Lösen temporäre Joint Ventures oder Konsortien NIS 2 aus – und wann ist das für Sie wichtig?
Durch die Gründung eines Joint Ventures, Konsortiums oder einer temporären Partnerschaft fällt Ihre Organisation direkt in den Geltungsbereich der NIS 2-Richtlinie Sobald Sie regulierte Dienste oder Infrastruktur bereitstellen. Die Haltung der europäischen Regulierungsbehörde lässt keinen Raum für Fehlinterpretationen: Es spielt keine Rolle, ob Ihre Zusammenarbeit „vorübergehend“, informell oder ohne separate Rechtspersönlichkeit ist – wenn die Dienste oder Aktivitäten der Gruppe die NIS-2-Schwellenwerte erreichen, beginnen die Verpflichtungen sofort (osborneclarke.com; cyberwatching.eu; lathamwatkins.com).
Dem Namen nach vorübergehend, der Einhaltung dauerhaft: JV-Verpflichtungen entstehen bei der Gründung, nicht bei der Beendigung.
Bei Compliance geht es um die operative Realität-nicht die Länge Ihres Projektplans oder welches Etikett Sie der Struktur beifügen. Wenn Ihr Joint Venture oder Konsortium regulierte Infrastruktur oder digitale Dienste verwaltet, die im sektoralen Anhang NIS 2 aufgeführt sind (wie Energie, Gesundheit, Verkehr, Finanzen oder digitale Infrastruktur), besteht Ihre Pflicht zur Einhaltung der Vorschriften bereits ab dem Tag der Betriebsaufnahme. Regulierungsbehörden überwachen die Kontrolle, nicht nur Verträge. Wenn Ihre Zusammenarbeit ein abgedecktes System regelt oder beeinflusst, planen Sie frühzeitig die Einhaltung der Vorschriften: Lücken erhöhen vom ersten Tag an das Risiko.
Jeder Kunde, der eine vorübergehende Partnerschaft eingeht – sei es für den Aufbau einer kritischen Infrastruktur, ein Health-Tech-Projekt oder einen Vertrag zur digitalen Transformation – sollte innehalten und sein betriebliches Risiko klären, bevor er davon ausgeht, dass der „kurzfristige“ Status Immunität bietet.
| Vertragsbezeichnung | Operative Realität | NIS 2-Trigger? |
|---|---|---|
| Temporäres Joint Venture | Kontrolliert kritische Infrastrukturen | Ja |
| Konsortium | Bietet digitale Gesundheitsdienste | Ja |
| Ad-hoc-Projekt | Keine regulierte Tätigkeit | Nein* |
*Es können weiterhin sektorale oder nationale Bestimmungen gelten. Überprüfen Sie immer die Aktivitäten, nicht die Annahmen.
Glaubenssatz zurücksetzen:
Sich auf das „Projektende“ als Fluchtweg vor dem Risiko von 2 NIS zu verlassen, ist ein häufiger und kostspieliger Fehler. Unabhängig davon, ob Ihr gemeinsames Projekt zum Quartalsende aufgelöst wird oder mehrere Jahre andauert, können Sie vom Start weg still und heimlich sämtliche regulatorischen Pflichten übernehmen.
Welche Joint Ventures oder Konsortien werden zu „NIS 2-Unternehmen“ – und warum?
Der NIS 2-Status ergibt sich direkt aus Aktivitäts- und Betriebskontrolle – nicht von der formalen Struktur oder der TeilnehmerbezeichnungJede gemeinschaftliche Vereinbarung – ob als Kapitalgesellschaft oder auf andere Weise –, die unter NIS 2 aufgeführte Systeme verwaltet, betreibt oder maßgeblich beeinflusst, kann als „wesentliche“ oder „wichtige“ Einheit gelten. Dies gilt sogar für lose strukturierte Partnerschaften, bei denen ein Minderheitspartner die wesentliche Kontrolle hat oder wenn der regulierte Status der führenden Einheit auf das Joint Venture übergeht (thinkbrg.com; eurofound.europa.eu).
Wann greift die Regulierung?
- Sollten Sie jetzt aufgefordert werden, ein reglementierte Funktion eines einzelnen Partners (wie etwa eine IT-, SCADA-Plattform oder Netzwerkrolle) in das Joint Venture oder Konsortium eingebettet ist, kann das NIS 2-Regime für die gesamte Gruppe gelten – unabhängig von Stimmrechten, Gewinnanteilen oder Projektzeitplan.
- Management- oder Führungsrollen gemäß Artikel 26 bedeuten, dass die dominante operative Partei (nicht notwendigerweise der größte Anteilseigner oder Geldgeber) als „Hauptniederlassung“ oder in der EU ansässiger gesetzlicher Vertreter verantwortlich ist.
- Sachliche Kontrolle: ist entscheidend: Die operative Führung (benannte Direktoren, Projektmanager) kann NIS 2 etablieren Entitätsstatusbringen persönliche Verantwortlichkeit für die Einhaltung.
| Anforderungen | Ergebnis | Regulatorische Bezeichnung |
|---|---|---|
| JV betreibt im Geltungsbereich befindliche Vermögenswerte/Dienste | Alle Teilnehmer im Geltungsbereich | Essenziell/Wichtig |
| Minderheitspartner kontrolliert den wichtigsten Risikobereich | JV im Rahmen | Geteilte Verantwortung |
| Keine digitalen kritischen oder regulierten Aktivitäten | Kann befreit sein* | Nur Sektor/Vertrag |
*Sektorische Compliance- oder vertragliche Verpflichtungen können dennoch zu einer indirekten Gefährdung führen.
