Teil 2 - Das Bundesamt
Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen

§28 BSIG – Besonders wichtige Einrichtungen und wichtige Einrichtungen

(1) Eine besonders wichtige Einrichtung ist

1. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die, einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und die

a)  mindestens 250 Mitarbeiter beschäftigt, oder

b)  einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweist;

2. eine natürliche oder juristische Person, die, einer der in Anlage 1 bestimmten Einrichtungsarten qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registry oder DNS-Diensteanbieter zuzuordnen ist,

3. ein Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen , der

a)  mindestens 50 Mitarbeiter beschäftigt oder

b)  einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

4. ein Betreiber kritischer Anlagen.

Davon ausgenommen sind

  1. Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und ein Unternehmen, für welches die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsgesetz gelten, und
  2. die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch, ein Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und ein Betreiber von Diensten, soweit dieser die Telematikinfrastruktur für nach § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzt.

(2) Eine wichtige Einrichtung ist

  1. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Per- sonen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die
    1. a)  mindestens 50 Mitarbeiter beschäftigt oder
    2. b)  einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist; oder
  2. ein Vertrauensdiensteanbieter.

Davon ausgenommen sind

  1. besonders wichtige Einrichtungen,
  2. Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und ein Unternehmen, für welche die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsgesetz gelten, und
  3. die Gesellschaft für Telematik nach § 306 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch, ein Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 311 Absatz 6 und § 325 des Fünften Buches Sozialgesetzbuch zugelassenen Dienste und ein Betreiber von Diensten, soweit dieser die Telematikinfrastruktur für nach § 327 Absatz 2 bis 5 des Fünften Buches Sozialgesetzbuch bestätigte Anwendungen nutzt.

 

(3) Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanz- summe nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Kom- ponenten und Prozesse, unabhängig von seinen Partner- oder verbundenen Unternehmen ist.

(4) Die §§ 31, 32, 35 und 39 gelten nicht für:

1. Besonders wichtige Einrichtungen und wichtige Einrichtungen, soweit sie

a)  ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, und

b)  den Regelungen des Telekommunikationsgesetzes unterliegen;

2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970; 3621), das zuletzt durch Artikel 9 des Gesetzes vom 26. Juli 2023 (BGBl. 2023 I Nr. 202) geändert worden ist, soweit sie den Regelungen des § 5c des Energiewirtschaftsgesetzes unterliegen,

3. Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Unternehmen, für welche die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsgesetz gelten,

(5) Ein Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage ausübt.

(6) Eine Anlage ist ab dem durch die Rechtsverordnung nach § 57 Absatz 4 festgelegten Stichtag eine kritische Anlage, wenn sie einer der durch Rechtsverordnung nach §57 Absatz 4 festgelegten Anlagenarten in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung zuzuordnen ist und diese die durch die Rechtsverordnung nach §57 Absatz 4 festgelegten Schwellenwerte überschreitet.

(7) Eine Anlage ist ab dem nächsten folgenden durch die Rechtsverordnung nach §57 Absatz 4 als Stichtag festgelegten Tag keine kritische Anlage mehr, wenn sie die durch die Verordnung festgelegten Schwellenwerte unterschreitet.

(8) Eine juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft ist keine wichtige oder besonders wichtige Einrichtung im Sinne dieses Gesetzes, wenn diese

  1. im ausschließlichen mittel- oder unmittelbaren Eigentum von Gebietskörperschaften, ausgenommen des Bundes, steht,
  2. ausschließlich Waren oder Dienstleistungen für Gebietskörperschaften, ausgenommen des Bundes, gegen Entgelt anbietet und
  3. durch landesrechtliche Vorschriften unter Bezugnahme auf diesen Absatz reguliert wird.

Anmerkungen: 

 

Stand: 22.12.2023

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!