Regingada
Netz- und Informationssicherheit · Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie)

NIS2-EU-Vertreter nach Art. 26 Abs. 3

Bestimmte Einrichtungen der digitalen Infrastruktur und digitaler Dienste — von DNS- und Cloud-Anbietern bis zu Online-Marktplätzen —, die nicht in der Europäischen Union niedergelassen sind, aber Dienste in der Union anbieten, müssen einen Vertreter in der Union benennen; er muss in einem der Mitgliedstaaten niedergelassen sein, in denen diese Dienste angeboten werden (Art. 26 Abs. 3 der Richtlinie (EU) 2022/2555 — NIS-2-Richtlinie). Die Regingada UG (haftungsbeschränkt) übernimmt diese benannte Rolle im eigenen Vertretungsvertrag: Erreichbarkeit für zuständige Behörden und CSIRTs, Weiterleitung und Dokumentation — keine Rechtsberatung.

NIS2-EU-Vertretungsservice für DNS-, Cloud-, Rechenzentrums-, CDN-, Managed-Service-, Marktplatz-, Suchmaschinen- und Social-Network-Anbieter außerhalb der EU.

Software & benannte EU-Vertretung: Regingada UG (haftungsbeschränkt) · Rechtsberatung ausschließlich: Kanzlei Theo Funk — gesondertes Mandat

Regingada kontaktieren — Vertretung & Produkt
Anwendungsbereich

Wer einen NIS2-EU-Vertreter benennen muss

Art. 26 Abs. 3 der Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) erfasst — gelesen mit Art. 26 Abs. 1 Buchst. b — einen geschlossenen Katalog von Einrichtungsarten: DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Domänennamen-Registrierungsdiensten, Cloud-Computing-Dienste, Rechenzentrumsdienste, Content-Delivery-Netzwerke, Managed Services Provider, Managed Security Services Provider sowie Online-Marktplätze, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke.

Ist eine solche Einrichtung nicht in der Union niedergelassen, bietet dort aber Dienste an, muss sie einen Vertreter in der Union benennen. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die Dienste angeboten werden (Art. 26 Abs. 3 NIS-2-Richtlinie).

Ein Punkt ist für die Umsetzung wesentlich: NIS2 ist eine Richtlinie, keine Verordnung. Sie bindet die Mitgliedstaaten, die sie in nationales Recht umsetzen — als Umsetzungsfrist bestimmte die Richtlinie den 17. Oktober 2024 (Art. 41 NIS-2-Richtlinie). Die operativen Pflichten Ihrer Einrichtung folgen daher aus dem nationalen Umsetzungsrecht, und Details variieren je Mitgliedstaat. In Deutschland erfolgt die Umsetzung über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Die Rolle

Was der NIS2-Vertreter tut

Die Richtlinie definiert den Vertreter als eine in der Union niedergelassene natürliche oder juristische Person, die ausdrücklich benannt ist, um im Namen einer nicht in der Union niedergelassenen Einrichtung im Sinne des Art. 26 Abs. 1 Buchst. b zu handeln, und an die sich eine zuständige Behörde oder ein CSIRT anstelle der Einrichtung selbst wenden kann, soweit es um die Pflichten dieser Einrichtung aus der Richtlinie geht (Art. 6 NIS-2-Richtlinie).

  • Benannter EU-Ansprechpunkt — zuständige Behörden und CSIRTs können sich zu den NIS2-Pflichten der Einrichtung an den Vertreter statt an die Einrichtung selbst wenden
  • Weiterleitung — dokumentierte, zeitnahe Weitergabe der Behörden- und CSIRT-Korrespondenz an die von Ihnen benannten Personen, mit definiertem Eskalationsweg
  • Registrierungsdaten — die Anschrift des Vertreters ist Teil Ihrer Meldung nach Art. 27 NIS-2-Richtlinie; wir halten sie korrekt und aktualisierungsbereit
  • Dokumentation — ein schriftlicher Nachweis über Eingang, Weiterleitung und Nachverfolgung

Mit der Benennung gilt die Einrichtung als der Zuständigkeit des Mitgliedstaats unterliegend, in dem ihr Vertreter niedergelassen ist (Art. 26 Abs. 3 NIS-2-Richtlinie). Der Sitz des Vertreters wird damit zum Anknüpfungspunkt für die Aufsicht.

