Die EU hat bereits 2024 mit der Verabschiedung der sogenannten NIS2-Richtlinie [1] einige Weichen gestellt, um sich im Kampf gegen Cyberattacken europaweit besser zu wappnen. Deutschland hat nun die Richtlinie mit einigen nationalen Besonderheiten in deutsches Recht umgesetzt. Von den neuen Anforderungen werden auch sehr viele REACH-Registranten betroffen sein. Alle Pflichten treten am Tag nach der Verkündung im Bundesgesetzblatt, also in allernächster Zukunft, in Kraft.
Gesetzgebungsverfahren
Mit der NIS2-Richtlinie hat die EU versucht, sich an die neuen Gegebenheiten bei der Cybersicherheit anzupassen. Dessen Verabschiedung war somit ein großer Schritt in Richtung mehr Sicherheit gegenüber Cyberattacken.
Da es eine europäische Richtlinie ist, bedarf es der Umsetzung in nationales Recht, bevor die Regelungen unmittelbare Auswirkungen zeigen.
Die nationale Umsetzung in Deutschland erfolgte nun mit dem sperrigen Namen „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) [2], das wiederum die Änderung von bestehenden Gesetzen in Deutschland vorsieht. Die für Unternehmen vermutlich wichtigste Änderung betrifft das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen“ (BSIG). Durch das geänderte BSIG werden viele Anforderungen nicht nur an das „Bundesamt für Sicherheit in der Informationstechnik“ selbst, sondern auch an viele, näher definierte Unternehmen gestellt. Unter anderem sind hier auch Unternehmen aus dem Chemikalienbereich gefordert.
Gesetzesinhalt
Cybersecurity und REACH? Auf den ersten Blick haben die beiden Themen nur wenig miteinander zu tun, und schon gar nicht würde man sofort auf den Gedanken kommen, dass eine REACH-Registrierungspflicht automatisch zu gewissen ─ nicht unerheblichen ─ Cybersecurity-Pflichten führen könnte. Dies ist aber nun der Fall.
Durch den neuen § 28 Abs. 2 Nr. 3 i.V.m. Anlage 2 Sektor 3.1.1 BSIG fallen REACH-registrierungspflichtige Hersteller und Importeure grundsätzlich in die Kategorie der „wichtigen Einrichtungen“. Ob sie dadurch auch die Pflichten der „wichtigen Einrichtungen“ nach dem BSIG erfüllen müssen, richtet sich nach der Unternehmensgröße (> 50 Mitarbeiter) oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro. Das Wort „oder“ stellt klar, dass nur eine der beiden Alternativen erfüllt sein muss, um bereits unter die Definition der „wichtigen Einrichtung“ zu fallen.
§28 BSIG – Besonders wichtige Einrichtungen und wichtige Einrichtungen
(2) Als wichtige Einrichtungen gelten:
- [...]
- [...]
- sonstige natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet und die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen sind und
a) mindestens 50 Mitarbeiter beschäftigen oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10
Millionen Euro aufweisen.
Anlage 2: Sektoren wichtiger Einrichtungen 3.1.1 Produktion, Herstellung und Handel mit chemischen Stoffen
Hersteller und Importeure nach Artikel 3 Nummern 9 und 11 der Verordnung (EG) Nr. 1907/2006 von chemischen Stoffen und Gemischen im Sinne des Artikels 3 Nummer 1 und 2 der genannten Verordnung, sofern diese in Kategorie 20 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) fallen und der Registrierungspflicht nach Artikel 6 der genannten Verordnung unterliegen
Sind diese Kriterien erfüllt, müssen diverse Pflichten aus dem BSIG erfüllt werden.
Anders als die EU-Richtlinie verknüpft die nationale Regelung die REACH-Registrierungspflicht [3] mit der Eingruppierung als „Wichtige Einrichtung“. Eine positive Folge dieser Abweichung ist, dass keine weiteren Differenzierungskriterien geschaffen wurden, sondern auf bestehende Kriterien Bezug genommen wird. Somit wird es für Unternehmen leichter, ihre Betroffenheit zu erkennen, auch wenn das für einige Unternehmen eine Verschärfung der Betroffenheit darstellt, im Vergleich zur ursprünglichen EU-Richtlinie.
Auf der anderen Seite sind die nach REACH definierten Händler, die nach der EU-Richtlinie als betroffen galten, nach deutschem Recht ausgenommen. Insofern wird es unweigerlich zu verschiedenen Regelungen und Betroffenheiten in den einzelnen EU-Staaten kommen. Dies fördert leider nicht die anvisierte Gleichbehandlung aller europäischen Unternehmen.
Ganz entscheidend aus unserer Sicht ist, dass mit den geplanten Änderungen eine unmittelbare Verknüpfung der Registrierungspflicht mit einem Themenkomplex erfolgt, der zunächst aus einem ganz anderen Rechtsbereich resultiert und deshalb nicht allen Unternehmen sofort ins Auge springen dürfte.