Ein Joint Venture ist nur insoweit von der Haftung befreit, als es sein am wenigsten regulierter Partner zulässt.
Wichtige Erkenntnis:
Lassen Sie sich durch Governance-Diagramme nicht in falscher Sicherheit wiegen; der tatsächliche operative Einfluss löst NIS 2 aus, nicht der Briefkopf des Vorstands oder die Bezeichnung einer Minderheitsposition.
NIS 2 meistern ohne Tabellenchaos
Zentralisieren Sie Risiken, Vorfälle, Lieferanten und Beweise auf einer übersichtlichen Plattform.
Wie verteilt NIS 2 die Verantwortung und Haftung in Joint Ventures oder Konsortien?
Unter NIS 2, Verantwortung ist sowohl kollektiv als auch individuell-Direktoren, Führungskräfte und Mitgliedsorganisationen haften für Compliance-Lücken. Vertragliche Formulierungen, „Best Efforts“-Verpflichtungen oder Versuche, die Verantwortung abzugrenzen, sind selten stichhaltig, wenn die operative Substanz eine geteilte Kontrolle oder Untätigkeit erkennen lässt (cyberwiser.eu; twobirds.com).
Wenn ein Mitglied einen Fehler macht, spürt die ganze Gruppe den Druck der Regulierung.
Haftungsauslöser
- Einzelne Partnerfehler: Verpasst Vorfallsberichting, verspätete Lieferantenprüfungen oder eine nicht behobene Schwachstelle bei einem Partner stellen eine Gefährdung aller Unterzeichner des Joint Ventures dar. Die Nichtdurchsetzung einer konzernweiten Aufsicht löst eine kollektive Haftung aus.
- Risiko für Direktoren/leitende Angestellte: Artikel 20 verleiht den Aufsichtsbehörden die Befugnis, gegen bestimmte Direktoren und leitende Angestellte vorzugehen und ihnen bei mangelhafter Sorgfaltspflicht persönliche Sanktionen oder Geldbußen aufzuerlegen.
- Lücken in der Lieferkette oder bei Lieferanten: Versäumnisse von Auftragnehmern oder Unterlieferanten werden auf das Joint Venture zurückgewälzt, insbesondere wenn Verträge keine durchsetzbaren „Flow-Down“-Klauseln enthalten. Im Falle eines Verstoßes oder Versehens liegt die Hauptverantwortung beim Hauptorgan des Joint Ventures und seinen Kontrolleuren.
| Auslösen | Risiko-Update | SoA / Vertragslink | Beweise protokolliert |
|---|---|---|---|
| Nichtmeldung durch Partner | Konzernweite Eskalation | Benachrichtigungsklausel bei Verstößen | Datiert Vorfallprotokolle, parteiübergreifende E-Mail |
| Ausfall der Lieferkette | JV-weites Risiko-Update | Liefer-/Freistellungsklausel | Vertragsakte, abgebildetes Risiko |
| Neuer Direktor/Funktionär | Haftungskennzeichen des Direktors | Governance-Datensätze, Rollen | Genehmigt Vorstandsprotokolle, unterschriebene Formulare |
Praktische Perspektive:
Kein Joint Venture oder Konsortium sollte das Risiko übersehen, das von einem einzelnen, nicht überwachten Mitglied oder externen Dienstleister ausgeht.behördliche Kontrolle ist eine Gruppenangelegenheit, und das gilt auch für den Schmerz der Durchsetzung.
Welche Mindestschritte zur Due Diligence müssen Joint Ventures oder Konsortien gemäß NIS 2 unternehmen?
Für Joint Ventures und Konsortien unter NIS 2, dokumentierte, parteiübergreifende Due Diligence ist nicht verhandelbar ab Projektbeginn (dlapiper.com; iclg.com).
Was Due Diligence in der Praxis bedeutet
- Zuverlässiges Onboarding: Jedes Mitglied muss vor der Bildung der operativen Gruppe seinen ISMS-Reifegrad und sein Cyber-Risikoprofil vorlegen. Zu den Nachweisen gehören Sicherheitskontrollen, Richtlinien und explizite Kriterien für Risikotoleranz bzw. -akzeptanz.
- Einheitliches Kontrollregister: Fassen Sie alle Kontrollen jeder Partei in einem einzigen, aktuellen Gefahrenregister- Auffüllen von Lücken, Überlappungen oder toten Winkeln.
- Dynamische Aufzeichnung: Protokollieren Sie Änderungen - ob neue Lieferanten, Mitarbeiter oder Mitgliedsorganisationen - sofort im Vorfall/Gefahrenregisters, nicht nur bei der jährlichen Überprüfung.