Ohne benannten Vertreter sieht Art. 26 Abs. 3 letzter Satz NIS-2-Richtlinie vor, dass jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, rechtliche Schritte gegen die Einrichtung wegen Verstößen gegen die Richtlinie einleiten kann. Anders als Art. 13 Abs. 3 des Digital Services Act (DSA) knüpft Art. 26 NIS-2-Richtlinie die Benennung an die Zuständigkeit und nicht an eine ausdrückliche Vertreterhaftungsregel — unser Vertretungsvertrag definiert Aufgaben, Informationswege und Eskalationspfade dennoch präzise.

Benennung

Wie die Benennung abläuft

Drei Schritte führen vom Art.-26-Scoping zu den Registrierungsdaten und einer dokumentierten Vertreterfunktion.

  1. Scoping

    Ein geführter Fragenkatalog — derselbe Wizard, den Sie auf dieser Seite starten können — erfasst Ihre Einrichtungsart entlang des Katalogs in Art. 26 Abs. 1 Buchst. b, Ihre Niederlassung und Ihren Umfang Ihrer Dienste in der Union.

    Ergebniseine strukturierte Selbsteinschätzung Ihres Status nach Art. 26 Abs. 3 — keine rechtliche Feststellung; dafür berät die Kanzlei im gesonderten Mandat.

  2. Vertretungsvertrag

    Wir bereiten den Vertretungsvertrag vor, der die Rolle und ihre Grenzen benennt: Aufgaben, Informationskanäle, Eskalationswege, Reaktionszeiten — und die Zuständigkeitsfolge des deutschen Vertretersitzes festhält.

    Ergebnisein Entwurf des Vertretungsvertrags, der Rolle, Aufgaben und Informationswege benennt — Mustertexte auf Anfrage.

  3. Registrierung & Übergabe

    Wir stellen die Vertreterangaben für Ihre Registrierung nach Art. 27 NIS-2-Richtlinie zusammen und richten den operativen Kontaktkanal für zuständige Behörden und CSIRTs ein.

    Ergebnisein Registrierungsdaten-Paket für die Meldung nach Art. 27 Abs. 2 NIS-2-Richtlinie an die zuständige nationale Behörde plus ein dokumentierter Kontaktkanal.

Zwei verschiedene Anker

NIS2-Vertreter vs. Vertreter nach Art. 27 DSGVO

Beide Rollen existieren, damit Behörden in der Union einen Ansprechpartner haben, wenn das Unternehmen selbst außerhalb sitzt — aber es sind verschiedene Instrumente in verschiedenen Rechtsakten.

AspektNIS2-VertreterVertreter nach Art. 27 DSGVO
Grundlage & Zweck Art. 26 Abs. 3 der Richtlinie (EU) 2022/2555. Cybersicherheit von Netz- und Informationssystemen: ein erreichbares Gegenüber für zuständige Behörden und CSIRTs. Art. 27 der Verordnung (EU) 2016/679. Schutz personenbezogener Daten: eine Anlaufstelle für Aufsichtsbehörden und betroffene Personen.
Wer benennt Die in Art. 26 Abs. 1 Buchst. b abschließend genannten Einrichtungsarten — DNS, TLD-Register, Domänennamen-Registrierungsdienste, Cloud, Rechenzentrum, CDN, Managed (Security) Services, Marktplätze, Suchmaschinen, soziale Netzwerke — ohne EU-Niederlassung, die Dienste in der Union anbieten. Verantwortliche oder Auftragsverarbeiter ohne EU-Niederlassung, deren Verarbeitung unter Art. 3 Abs. 2 DSGVO fällt — Angebot von Waren oder Dienstleistungen an betroffene Personen in der Union oder deren Beobachtung — vorbehaltlich der Ausnahmen des Art. 27 Abs. 2 DSGVO.
Zuständigkeitswirkung Die Benennung verankert die Zuständigkeit: Die Einrichtung gilt als der Zuständigkeit des Mitgliedstaats unterliegend, in dem der Vertreter niedergelassen ist (Art. 26 Abs. 3 NIS-2-Richtlinie). Ohne Vertreter kann jeder Mitgliedstaat, in dem Dienste erbracht werden, rechtliche Schritte einleiten (Art. 26 Abs. 3 letzter Satz NIS-2-Richtlinie). Kein vergleichbarer Anker. Der Vertreter ist beauftragt, zusätzlich zu dem oder anstelle des Verantwortlichen oder Auftragsverarbeiters insbesondere für Aufsichtsbehörden und betroffene Personen als Anlaufstelle zu dienen (Art. 27 Abs. 4 DSGVO).
Registrierung Die Registrierungsdaten — einschließlich der Anschrift des Vertreters — gehen an die zuständigen nationalen Behörden und speisen das Register, das die ENISA erstellt und führt (Art. 27 NIS-2-Richtlinie). Kein zentrales Register. Der Vertreter wird in den Datenschutzinformationen nach Art. 13 Abs. 1 Buchst. a und Art. 14 Abs. 1 Buchst. a DSGVO genannt und erscheint im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO).

