

Ausführliche juristische Begründung dazu

§ 28 Abs. 5 S. 4 BSIG wurde im Laufe des Gesetzgebungsverfahrens der letzten Jahre immer wieder angepasst und ist in der jetzigen Form erst durch den Beschluss des Innenausschusses im Bundestag Inhalt des Gesetzes geworden (BT-Drs. 21/2782, S. 7). Im Regierungsentwurf des NIS2-Umsetzungsgesetzes (BT-Drs. 21/15001) wurde noch auf das Kriterium der Vernachlässigbarkeit statt auf das Kriterium der Nebentätigkeit des Betriebs der Energieanlage abgestellt (vgl. zum Kriterium der Vernachlässigbarkeit schon oben zu § 28 Abs. 3 BSIG). Die Änderung wurde vom Innenausschuss wie folgt begründet (BT-Drs. 21/2782, S. 7, 21):

„In § 28 Absatz 5 Satz 4 wird die Angabe „vernachlässigbar ist“ durch die Angabe „eine Nebentätigkeit darstellt“ ersetzt.“

„Durch die Änderung von „vernachlässigbare Tätigkeit“ in „Nebentätigkeit“ werden unnötige Doppelzuständigkeiten von Bundesamt und BNetzA vermieden, wie sie zum Beispiel im Bereich der thermischen Abfallbeseitigung (Nebentätigkeit: Stromerzeugung) entstehen könnten. Der Begriff der Nebentätigkeit ist dabei weiter zu verstehen als der der „vernachlässigbaren Tätigkeit“ des § 28 Absatz 3.

Mit dieser Änderung wird einem Änderungsvorschlag des Bundesrats Rechnung getragen.“

Der in Bezug genommene Änderungsvorschlag des Bundesrats ist hierbei die Stellungnahme des Bundesrats im ersten Durchgang (BT-Drs. 21/2072, S. 5). Dort wird 1:1 die schließlich vom Innenausschuss des Bundestags eingebrachte Änderung vorgeschlagen. Zur Begründung heißt es dort:

„Mit der Änderung soll eine Doppelregulierung für Anlagen verhindert werden, bei denen die Energieerzeugung lediglich ein Nebenzweck im Rahmen anderer Tätigkeiten darstellt. Eine solche Doppelregulierung würde keinen sicherheitsrelevanten Mehrwert bieten.

Mit der Änderung in Satz 4 wird insofern klargestellt, dass im Fall, dass der Betrieb einer Energieanlage als Geschäftstätigkeit nach Satz 1 Nummer 2 im Hinblick auf die gesamte Geschäftstätigkeit eine Nebentätigkeit darstellt, eine Regulierung nach dem EnWG entfällt und weiterhin das BSIG-E anwendbar bleibt. Eine Nebentätigkeit ist dabei weiter zu verstehen, als eine vernachlässigbare Geschäftstätigkeit nach § 28 Absatz 3 BSIG-E. Beispielhaft dafür sind im Regelfall die Energieanlagen der thermischen Abfallbehandlungsanlagen und Biovergärungsanlagen. Auch Klärwerke mit kleinen, aber nicht vernachlässigbaren PV-Anlagen würden darunterfallen.“

Wann liegt nun eine Nebentätigkeit vor? Das Gesetz definiert dies nicht direkt, jedoch gibt die Gesetzesbegründung einen Hinweis. Es wird darauf verwiesen, dass der Begriff der Nebentätigkeit weiter zu verstehen als der der vernachlässigbaren Tätigkeit des § 28 Abs. 3 BSIG. Somit liegt es sehr nahe, dass die gleichen Kriterien wie zur Bestimmung der Vernachlässigbarkeit herangezogen werden müssen (siehe dazu schon oben D. Betroffenheitsprüfung I), jedoch eine weitere Auslegung erfolgt. Entscheidend ist der Vergleich von der in den verschiedenen Geschäftstätigkeiten tätigen Mitarbeiter, der durch diese Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme. Auch hier handelt es sich individuelle Abwägungsentscheidung, wobei eine wertende Betrachtung des Gesamtbildes der betreffenden Geschäftstätigkeit im Lichte der Gesamtgeschäftstätigkeit des Unternehmens entscheidend ist. Ob die Geschäftstätigkeit der Nebentätigkeit in einem Gesellschaftervertrag, einer Satzung oder einem vergleichbaren Gründungsdokument genannt wird, dürfte dagegen keine Indizwirkung gegen die Nebentätigkeit haben, denn ansonsten würde die Energieerzeugung der in der Gesetzesbegründung in Bezug genommene Fall der thermischen Abfallbehandlungsanlagen wohl nicht eine Nebentätigkeit darstellen können.