- Auditfähige Nachweise: Halten Sie Freigabeprotokolle, Vorstandsprotokolle, Lieferantenrisikobewertungen und Risikoregister aktuell und zugänglich. Jeder Prozess sollte für alle Joint Venture-Parteien eine dokumentierte und nachvollziehbare Spur bilden.
| Erwartung | JV/Konsortium-Praxis | ISO 27001 / Anhang Referenz |
|---|---|---|
| Etablierung der ISMS-Reife | Einheitliches Onboarding, Basisüberprüfungen | Abschnitt 6.1, Anhang A.5.1, A.5.7 |
| Kontroll-/Risikoregister | Einheitliche Vermögens-/Risikozuordnung | Abschnitt 8.2, Anhang A.5.12, A.5.19 |
| Beweisprotokollierung | Unterschriebene Protokolle, Prüfungsprotokolle, Register | Klausel 9.2, 9.3, A.9.2, A.5.35 |
| Bewertung der Lieferkette | Risikoprüfung bei der Lieferanteneinführung | Anhang A.5.20, A.5.21, A.8.8 |
Die Sorgfaltspflicht ist nur so stark wie die schwächste Unterschrift in Ihrer Beweiskette.
Seien Sie vom ersten Tag an NIS 2-bereit
Starten Sie mit einem bewährten Arbeitsbereich und Vorlagen – einfach anpassen, zuweisen und loslegen.
Wo geraten die meisten Joint Ventures/Konsortien in Schwierigkeiten – Erläuterung der Probleme in der Lieferkette und bei Subunternehmern
Für viele temporäre oder Ad-hoc-Zusammenarbeit ist die letzte Hürde End-to-End-Compliance in der LieferketteProbleme treten auf, wenn Verträge keine durchsetzbaren Vorfallbenachrichtigung oder wenn die Einhaltung von Vorschriften nach unten durchdringt oder wenn auf die EU ausgerichtete regulatorische Verpflichtungen von Nicht-EU-Anbietern vernachlässigt werden (cyberpulse.info; rsm.global).
Lücken in der Compliance Dritter breiten sich bei temporären Partnerschaften weiter und schneller aus.
Typische Schwachstellen
- Fehlende „Flow-Down“-Klauseln: Verträge erfordern explizite Anforderungen für die Einhaltung von NIS 2 (einschließlich Prüfung und Benachrichtigung) für alle Lieferanten, nicht nur Treu und Glauben oder bestmögliche Bemühungen *(Eversheds Sutherland eversheds-sutherland.com)*.
- Blinde Flecken bei Lieferanten außerhalb der EU: Für Anbieter, die EU-regulierte Dienstleistungen erbringen, gelten regulatorische Pflichten, auch wenn sie ihren Sitz im Ausland haben. Lücken bleiben oft unbemerkt, bis ein Vorfall eine EU-weite Haftung offenlegt.
- Meldeverzögerung: Vorfälle bei einem Zulieferer können nur bewältigt werden, wenn die Verträge eine sofortige Benachrichtigung vorschreiben – andernfalls ist das gesamte Joint Venture gefährdet.
| Versorgungsereignis | JV/Konsortium-Risiko-Update | Steuerungs-/SoA-Link | Beweise protokolliert |
|---|---|---|---|
| Neuer Lieferant an Bord | Due Diligence des Lieferanten, Vertragsprüfung | Anhang A.5.20 | Lieferantenbewertungsdatei |
| Lieferantenvorfall | Vorfallbenachrichtigung an alle Mitglieder | Anhang A.5.25 | Vorfallbericht, Protokoll |
| Regulatorische Anfrage | Leitberichte, Audits Lieferantenpfad | Abschnitt 4.4, A.5.35 | Korrespondenz, Prüfprotokoll |
Die Regulierungsbehörden sind nun eindeutig: „Die Einhaltung der Vorschriften in der gesamten Lieferkette ist ein zentraler Prüfungsschwerpunkt für regulierte Joint Ventures und Konsortien.“ (RSM Global 2023 rsm.global)
Visualisieren:
Könnten Sie einen Cyber-Vorfall bis zu einem Drittlieferanten zurückverfolgen, das Risiko im Register Ihres Joint Ventures kennzeichnen, jeden Partner benachrichtigen, auf den Kontrollvertrag verweisen und eine vollständige Prüfpfad auf Vorstandsebene – sofort?
Was muss ein Joint Venture oder Konsortium in Verträge schreiben – Wesentliche Klauseln und Prüfmöglichkeiten
Die NIS 2-Konformität muss vom Vertrag an umgesetzt werden (rsm.global; simmons-simmons.com; eversheds-sutherland.com). Die Zeiten von Standardformulierungen sind vorbei, rollenbasierte Anforderungen sind der Schlüssel zur Prüfung und Verteidigung.
Kernanforderungen des NIS 2-Vertrags
- Vorfallmeldung: Definieren Sie kurze, verbindliche Berichtsintervalle (z. B. 24–72 Stunden) und standardisierte Prozesse für die konzernweite Kommunikation (siehe Artikel 23–26).
- Prüfungsrechte: Gewähren Sie sowohl den Joint-Venture-Partnern als auch den Aufsichtsbehörden das Recht, Compliance-Nachweise zu verlangen, darauf zuzugreifen und sie zu prüfen – planmäßig und auf Anfrage.