Ein Anbieter kann beide Rollen halten — jede erfordert eine eigene Benennung. Siehe den Vertreter-Service nach Art. 27 DSGVO.

Warum Regingada

Eine benannte Rolle, gehalten von einer eingetragenen Gesellschaft.

Porträt von Theo Funk, Rechtsanwalt, Gründer der Regingada UG (haftungsbeschränkt)
„Unter NIS2 ist der Sitz des Vertreters keine Formalie — die Einrichtung gilt als der Zuständigkeit des Mitgliedstaats unterliegend, in dem ihr Vertreter niedergelassen ist. Dieser Anker, verbunden mit verlässlicher Erreichbarkeit für Behörden und CSIRTs, ist das, was Regingada im eigenen Vertrag übernimmt. Das rechtliche Urteil bleibt bei meiner Kanzlei — im gesonderten Mandat.“
Rechtsanwalt Theo Funk · Rechtsanwaltskammer Bamberg

Regingada UG (haftungsbeschränkt), HRB 12595, AG Bamberg

Benannte EU-Vertretung & Software: Regingada UG (haftungsbeschränkt) — zu 100 % im Eigentum von Rechtsanwalt Theo Funk, keine Rechtsberatung · Rechtsberatung: unabhängige Kanzlei Theo Funk (RAK Bamberg) — gesondertes Mandat.

Derselbe Regulierungs-Korpus treibt die Regingada Compliance Suite an — Digital-Twin-Software, die NIS2 neben DSGVO, DSA, KI-VO und DMA kartiert.

Aus dem Regingada Radar — wir beobachten, was wir vertreten

  • DSADSA — Präzisierung zu Kontaktstellen (Art. 11)Betrifft die Ausgestaltung der Behörden-Kontaktstelle nach Art. 11 DSA und deren öffentliche Angaben.
  • AI ActKI-VO — verbotene Praktiken (Kapitel II)Bezieht sich auf den Katalog verbotener KI-Praktiken nach Kapitel II der KI-VO.
  • GDPRDSGVO — Datenschutz-Folgenabschätzung (Art. 35)Betrifft die Schwellen und Pflichtelemente der DSFA nach Art. 35 DSGVO.
Alle Einträge →

Orientierung, keine Rechtsberatung.

Kosten

Was die Kosten bestimmt

Der Umfang bemisst sich danach, was die Rolle tatsächlich zu tragen hat: Ihre Einrichtungsart und der Zuschnitt Ihrer Dienste, die Mitgliedstaaten, in denen Sie sie anbieten, das erwartete Aufkommen an Kontakten zuständiger Behörden und CSIRTs, die Registrierungs- und Aktualisierungspflichten nach Art. 27 NIS-2-Richtlinie, die Frage, ob die Rolle mit einer Vertretung nach Art. 27 DSGVO, DSA oder KI-VO kombiniert wird (Mehr-Regime-Setups senken den Koordinationsaufwand), sowie die Reaktionszeiten, zu denen wir uns verpflichten.

Konditionen auf Anfrage.

FAQ

Häufige Fragen

Wer muss einen EU-Vertreter nach Art. 26 Abs. 3 NIS-2-Richtlinie benennen?

Einrichtungen nach Art. 26 Abs. 1 Buchst. b der Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie): DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Domänennamen-Registrierungsdiensten, Cloud-Computing-Dienste, Rechenzentrumsdienste, Content-Delivery-Netzwerke, Managed Services Provider, Managed Security Services Provider sowie Online-Marktplätze, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke — sofern die Einrichtung nicht in der Europäischen Union niedergelassen ist, aber Dienste in der Union anbietet.

In welchem Mitgliedstaat muss der NIS2-Vertreter niedergelassen sein?