Zusammenfassend lässt sich also feststellen: Jede vernachlässigbare Geschäftstätigkeit ist auch eine Nebentätigkeit aber nicht jede Nebentätigkeit ist auch eine vernachlässigbare Geschäftstätigkeit.

3. Erforderliche IT

Wortlaut des § 28 Abs. 5 S. 2, 3 BSIG:

Satz 1 gilt nicht für die dort aufgeführten besonders wichtigen und wichtigen Einrichtungen, soweit sie über die in Satz 1 Nummer 1 und 2 genannten Anlagen hinaus weitere kritische Anlagen nach § 2 Nummer 22 betreiben oder aufgrund weiterer Tätigkeiten einer der in Anlage 1 oder 2 bestimmten Einrichtungsarten zuzuordnen sind. Satz 2 gilt für alle informationstechnischen Systeme, die für den Betrieb der weiteren kritischen Anlagen erforderlich sind.

§ 28 Abs. 5 S. 2, 3 BSIG regelt den Fall der Mehrspartenunternehmen außerhalb des Sonderfalls des Betriebs einer Energieanlage als Nebentätigkeit.

Die Bedeutung dieser beiden Sätze wurde bereits oben wie folgt dargestellt:

  • Wird neben den Energieversorgungsnetzen, Energieanlagen (falls keine Nebentätigkeit vorliegt) oder digitalen Energiediensten eine weitere kritische Anlage / weitere Einrichtungsart nach Anlage 1 oder 2 betrieben…
    1. ...unterliegt die hierfür erforderliche IT dem BSIG
    2. ...unterliegt die restliche IT dem EnWG 

Hierzu bedarf es jedoch einiger Erläuterungen, denn es handelt sich um eine etwas verkürzte Darstellung. In ausführlicher Form bedeutet dies folgendes:

  • Soweit neben den Energieversorgungsnetzen / Energieanlagen (falls keine Nebentätigkeit vorliegt) / digitalen Energiediensten weitere kritische Anlagen betrieben werden oder das Unternehmen als (besonders) wichtige Einrichtung einer der in Anlage 1 oder 2 Einrichtungsarten zuzuordnen ist und die IT-Systeme für den Betrieb der weiteren kritischen Anlage / Einrichtungsart erforderlich sind à § 28 Abs. 4 S. 1 Nr. 2 BSIG ist nicht anwendbar; es verbleibt bei der Anwendbarkeit des BSIG.
  • Soweit neben den Energieversorgungsnetzen / Energieanlagen (falls keine Nebentätigkeit vorliegt) / digitalen Energiediensten weitere kritische Anlagen betrieben werden oder das Unternehmen als (besonders) wichtige Einrichtung einer der in Anlage 1 oder 2 Einrichtungsarten zuzuordnen ist und die IT-Systeme für den Betrieb der weiteren kritischen Anlage / Einrichtungsart nicht erforderlich sind à § 28 Abs. 4 S. 1 Nr. 2 BSIG ist anwendbar; es verbleibt bei der Anwendbarkeit des EnWG.  

Ich gehe davon aus, dass jegliche OT zur Steuerung der Anlagen erforderlich im Sinne des Gesetzes ist, auch wenn im Gesetz / Gesetzesbegründung nur der Begriff der IT genannt wird. Weiter gehe ich davon aus, dass nur die IT mit Schnittstelle zu den maßgeblichen Anlagen (oder dem OT-Netzwerk) erforderlich ist. Auf der anderen Seite ist eine IT ohne Schnittstelle zu den Anlagen / OT nicht erforderlich (in der Gesetzesbegründung als Office-IT bezeichnet). Diese Ableitung unterliegt jedoch einigen Unsicherheiten.