- Durchsetzung der Lieferkette: Jeder Lieferant – direkt und indirekt – muss vertraglich an die NIS 2-Pflichten und regelmäßigen Kontrollen gebunden sein; dazu gehören auch Audit-/Benachrichtigungsrechte.
- Entschädigung/Wiedergutmachung: Legen Sie die Sanktionen und die Haftung bei Nichteinhaltung klar dar, einschließlich der Anforderungen zur Schadensminderung, zur Hinterlegung von Treuhandkonten und zum Ausstieg aus dem Vertrag.
- Nutzung der Beweisplattform: Bestätigen Sie die zentrale, digitale Beweisprotokollierung und -verfolgung – idealerweise mit einer Plattform (wie ISMS.online), das sicherstellt, dass Beweise nicht fragmentiert werden können.
| Klausel | Auswirkungen | Audit/Nachweis |
|---|---|---|
| Benachrichtigung | Gewährleistet eine zeitnahe Gruppenreaktion | Benachrichtigungsprotokolle, Anrufnotizen |
| Prüfungsrechte | Ermöglicht Validierung, Korrektur | Auditkalender, Feststellungsprotokoll |
| Versorgungserweiterung | Alle Lieferanten sind „in der Klemme“ | Lieferantenbescheinigungen, Prüfungen |
| Remediation | Weist die Haftung zu und ordnet Maßnahmen an | Unterzeichnete Pläne, Austrittsdokumente |
Ein überprüfbarer Compliance-Pfad beginnt im Vertrag; jede Klausel muss mit protokollierten, vertretbaren Beweisen verknüpft sein. (Simmons & Simmons 2024 simmons-simmons.com)
Sitzungssaal-Objektiv:
Testen Sie, ob Ihre Plattform jede Vertragsklausel in Echtzeit mit einem tatsächlichen Beweisartefakt verknüpfen kann – über das gesamte Joint Venture oder Konsortium hinweg.
Alle Ihre NIS 2, alles an einem Ort
Von den Artikeln 20–23 bis hin zu Prüfplänen – führen Sie die Compliance durch und weisen Sie sie durchgängig nach.
Mit welchen branchen- oder länderspezifischen Ausnahmen muss mein Joint Venture/Konsortium rechnen?
NIS 2 ist Mindeststandard-sektorale Vorschriften und nationale Gesetze häufig zusätzliche Pflichten auferlegen, typischerweise im Zusammenhang mit der Aufsicht auf Vorstandsebene, der Freigabe durch den Direktor oder der Meldung von Vorfällen (energyfacts.eu; lawpilots.com). In realen Joint Ventures in mehreren Ländern ist mit Variabilität zu rechnen, die die Messlatte noch höher legen kann.
Wichtige regionale und sektorale Unterschiede
- Sektor-Overlay: In Segmenten wie Energie, Gesundheit oder Bankwesen Vorfallreaktion kann eine Benachrichtigung in Echtzeit oder nahezu sofortiger Art, zusätzliche technische Maßnahmen oder eine kontinuierliche Protokollierung über dem NIS 2-Standard hinaus erfordern.
- Haftung des Vorstands/Geschäftsführers: In bestimmten Rechtsräumen (z. B. Frankreich und Deutschland) ist mittlerweile eine *persönliche* Protokollannahme erforderlich. Die Mitglieder des Ausschusses müssen dokumentierte Protokolle unterzeichnen, in denen sie ihr Bewusstsein für die Einhaltung der Vorschriften bestätigen. Diese Aufzeichnungen werden bei Audits regelmäßig überprüft.
- Unklarheit bezüglich der Zuständigkeit: Wenn Joint Ventures oder Konsortien keine eindeutige „Hauptniederlassung“ benennen, laufen sie Gefahr, dass es zu Konflikten oder Doppelungen bei der grenzüberschreitenden Durchsetzung kommt.
- Normharmonisierung: Von den Gremien wird erwartet, dass sie die Zuordnung über NIS 2 hinweg nachweisen. Datenschutz, DORA und Branchenstandards – und behandeln Sie sie nicht als Silos.
| Auslösen | Maßnahmen des Vorstands/Direktors | Zusätzliche Beweise |
|---|---|---|
| Sektor: Echtzeitwarnungen | Überwachung, Testeskalation | Vorfallprotokolls, Vorstandsprüfung |
| Frankreich: persönliche Haftung | Compliance-Rolle akzeptieren/aufzeichnen | Unterschriebenes Protokoll, Rechtsgutachten |
| Ereignis mit mehreren Standards | Dokumentzuordnung, Lead-Auth benachrichtigen | Standardübergreifender Bericht/Protokoll |
Das größte Risiko für einen Vorstand besteht darin, zu glauben, die Haftung ende an der Grenze. Die Regulierungsbehörden interessieren sich dafür, wer unterschrieben hat, wer die Daten erfasst hat und wer dies nachweisen kann – und zwar über alle geltenden Regelungen hinweg.
Audit-Lektionen aus der Praxis: Wie bestehen oder scheitern Joint Ventures und Konsortien bei NIS 2?
