NIS-2 Audit

Das DRK Standard Pack v1.0 ist das einheitliche Regelwerk dieses Tools. Rettungsdienst wird als potenziell NIS-2/BSIG-relevante Einrichtungsart behandelt. Die Betroffenheit hängt an den Schwellenwerten (VZÄ, Umsatz, Bilanzsumme).

Es gibt keine unterschiedlichen Regelstände mehr — die frühere Unterscheidung zwischen "BSI-öffentlich" und "Verbandslinie konservativ" entfällt, da das BSI inzwischen die Nichtbetroffenheit von Rettungsdiensten revidiert hat.

NIS-2 reguliert Einrichtungen in bestimmten Sektoren (z.B. Gesundheit, Energie, Transport). Im DRK-Kontext ist der wichtigste sektorale Trigger der Rettungsdienst: Notfallrettung gehört zum Gesundheitssektor.

Wichtig: Ein sektoraler Trigger allein reicht nicht aus. Zusätzlich müssen die Schwellenwerte (VZÄ > 50 oder Umsatz > 10 Mio. + Bilanzsumme > 10 Mio.) erreicht werden.

A – Nicht RD-getrieben betroffen. Kein Rettungsdienst oder Schwellenwerte nicht erreicht.

B – Direkt betroffen, Scope begrenzbar. Alle 8 Trennkriterien erfüllt.

C – Direkt betroffen, faktisch gruppenweiter technischer Scope. Shared IT oder fehlende Trennung.

D – Unklar, konservativ behandeln. Schwellenwerte fehlen oder sind nicht belastbar.

Ein MSP ist laut Gesetz ein Anbieter von Diensten im Zusammenhang mit Installation, Verwaltung, Betrieb oder Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen oder sonstigen Netz- und Informationssystemen — mit Unterstützung oder aktiver Verwaltung. Ob die Leistung vor Ort oder remote erbracht wird, ist unerheblich.

Die Gesetzesbegründung ist explizit: eine Mindestanzahl an Kunden ist nicht Voraussetzung, und auch Unternehmen, die ausschließlich den zentralen IT-Betrieb eines Unternehmensverbundes übernehmen, fallen in der Regel unter den MSP-Begriff. Das BSI bestätigt dies in seinen FAQ zur Konstellation von Tochterunternehmen mit zentralem IT-Betrieb.

Reine Beratung reicht nicht: Strategische IT-Beratung, Schulung oder einmaliger First-Level-Helpdesk ohne Admin-Rechte begründen laut BSI-FAQ in der Regel keinen MSP-Status. Erforderlich ist ein operativer Betriebmit tatsächlichem Zugriff bzw. aktiver Verwaltung.

Entscheidend ist die Frage, ob Ihre Einheit operative IT-Leistungen für eine andere juristische Personerbringt. Eine unselbständige Abteilung innerhalb derselben jur. Person (z.B. Rettungsdienst als Abteilung des e.V.) zählt nicht — das ist Inhouse-IT nach Recital 35 NIS-2.

Typischer MSP-Fall:

• KV betreibt Active Directory / M365 / Entra ID für eine ausgegliederte Rettungsdienst-gGmbH
• KV stellt Firewall, Backup und Endpoint-Management für eine Pflegeeinrichtungs-GmbH bereit
• Landesverband hostet Fachanwendungen für mehrere Kreisverbände
• Eine eigene DRK-IT-GmbH betreibt die Infrastruktur für alle Verbandseinheiten

Kein MSP-Fall:

• IT ausschließlich für die eigene juristische Person (inklusive nicht rechtsfähiger Abteilungen)
• Reine Beschaffungskooperation ohne operative Verantwortung
• Einmalige Projektarbeit oder Schulung ohne dauerhaften Betriebsauftrag
• Reiner First-Level-Helpdesk ohne Admin-Rechte

Nein. Die MSP-Eigenschaft ist nur der erste Schritt (sektoraler Trigger, Anlage 1 BSIG). Zusätzlich müssen die Schwellenwerte nach § 28 BSIG erfüllt sein.

Für Einrichtungsarten aus Anlage 1 gilt als wichtige Einrichtung: mindestens 50 Mitarbeitendeoder Jahresumsatz über 10 Mio. Euro und Jahresbilanzsumme über 10 Mio. Euro.

Als besonders wichtige Einrichtung: mindestens 250 Mitarbeitende oder Jahresumsatz über 50 Mio. Euro und Jahresbilanzsumme über 43 Mio. Euro.

Wichtig: Das Gesetz sagt »mindestens 50« bzw. »mindestens 250« — exakt 50 oder 250 Mitarbeitende reichen bereits aus. Der häufig zitierte Wortlaut »über 50« ist ungenau.