Ausführliche juristische Begründung

Es verbleibt unklar, wann ein IT-System „erforderlich“ für den Betrieb der eine Anlage ist. Zum einen kommt es zu sprachlichen Ungenauigkeiten: Der Wortlaut § 28 Abs. 4 S. 3 BSIG nutzt das Wort „erforderlich“. Die korrespondierende Gesetzesbegründung nutzt dagegen das Wort „erheblich“ (BT-Drs. 21/1501, S. 145), was aber anscheinend schlicht eine sprachliche Ungenauigkeit ist. Im Bereich des EnWG wird dagegen das Wort „notwendig“ genutzt (vgl. § 5c EnWG und die Gesetzesbegründung BT-Drs. 21/1501, S. 181), ohne das klar wird, ob hierbei ein sachlicher Unterschied besteht.

Im Bereich von Unternehmen, die physische (Industrie-)Anlagen betreiben wird zudem üblicherweise zwischen der „Operation Technology“ (OT; bzw. OT-Netzwerk / Automatisierungsnetzwerk / Anlagennetzwerk genannt) und der Information Technology (IT; bzw. IT-Netzwerk / Enterprise Netzwerk genannt) unterschieden. Die OT ist die Hard- und Software, die insbesondere für die Anlagensteuerung und -überwachung eingesetzt wird. Die IT ist dagegen die Hard- und Software, die außerhalb der Anlagensteuerung eingesetzt wird (z.B. Office-Produkte; SAP-Abrechnungssysteme etc.). Sehr häufig sind die OT- und die IT-Netzwerk „hart“ voneinander getrennt, d.h. es besteht keine physische Verbindung zwischen ihnen. Hintergrund ist insbesondere die besondere Schutzbedürftigkeit der OT-Netzwerke. Es kann so verhindert werden, dass eine „gehackte“ Office-IT auch zu einer „gehackten“ OT führt und die kritische Dienstleistung weiterhin erbracht werden.

Weitere Ungenauigkeit in § 28 Abs. 5 BSIG

Angemerkt werden muss, dass bisher das Gesetz in § 28 Abs. 5 S. 3 BSIG wohl noch einen Fehler enthält. Denn nach dieser Norm gilt § 28 Abs. 5 S. 2 BSIG nur für alle IT-Systeme, die für den Betrieb der kritischen Anlage erforderlich sind, nicht dagegen für Betreiber unterhalb der Kritis-Schwellenwerte. Sowohl § 28 Abs. 4 S. 2 BSIG, als auch die Gesetzesbegründung hierzu beziehen sich jedoch auch auf Betreiber unterhalb der Kritis-Schwellenwerte, nämlich die besonders wichtigen und wichtigen Einrichtungen in den Anlagen 1 und 2. Im Folgenden wird davon ausgegangen, dass die Rückausnahme auch auf Unternehmen unterhalb der Kritis-Schwellenwerte anwendbar ist.

III. Anwendung auf die Beispielunternehmen

Beispiel 1: Die A-GmbH ist ein Unternehmen ausschließlich mit Energieanlagen Strom erzeugt. Es hat insgesamt 60 Mitarbeiter. Das Unternehmen ist auf Grund von § 28 Abs. 5 S. 1 Nr. 2 BSIG ausschließlich nach dem EnWG reguliert.

Beispiel 2: Die B-GmbH ist ausschließlich nach dem BSIG reguliert, denn die Energieerzeugung ist nur ein Nebenzweck nach § 28 Abs. 3 BSIG. Auf die Abgrenzungsnorm des § 28 Abs. 5 BSIG kommt es nicht mehr an.