Der Erfolg von Audits beruht stets auf der Einhaltung der geltenden Vorschriften, der gemeinsamen Nutzung von Beweismitteln und einer nahtlosen Nachverfolgung der Verantwortlichkeiten vom Endpunkt bis zur Vorstandsetage. Misserfolge sind meist auf eine unzureichende Dokumentation oder unklare Übergaben zurückzuführen. ### Was Audits und Vorstandsprüfungen zeigen
- Beweisplattformkante: Leistungsstarke JV-Audits basieren auf einem Live-Compliance-System (wie ISMS.online). So können Partner und Prüfer Benachrichtigungen, Reaktionen und das Engagement des Vorstands in Echtzeit testen.
- Gefahren beim Onboarding und Offboarding: Prüfer prüfen die Beweiskette für den Eintritt und Austritt von Partnern. Die meisten Feststellungen beruhen auf fehlender, veralteter oder unvollständiger Dokumentation der Einarbeitung/des Austritts.
- Klarheit in mehreren Rechtsräumen: Joint Ventures, die dokumentieren, welche Behörde (wo, wann und von wem) zu benachrichtigen ist, erzielen bessere Prüfungsergebnisse – unklare Berichtswege führen häufig zu wiederholten Feststellungen.
- Kontinuierliches Engagement: Tools zur Unterstützung von Live-To-Do-Listen, Erinnerungen und Echtzeit-Beweise Aktualisierungen führen zu einer besseren Leistung als jährliche Richtlinienüberprüfungen.
Stellen Sie sich ein Ereignis bei einem Lieferanten vor, das sofort zu einer Aktualisierung des Joint Venture-Registers, kaskadierenden Benachrichtigungen an jedes Gruppenmitglied, einer aktiven Überprüfung durch den Vorstand, zeitgestempelten Nachweisen in Prüfprotokollen und der endgültigen Bestätigung des Vorfallabschlusses führt. Wenn Sie diese Grenze nicht eindeutig ziehen können, ist Ihre Compliance-Pfad gefährdet.
Aufforderung zur Umkehrung des Glaubens:
Viele gehen davon aus, dass Audits gewonnen sind, sobald die Richtliniendokumente eingereicht sind. Der tatsächliche Status „Bestanden/Nicht bestanden“ hängt von einem lebendigen Kettensystem ab – Vertrag, Vorfall, Vorstand. Fehlt ein Bindeglied, erhöht sich das Risiko des Joint Ventures.
Starten Sie die Risikoprüfung Ihres Joint Ventures oder Konsortiums – Bauen Sie mit ISMS.online Vertrauen in NIS 2 auf
Temporäre Partnerschaften und Joint Ventures müssen nun den regulatorischen Standards entsprechen: Die Einhaltung der Vorschriften beginnt mit dem Projektbeginn und muss bis zur Auflösung für jedes Mitglied, jeden Lieferanten und jeden Direktor zugänglich, teilbar und überprüfbar bleiben.Statische Pläne, Ad-hoc-Register und nicht nachverfolgte Verantwortlichkeiten erhöhen das Risiko – nicht die Kontrolle. ISMS.online ermöglicht JV- und Konsortialteams die Operationalisierung von NIS 2-Aufgaben: einheitliches Onboarding, Echtzeit-Register und Beweismittelverwaltung, Lieferantenkontrolle, Rückverfolgbarkeit über mehrere Länder und auf Vorstandsebene – alles abgebildet vom Projektplan bis zum Abschluss, Audit und darüber hinaus.
Der Unterschied zwischen Compliance und Compliance-Führung besteht darin, dass Compliance-Führung die Beweiskette besitzt und jederzeit bereit ist, bei Fragen Beweise zu liefern, nicht nur Versprechen abzugeben.
Sind Sie bereit, das Rätselraten hinter sich zu lassen? Beginnen Sie Ihre NIS 2-Risikoprüfung für Ihr Joint Venture oder Konsortium mit ISMS.online. Entdecken Sie, wie ein operatives, dynamisches Compliance-Backbone – abgebildet auf jeden Vertrag, Lieferanten und jede Vorstandsentscheidung – Ihr Team von temporären Mitarbeitern in vertrauenswürdige, auditfähige Partner verwandeln kann, die den größten festen Betreibern ebenbürtig sind.
Häufig gestellte Fragen (FAQ)
Wer entscheidet über den Umfang von NIS 2 für Joint Ventures und Konsortien – und warum kann man nicht einfach sagen: „Wir sind vorübergehend“?
Nationale Cyber-Regulierungsbehörden und Branchenbehörden entscheiden, ob Ihr Joint Venture oder Konsortium in den Geltungsbereich von NIS 2 fällt. Der eigentliche Test ist jedoch der Inhalt vor der Form: Jedes Projekt, egal wie flüchtig oder informell, das eine „wesentliche“ oder „wichtige“ Einheit (gemäß Sektor-/Größenschwellenwerten) umfasst, wird wahrscheinlich als im Umfang enthalten betrachtet. Die rechtliche Ausgestaltung, die Dauer und der Markenauftritt der Gruppe sind zweitrangig – das Vorhandensein regulierter Risiken, nicht nur die Unternehmensart, löst Verpflichtungen aus. Frankreich, Deutschland und Italien machen dies besonders deutlich: Beteiligt sich ein abgedecktes Unternehmen aus den Bereichen Energie, Finanzen, Gesundheitswesen oder große digitale Unternehmen, muss das Joint Venture oder Konsortium proaktiv eine federführende Stelle für die Meldungen benennen, aber jeder Partner trägt die direkte Verantwortung. Gehen Sie davon aus, dass Ihre Vereinbarung abgedeckt ist, es sei denn, Sie erhalten eine schriftliche Bestätigung einer Regulierungsbehörde, die das Gegenteil bestätigt. In der Praxis ignoriert die Durchsetzung zunehmend den „projektbasierten“ oder „temporären“ Status zugunsten des operativen Risikos.