In der Regel ja. § 28 Abs. 4 BSIG verweist auf die EU-KMU-Empfehlung 2003/361/EG. Daten von Partner- und verbundenen Unternehmen sind grundsätzlich bei der Schwellenwert-Berechnung hinzuzurechnen:

• Autonome Unternehmen (weder 25 %+ Beteiligung gehalten noch gehalten an): isolierte Betrachtung.
• Partnerunternehmen (25–50 % Beteiligung): anteilige Zurechnung entsprechend der Beteiligungsquote.
• Verbundene Unternehmen (über 50 % Beteiligung / Kontrolle): volle Zurechnung der Kennzahlen.

Für den typischen DRK-Verbund (KV als e.V. mit mehreren ausgegliederten gGmbHs) heißt das: Eine IT-Tochter-GmbH ist gesellschaftsrechtlich mit hoher Wahrscheinlichkeit ein verbundenes Unternehmen, und die Kennzahlen der anderen Verbandseinheiten werden grundsätzlich mitgerechnet.

§ 28 Abs. 4 BSIG enthält eine spezielle Ausnahme, die es bei der reinen EU-KMU-Systematik nicht gibt: Die Daten sind ausnahmsweise dann nicht hinzuzurechnen, wenn das Unternehmen

„unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig ist."

Das ist eine IT-spezifische Unabhängigkeit, nicht nur eine gesellschaftsrechtliche. Entscheidend ist, ob der Rechtsträger seinen IT-Betrieb in der Praxis tatsächlich eigenständig führen könnte.

Kriterien für echte IT-Unabhängigkeit:

• Eigener Microsoft-365-Tenant / eigene AD-Domain
• Eigene IT-Administratoren ohne Zugriff auf Verbund-Systeme
• Eigene Firewalls und Netzsegmente
• Eigene Backup- und Recovery-Lösung
• Eigenes Endpoint-/MDM-Management
• Eigene Logging- und Monitoring-Systeme
• Dokumentierbar und nachweisbar (nicht nur auf dem Papier)

Paradoxie bei zentraler IT für Töchter: Gerade wenn ein Rechtsträger zentrale IT-Leistungen für andere Verbundunternehmen erbringt, ist er definitionsgemäß mit diesen IT-seitig verflochten und damit nichtunabhängig im Sinne des § 28 Abs. 4 BSIG. Die Ausnahme passt also gerade auf den MSP-Fall regelmäßig nicht — in diesen Konstellationen sind die Verbund-Kennzahlen mitzurechnen.

§ 28 Abs. 3 BSIG kennt eine enge Ausnahme für Einrichtungen, deren Tätigkeit in einer NIS-2-relevanten Sparte vernachlässigbar ist (Nebentätigkeit ohne Systemrelevanz). Die Norm wird in der Fachliteratur teilweise als europarechtlich problematisch kritisiert.

Für einen echten zentralen IT-Betrieb mit Administrations- und Betriebszugriff hilft diese Ausnahme in der Praxis kaum — zentrale IT ist definitionsgemäß systemrelevant und keine Nebentätigkeit. Die Ausnahme kann nur bei randständigen Konstellationen relevant werden, etwa wenn eine ansonsten unabhängige Einheit nur gelegentlich vereinzelte IT-Handreichungen leistet.

Tipp: Verlassen Sie sich nicht auf § 28 Abs. 3 BSIG, ohne die Konstellation juristisch prüfen zu lassen.

Der Self-Check arbeitet im MSP-Pfad in vier Prüfschritten:

1. MSP-01: Erbringt die Einheit operative IT-Betriebsleistungen für andere juristische Personen? (Inhouse vs. Fremdbezug)
2. MSP-03: Für wen werden die Leistungen erbracht? (Abgrenzung Inhouse / Partner / verbunden / extern)
3. MSP-06: Ist der IT-erbringende Rechtsträger IT-seitig vom Verbund unabhängig nach § 28 Abs. 4 BSIG?
4. Schwellenwertprüfung: Isolierte Prüfung auf Ebene des IT-Rechtsträgers (THR-01/02/03) UND — bei IT-Verflechtung — konsolidierte Prüfung mit Verbund-Kennzahlen (Gesamt-VZÄ, Gesamtumsatz in den Grunddaten).

Wird die Betroffenheit erst durch die konsolidierte Prüfung ausgelöst, macht das Tool dies im Ergebnis transparent (§ 28 Abs. 4 BSIG-Callout) und weist explizit darauf hin, dass die Aggregation verbundener Unternehmen angewendet wurde.