Beispiel 3: Die C-GmbH ist im Bereich der Abfallbewirtschaftung und im Bereich der Energieerzeugung tätig. Die Energieerzeugung ist eher keine vernachlässigbare Geschäftstätigkeit, weil immerhin ca. 10% der Mitarbeiter in diesem Bereich tätig sind. Die C-GmbH ist also zunächst nach dem EnWG (wegen der Energieerzeugung) und nach dem BSIG (wegen der Abfallbewirtschaftung) reguliert. Wendet man die Abgrenzungsnorm des § 28 Abs. 5 BSIG an, so ist § 28 Abs. 5 S. 4 BSIG einschlägig. Es handelt sich bei der Energieerzeugung um eine Nebentätigkeit im Vergleich zur restlichen Geschäftstätigkeit, denn es werden lediglich ca. 10% der Mitarbeiter in diesem Bereich beschäftigt. Die Energieerzeugung läuft „nur mit“. Die C-GmbH ist nur nach dem BSIG reguliert und auch nur eine wichtige Einrichtung, da die Abfallbewirtschaftung in Anlage 2 und nicht in Anlage 1 des BSIG genannt wird.

Beispiel 4: Die D-GmbH ist im Bereich der Energieerzeugung und Bereich der Trinkwasserversorgung tätig. Die Energieerzeugung ist nicht vernachlässigbar, da 50% der Mitarbeiter in diesem Bereich arbeiten. Die D-GmbH ist also zunächst nach dem EnWG (wegen der Energieerzeugung) und nach dem BSIG (wegen der Trinkwasserversorgung) reguliert. Wendet man die Abgrenzungsnorm des § 28 Abs. 5 BSIG an, so ist § 28 Abs. 5 S. 4 BSIG nicht einschlägig. Es handelt sich bei der Energieerzeugung nicht eine Nebentätigkeit im Vergleich zur restlichen Geschäftstätigkeit, denn es werden 50% der Mitarbeiter in diesem Bereich beschäftigt. Folglich ist § 28 Abs. 5 S. 1-3 BSIG anwendbar. Somit ist die alleine für den Bereich der Wassererzeugung erforderliche IT/OT durch das BSIG reguliert, die komplette restliche IT/OT aber nach dem EnWG.

person writing bucket list on book
Photo by Glenn Carstens-Peters / Unsplash

F. Fazit

Die Regulierung von Mehrspartenunternehmen, die auch im Bereich der Energiewirtschaft tätig sind, ist leider äußerst kompliziert und alleine aus dem Wortlaut des Gesetzes kaum verständlich. Im Ergebnis lässt sich feststellen:

  • Unternehmen, deren einzige Geschäftstätigkeit im Bereich der Energieversorgungsnetze, Energieanlagen oder digitale Energiedienste ist, sind ausschließlich nach dem EnWG reguliert.
  • Unternehmen, die mehrere Geschäftstätigkeiten ausüben können solche Geschäftstätigkeiten unberücksichtigt lassen, die im Hinblick auf die gesamte Geschäftstätigkeit des Unternehmens vernachlässigbar sind. Dies betrifft insbesondere den Fall, dass ein Unternehmen nur in einem ganz geringen Maß Energieanlagen wie Solarmodule betreibt, aber deren hauptsächliche Geschäftstätigkeit in einem anderen Bereich besteht. In einem solchen Fall erfolgt keine Zuordnung dieses Unternehmens zur Geschäftstätigkeit des Betriebs einer Energieerzeugungsanlage, weshalb eine Regulierung nach dem EnWG ausscheidet. Es verbleibt eine mögliche Regulierung nach dem BSIG.
  • Unternehmen, die mehrere Geschäftstätigkeiten ausüben bei dem der Betrieb einer Energieanlage nicht Vernachlässigbar ist, aber nur eine Nebentätigkeit darstellt, sind nicht nach dem EnWG reguliert, sondern nur nach dem BSIG.
  • Unternehmen, die mehrere Geschäftstätigkeiten ausüben, wobei weder die Geschäftstätigkeit im Bereich der Energiewirtschaft noch in einem anderen Bereich dominiert, sind doppelt reguliert nach dem EnWG und dem BSIG. Das EnWG ist jedoch die „führende Regulierung“ und das BSIG reguliert nur die IT/OT, die erforderlich für die Nicht-Energieanlage ist.