Temporäre Allianzen werden nach dem Risiko und nicht nach der Form und dem Umfang gemessen, bis Ihre Aufsichtsbehörde etwas anderes vereinbart.
Tabelle: NIS 2-Auslöser für Joint Ventures/Konsortien
| Eigenschaften | Beispiel | Gilt NIS 2? |
|---|---|---|
| Wichtiger/wichtiger Partner anwesend | Energieunternehmen tritt der Bahndigitalisierungsgruppe bei | Ja – alle Partner |
| JV/Konsortium erreicht Größen-/Sektorschwelle | Drei Nationalbanken gründen Fintech-Startup | Ja – volle Aufgaben |
| Keine regulierten Einheiten, rein lokal | Zwei KMU bauen eine einzige Büroinfrastruktur auf | Unwahrscheinlich, überprüfen |
Wie wird die Haftung unter NIS 2 zwischen Joint Venture- oder Konsortialpartnern aufgeteilt, verwaltet oder „festgelegt“?
Die Haftung gemäß NIS 2 liegt bei jedem Teilnehmer, der die Betriebs- oder Sicherheitsverantwortung trägt – unabhängig von „federführenden Partnern“ oder vertraglichen Ansprüchen. Delegation oder eine leitende Berichtsfunktion schützen Sie nicht: Die Artikel 20, 21 und 26 der NIS 2 schreiben ausdrücklich die gesamtschuldnerische Haftung aller Partner in ihrem jeweiligen Geltungsbereich vor. Während ein benannter Leiter koordinieren kann Vorfallbenachrichtigungen oder das ISMS verwalten, Jeder Partner bleibt persönlich für seine Handlungen, seine Unterauftragsverarbeiter und die Unternehmensführung auf Vorstandsebene verantwortlichDie jüngste Durchsetzung deutscher und französischer Gesetze macht dies deutlich. Geschäftsführer können für Governance-Lücken persönlich haftbar gemacht werden. Vertragliche Freistellungen oder die Abwälzung der Schuld zwischen Partnern scheitern oft, wenn Protokolle, Kontrollen oder Aufsicht fehlen oder lückenhaft sind.
Die Haftung für NIS 2 ist heikel – die Schuldzuweisungen wandern nach oben und seitwärts, bis die Kontrollen aller Beteiligten die Prüfung bestehen.
Kurzübersicht: Gesellschafterhaftung in Joint Ventures/Konsortien
- Jeder Partner ist für die Einhaltung der von ihm „kontrollierten“ Bereiche (Betrieb, Sicherheit, Lieferant oder Risiko) verantwortlich.
- Eine „führende“ Einheit unterstützt bei der Koordination, aber isoliert andere nicht.
- Es wird zunehmend erwartet, dass sich die Vorstandsebene engagiert und ihre Zustimmung erteilt.
Was muss ein Joint Venture- oder Konsortialvertrag leisten, um tatsächlich die NIS 2-Sicherheit zu gewährleisten (und nicht nur ein Häkchen zu setzen)?
Verträge müssen NIS 2 operationalisieren: Gesetzliche Verpflichtungen in konkrete, nachvollziehbare Aktionen und Protokolle umwandeln. Die besten Vereinbarungen beinhalten:
- Meldepflichten: Erstmeldung innerhalb von 24 Stunden, Nachmeldung innerhalb von 72 Stunden, Zuordnung zu den Vorfallregistern.
- Gegenseitige Prüfung und Zusammenarbeit: Jeder Partner kann Prüfungen anstoßen oder daran teilnehmen, Nachweise verlangen und Register einsehen.
- „Flow-Down“ der Lieferkette: Alle direkten und indirekten Lieferanten (auch außerhalb der EU) müssen vertraglich an die gleichen Berichts- und technischen Standards gebunden sein und einen Onboarding-Nachweis vorweisen können.
- Abhilfe-, Entschädigungs- und Ausstiegsklauseln: spezifische Protokolle für alle Verstöße, Ausfälle oder Trennungsereignisse mit klaren Beweisketten.
- Richtlinien- und Risiko-Governance: Genehmigung durch den Vorstand, Freigabe und Verfolgung von Ausnahmen hinsichtlich Risikotoleranz, wichtiger Richtlinienänderungen oder Onboarding/Offboarding von Lieferanten.
Wirtschaftsprüfer und nationale Behörden prüfen heute nicht nur, was im Vertrag steht, sondern auch, ob diese Bedingungen bei jeder bedeutsamen Änderung durch Richtlinienprotokolle, Register und Vorstandsprotokolle belegt werden.