Durch unsere langjährige Erfahrung als REACH-Beratungsunternehmen wissen wir, wie gründlich sich einige Unternehmen überlegen, ob sich die Produktion oder der Import eines Stoffes von mehr als 1 t/a lohnt, denn ab dieser Menge müssen Stoffe nach REACH-VO registriert werden. Diese Entscheidung erfordert eine sorgfältige Abwägung und im Falle der Registrierung auch einen erheblichen personellen Aufwand sowie das Tragen von hohen Registrierungskosten (Erstellung des Registrierungsdossiers, Kaufen von LoA-Kosten, ECHA-Gebühren etc.). Oftmals lohnt sich die Registrierung aus Kostengründen schlicht nicht.
Nun werden aber ganz andere, oftmals wesentlich aufwändigere Anforderungen aus einem ganz anderen Rechtsbereich hinzukommen, die viele Unternehmen inhaltlich, personell und finanziell sehr herausfordern werden. Nicht unerheblich sind auch die Bußgelder, die bei Nichteinhaltung drohen, nämlich bis zu € 10 Mio. oder 2 % des weltweiten Umsatzes. Auch dies sind Summen, die weit über die Bußgelder bei einem Verstoß gegen die REACH-Registrierungspflicht hinausgehen.
Das BSI bietet übrigens auf seiner Website eine automatisierte, kostenlose Betroffenheits-Überprüfung an [4]. Nutzen Sie diese, um eine erste Orientierung zu bekommen. Zudem schreibt das BSI auf seiner Website [5]:
„Mit einem Starterpaket wird das BSI betroffenen Unternehmen klare Informationen an die Hand geben, um die Verpflichtungen, die sich aus der NIS-2-Richtlinie ergeben, erfolgreich umzusetzen. Mit Inkrafttreten wird das BSI zudem virtuelle Kick-off-Seminare anbieten, in denen Unternehmen unter anderem Schritt-für-Schritt-Anleitungen für die Betroffenheitsprüfung sowie Registrierungs- und Meldeprozesse erhalten.“
Margarethe von Bockum | Recht
Unsere Empfehlung
Prüfen Sie jetzt, ob Sie von den neuen Pflichten betroffen sind. Die Erfüllung dieser neuen Pflichten wird viel Zeit und Geld in Anspruch nehmen. Wir beraten Sie gern, wenn es um die Frage nach Ihren Registrierungspflichten geht.
Wenn bei Ihnen weiterführende Fragen zur konkreten Umsetzung der neuen Vorgaben im Bereich Cybersecurity auftauchen, stellen wir Ihnen auf Wunsch einen passenden Kontakt her. Dieser arbeitet schwerpunktmäßig zu diesem Themenfeld. Geben Sie uns gern Bescheid, wenn Sie hier Unterstützung benötigen.
Unser Beratungsansatz
Wir führen Sie sicheren Schrittes durch die komplexen chemikalienrechtlichen Bestimmungen. Zuverlässig, professionell und persönlich. Am Ende stehen pragmatische Lösungen, die Bestand haben.
Mit unserem Service garantieren wir, dass Ihre chemischen Produkte stets die erforderlichen und aktuellen Sicherheitsdatenblätter besitzen. Egal welche Anliegen Sie zu Sicherheitsdatenblättern haben, wir bieten Ihnen die passende Antwort und Unterstützung.
Wir beraten Sie bei der rechtssicheren Vermarktung Ihrer Produkte und übernehmen komplexe Registrierungs- und Zulassungsverfahren im Bereich der Chemikalienregulatorik. Selbst bei kniffligen Fragen haben Sie mit uns einen erfahrenen Partner an Ihrer Seite.
Entdecken Sie unsere maßgeschneiderten Lösungen für umfassenden Umwelt- und Arbeitsschutz! Von Genehmigungsverfahren über externe Beauftragte bis hin zu Lagerkonzepten und Audits bieten wir individuelle Beratung und Unterstützung. Erfahren Sie mehr über unsere fachbereichsübergreifenden Lösungen!
Profitieren Sie von unserem Fachwissen in der Beförderung aller Verkehrsträger, Umschlag und Lagerung von Gefahrgut. Wir stellen den externen Gefahrgutbeauftragten, beraten zu Lithiumbatterien und führen deutschlandweit Schulungen durch. Setzen Sie auf Qualität – auch bei Ihrer 24h-Notrufnummer.
Unsere Newsletter und Fachartikel bieten Ihnen aktuelle Nachrichten, spannende Geschichten und fundierte Einblicke in verschiedenste Themenbereiche. Entdecken Sie Neues, erweitern Sie Ihren Horizont, bleiben Sie stets mit uns informiert!