In einem der Mitgliedstaaten, in denen die Dienste angeboten werden (Art. 26 Abs. 3 NIS-2-Richtlinie). Die Wahl wiegt schwerer als bei anderen Regimen: Die Einrichtung gilt als der Zuständigkeit des Mitgliedstaats unterliegend, in dem ihr Vertreter niedergelassen ist. Die Regingada UG (haftungsbeschränkt) ist in Bamberg, Deutschland, niedergelassen — mit Regingada als Vertreter liegt dieser Anker in Deutschland.

Welche Zuständigkeitswirkung hat die Benennung eines Vertreters?

Nach Art. 26 Abs. 3 NIS-2-Richtlinie gilt eine Einrichtung, die einen Vertreter benannt hat, als der Zuständigkeit des Mitgliedstaats unterliegend, in dem der Vertreter niedergelassen ist. Die Aufsicht folgt dann der Umsetzung der Richtlinie in diesem Mitgliedstaat — ein klarer Zuständigkeitsanknüpfungspunkt statt mehrerer paralleler Zuständigkeiten.

Was passiert, wenn wir keinen Vertreter benennen?

Art. 26 Abs. 3 letzter Satz NIS-2-Richtlinie sieht vor, dass ohne benannten Vertreter in der Union jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, rechtliche Schritte gegen die Einrichtung wegen Verstößen gegen die Richtlinie einleiten kann. Statt eines Zuständigkeits-Ankers drohen der Einrichtung dann potenziell so viele Zuständigkeiten, wie es Mitgliedstaaten gibt, in denen sie Dienste erbringt.

Wie funktioniert die Registrierung nach Art. 27 NIS-2-Richtlinie?

Die ENISA erstellt und führt ein Register der in Art. 26 Abs. 1 Buchst. b genannten Einrichtungsarten. Die Mitgliedstaaten verpflichten diese Einrichtungen, den zuständigen Behörden Angaben zu übermitteln — darunter den Namen der Einrichtung, ihren Sektor und ihre Art, die Anschrift der Hauptniederlassung oder, bei nicht in der Union niedergelassenen Einrichtungen, die Anschrift ihres nach Art. 26 Abs. 3 benannten Vertreters, aktuelle Kontaktdaten, die Mitgliedstaaten, in denen sie Dienste erbringen, sowie ihre IP-Adressbereiche (Art. 27 Abs. 2 NIS-2-Richtlinie). Die Angaben werden für das Register an die ENISA weitergeleitet; Änderungen sind zu melden (Art. 27 Abs. 3 NIS-2-Richtlinie).

NIS2 ist eine Richtlinie — was bedeutet das für die Vertreterpflicht?

Die Richtlinie (EU) 2022/2555 bindet die Mitgliedstaaten, die sie in nationales Recht umsetzen; als Umsetzungsfrist bestimmte die Richtlinie den 17. Oktober 2024 (Art. 41 NIS-2-Richtlinie). Die operativen Pflichten Ihrer Einrichtung folgen daher aus dem nationalen Umsetzungsrecht, und Details variieren je Mitgliedstaat. In Deutschland erfolgt die Umsetzung über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Ist das Rechtsberatung?

Die Regingada UG (haftungsbeschränkt) ist die Software- und EU-Vertretungs-Gesellschaft, zu 100 % im Eigentum von Rechtsanwalt Theo Funk. Sie erbringt keine Rechtsberatung. Für Rechtsberatung nach gesonderter Mandatierung wenden Sie sich bitte an die unabhängige Kanzlei Theo Funk.

Was kostet das?

Der Umfang richtet sich nach Ihrer Einrichtungsart und dem Zuschnitt Ihrer Dienste, den Mitgliedstaaten, in denen Sie sie anbieten, dem erwarteten Aufkommen an Kontakten zuständiger Behörden und CSIRTs, den Registrierungs- und Aktualisierungspflichten nach Art. 27 NIS-2-Richtlinie, der Frage, ob die Rolle mit einer Vertretung nach Art. 27 DSGVO, DSA oder KI-VO kombiniert wird (Mehr-Regime-Setups senken den Koordinationsaufwand), sowie den vereinbarten Reaktionszeiten. Konditionen auf Anfrage.

Benennen Sie Ihren EU-Vertreter nach Art. 26 Abs. 3.

Starten Sie mit dem Scoping-Check — er hält Ihren Status nach Art. 26 Abs. 3 fest und führt direkt in die Vertretungsanfrage.

Rechtsberatung zu Vertreterpflichten — Kanzlei Theo Funk (gesondertes Mandat)