Verträge sind nur so gut wie ihre gelebte Praxis – zeigen Sie Ihr Register, sonst ist die Klausel ungültig.
Beispiele für die Zuordnung von Verträgen zu Compliance
| Klausel | NIS 2 Artikel | Erforderliche Nachweise |
|---|---|---|
| „Vorfälle innerhalb von 24 Stunden melden“ | Art. 23 | Vorfall-Dashboard, Benachrichtigungsprotokolle |
| „Alle Partner können jederzeit prüfen“ | Art. 29 | Aufzeichnungen und Protokolle zur Auditteilnahme |
| „Alle Lieferanten fließen 2 NIS herunter“ | Art. 21, 25, 27 | Lieferantenregister, Onboarding-Nachweis |
| „Abhilfe/Ausstieg bei Nichteinhaltung“ | Art. 32–36 | Entschädigungs-/Austrittsprotokoll, Vorstandsprotokolle |
| „Der Vorstand muss kritische Änderungen genehmigen“ | Art. 20 | Unterzeichnete Genehmigungen, Management-Reviews |
Wie sehen die täglichen Beweise und die Due Diligence für NIS 2 JVs aus?
Lebendiger Beweis ist mittlerweile Standard: Jeder Partner muss Echtzeitregister und -protokolle über den gesamten JV-/Konsortium-Lebenszyklus. Das heisst:
- Onboarding im Vorfeld: explizite Rollendefinitionen, Risikoprofile, Lieferantenstatus, ISMS-Reife, unterzeichnete Einträge.
- Kontinuierliche Protokollierung: Jeder Partnerwechsel, Lieferantenwechsel, Vorfall oder größere Richtlinienaktualisierung löst eine Aktualisierung aus und wird direkt den Kontrollen und Risiken (mit zurechenbaren Nachweisen) zugeordnet.
- Regelmäßige Aufsicht durch den Vorstand: laufende Überprüfungen von Management, Risiken und Richtlinien – belegt durch Protokolle und Aktionsprotokolle, nicht nur durch Jahresberichte.
- Automatisierte Compliance: ISMS.online und ähnliche Plattformen protokollieren jedes Ereignis, von Partneränderungen bis hin zu Lieferantenvorfällen, wobei die Beweise sofort für Audits oder behördliche Kontrollen verfügbar sind.
Fehler beim Onboarding, Änderungen in der Lieferkette oder der Weitergabe von Richtlinienaktualisierungen sind nach wie vor die häufigsten Ursachen für Auditergebnisse und Durchsetzungsmaßnahmen. ENISA, SANS und nationale Regulierungsbehörden fordern ausdrücklich eine Rückverfolgbarkeit, die Ereignis, Risiko, Kontrolle und Nachweis miteinander verknüpft („Zeigen Sie nicht nur Ihren Vertrag, sondern auch Ihre letzten drei Onboarding-Artefakte und Ihr Live-Risikoprotokoll“).
Die wahre Prüfstärke liegt in Registern, die jede Änderung abgleichen – wenn Sie dies live nachweisen müssen, reichen Papierspuren nicht aus.
Rückverfolgbarkeitszuordnungstabelle
| Auslöser/Ereignis | Aktualisierung des Risikoregisters | Steuerungs-/SoA-Link | Beweise protokolliert |
|---|---|---|---|
| Neuer Partner an Bord | Rolle/Risiko registriert | Zugang/Segregation | Unterschriebenes Register, Onboarding-Dokument |
| Lieferant ersetzt | Risikoüberprüfung der Lieferkette | Flow-Down verifiziert | Aktualisierter Vertrag, Prüfeintrag |
| Wichtiges Richtlinien-Update | Hohes Risiko, Überprüfung durch den Vorstand | Genehmigung durch die Geschäftsleitung | Protokoll, unterzeichnetes Protokoll |
Wie werden Lieferketten- und Lieferantenrisiken in Konsortien und Joint Ventures unter NIS 2 gehandhabt?
Ihr schwächster Lieferant ist Ihre aktive Angriffsfläche – und mittlerweile ein direktes Compliance-Risiko für alle in der Kette. NIS 2 macht das Lieferkettenrisiko zu einer gemeinsamen, kontinuierlichen Aufgabe:
- Alle Lieferanten (direkt und indirekt) sind vertraglich an die Berichts- und Prüfungsstandards von NIS 2 gebunden, mit robusten Weitergabeklauseln und echten Onboarding-Nachweisen.
- Laufende Compliance-Prüfungen: Dashboards und Register zeigen den Live-Status, Vorfallwarnungen und Kontrolllücken für alle Lieferanten und Partner an – nicht nur beim Onboarding, sondern während des gesamten Prozesses.
- Eskalation von Vorfällen: Jeder Vorfall beim Lieferanten löst eine sofortige JV-weite Benachrichtigung, eine automatische Protokollaktualisierung und eine Beweiskette aus – kein Warten auf die „E-Mail-Übergabe“.
- Explizite Rollenprüfungen: Protokollieren Sie jederzeit, welcher Partner welchen Lieferanten betreut.
ENISA und nationale Behörden bestrafen die Einführung von Versorgungsleistungen nach dem Prinzip „Einstellen und Vergessen“. Dynamische Updates und schnelle Reaktionen führen zu Audits und reduzieren Bußgelder.
Lieferketten-Workflow
- Lieferantenvorfall ausgelöst → Dashboard benachrichtigt alle betroffenen Partner.
- Vorfall und Reaktion mit Zeit-/Datenstempeln protokolliert; Beweise aktualisiert.
- Die Aufsicht durch den Vorstand/die Geschäftsleitung wird der Aufsichtsbehörde oder dem Wirtschaftsprüfer sofort nachgewiesen.
- Register zur sofortigen Überprüfung synchronisiert.
Können sektorale und nationale Vorschriften NIS 2 für Joint Ventures und Konsortien außer Kraft setzen oder verschärfen?
Ja – sektorale Überlagerungen (wie Energie, Gesundheit, digitale Infrastruktur) und nationale Vorschriften legen oft strengere Standards, eine schnellere Eskalation oder zusätzliche Governance-Belastungen fest.
- Sektor-Overlays: Eskalation von Vorfällen in Echtzeit, obligatorische technische Kontrollen, häufige Übungen und Freigabe auf Vorstandsebene (z. B. Gesundheitswesen, Energie).
- Nationale Overlays (Frankreich, Deutschland, Italien): Vorstandsmitglieder oder Direktoren können persönlich verantwortlich sein (Protokolle des Vorstands erforderlich), mit breiteren Entitätsbereich.
- Harmonie zwischen den Regimen: Wo sich DORA, GDPR oder andere Rahmenwerke überschneiden, müssen politische Beweise und Vorstandsprüfungen den höchsten geltenden Hürden standhalten.
Wirtschaftsprüfer erwarten, dass die Register von Joint Ventures/Konsortien die strengsten Anforderungen aller anwendbaren Overlays nachweisen, und dass Vorstandsprotokolle oder Rechtsregister zur Einsichtnahme bereitliegen.
Regulatorische Overlay-Tabelle
| Schicht | Beispiel | Zusätzliche Anforderungen | Beweise erwartet |
|---|---|---|---|
| NIS 2 EU-Basislinie | Pan-EU-JV-Benachrichtigung | 24/72-Stunden-Benachrichtigungen | Zentrales Ereignisprotokoll, Benachrichtigung |
| Gesundheits-/Energiesektor | Joint Venture Frankreich/Italien | Eskalation und Übungen in Echtzeit | Bohrprotokoll, Protokolle zur Genehmigung durch den Vorstand |
| Nationale Überlagerung | Frankreich/Deutschland/Italien | Vorstandsprotokolle, Unterschriften | Rechtsregister, unterzeichnete Vorstandsdokumente |
| DSGVO, DORA-Overlay | Technisches Joint Venture | Regimeübergreifende Kartierung | Policy Pack, SoA-Protokoll, gemeinsames Dashboard |
Was macht den Erfolg einer JV-/Konsortiumsprüfung aus – und wo scheitern die meisten an NIS 2?
Erfolgreiche Audits: Register, Kontrollen, Richtlinien und Verträge sind aktuell, alle Änderungen werden protokolliert und Nachweise sind sofort verfügbar und nicht in jährlichen Unterlagen vergraben. Überprüfungen durch Vorstand und Management werden protokolliert, unterzeichnet und in Live-Dashboards dargestellt. Verstöße gegen Lieferantenvorschriften oder Partnerwechsel werden in Echtzeit erfasst und nachgewiesen, mit sofortigen Benachrichtigungszyklen.
Fehler: Veraltete oder fehlende Register nach dem Onboarding, unklare Verantwortlichkeiten, fehlende Nachweise für Richtlinienänderungen oder Lieferantenwechsel sowie Lieferkettenklauseln, die zwar Compliance versprechen, aber keinen Liefernachweis enthalten. Selbst der am besten formulierte Vertrag oder die beste Richtlinie greift zu kurz, wenn Lebende Beweise passen.
Moderne Audits belohnen lebendige, gemeinsam genutzte Register und Entscheidungsprotokolle – allein der jährliche Papierkram setzt Ihr Joint Venture einem Risiko aus.
Wie kann ein Joint Venture oder Konsortium unter NIS 2 stets prüfungsbereit sein?
Verschieben Sie Ihre Compliance-Umgebung auf eine Plattform wie ISMS.online: Verwalten Sie Onboarding, Partner-/Lieferantenrollen, wichtige Verträge und Risikoereignisseund alle Vorfall-/Benachrichtigungszyklen in einem Live-Register. Automatisierte Beweisprotokollierung, Dashboard-gesteuerte Überwachung und gemeinsames Partner-/Lieferantenmanagement gewährleisten jederzeit die „Show me now“-Bereitschaft. Dieser Ansatz sorgt dafür, dass alle Teilnehmer, Lieferanten und Direktoren auf dem Laufenden bleiben, sich anpassen und gegenüber Aufsichtsbehörden, Investoren oder Vorständen nachweisbar sind – täglich, nicht nur einmal im Jahr.
Bei der Audit-Bereitschaft geht es nicht um mehr Papierkram, sondern darum, der Unternehmensleitung und den Aufsichtsbehörden jeden Tag echtes Vertrauen in Ihr Joint Venture oder Konsortium zu geben.
