Für wen gilt NIS2?

von

Die Verpflichtung zur Umsetzung der NIS2-Richtlinie richtet sich nach einer Kombination aus der Branche (Sektor) und der Unternehmensgröße. Grundsätzlich gilt die sogenannte „Size-Cap“-Regel.

Hier ist die genaue Aufschlüsselung, ab wann Sie und Ihr Unternehmen offiziell in der Pflicht stehen:

1. Die allgemeine Größenregel („Size-Cap“)

In der Regel sind Unternehmen verpflichtend betroffen, wenn sie in einem der regulierten Sektoren tätig sind und mindestens als mittelschweres Unternehmen gelten. Die Schwellenwerte hierfür sind:

  • Mitarbeiterzahl: Mindestens 50 Beschäftigte.
  • Finanzkennzahlen: Ein Jahresumsatz oder eine Jahresbilanzsumme von über 10 Millionen Euro.

Unternehmen, die diese Werte überschreiten, werden in zwei Kategorien unterteilt:

  • Wichtige Einrichtungen (Important Entities): 50 bis 249 Mitarbeiter und ein Umsatz/Bilanz bis 50/43 Millionen Euro.
  • Wesentliche Einrichtungen (Essential Entities): Ab 250 Mitarbeitern oder über 50 Millionen Euro Umsatz bzw. 43 Millionen Euro Bilanzsumme.

Welche Unternehmenstypen sind betroffen?

Sektoren mit hoher Kritikalität:

  • Energie (Strom, Öl, Gas, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen & Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharma)
  • Trinkwasser & Abwasser
  • Digitale Infrastruktur (Cloud, Rechenzentren, DNS)
  • Verwaltung (zentral und regional)
  • Weltraum

Sonstige kritische Sektoren:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie (Herstellung, Produktion, Vertrieb)
  • Lebensmittel (Erzeugung, Verarbeitung, Großhandel)
  • Verarbeitendes Gewerbe (Maschinenbau, Fahrzeugbau, Elektronik)
  • Digitale Dienste (Marktplätze, Suchmaschinen, Soziale Netzwerke)
  • Forschung (in den genannten Bereichen)

2. Die Ausnahmen: Verpflichtet unabhängig von der Größe

Es gibt Unternehmen, für die NIS2 immer verpflichtend ist, selbst wenn sie weniger als 50 Mitarbeiter haben oder weniger als 10 Millionen Euro umsetzen. Dies betrifft Anbieter, deren Ausfall erhebliche systemische Auswirkungen hätte:

  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste.
  • Vertrauensdiensteanbieter (z. B. für digitale Signaturen).
  • TLD-Namen-Registrierstellen und DNS-Dienstanbieter.
  • Einzige Anbieter eines Dienstes in einem Mitgliedstaat, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist.
  • Zentralstaatliche Behörden (je nach nationaler Auslegung auch regionale Behörden).

3. Indirekte Betroffenheit durch die Lieferkette

Selbst wenn Sie die oben genannten Größenklassen nicht erreichen, kann NIS2 für Sie verpflichtend werden, wenn Sie Zulieferer eines regulierten Unternehmens sind.

Da NIS2 die Hauptunternehmen verpflichtet, die Sicherheit ihrer gesamten Lieferkette zu prüfen, werden diese ihre Sicherheitsstandards (z. B. Zertifizierungen oder Audits) vertraglich an Sie weitergeben. In diesem Fall ist die Einhaltung zwar keine unmittelbare gesetzliche Pflicht gegenüber dem Staat, aber eine notwendige Bedingung für Ihre Geschäftsbeziehungen.

Zusammenfassend lässt sich sagen: Wenn Ihr Unternehmen mehr als 50 Mitarbeiter hat oder über 10 Millionen Euro umsetzt und in einem der kritischen Sektoren tätig ist, sind Sie gesetzlich direkt zur Einhaltung verpflichtet.

Können Sie bereits abschätzen, ob Ihr Unternehmen unter die „Wichtigen“ oder „Wesentlichen“ Einrichtungen fällt, oder benötigen Sie Hilfe bei der Einordnung Ihres Sektors?

1 Gedanke zu „Für wen gilt NIS2?“

  1. Pingback: NIS2: Wenn Cybersicherheit zum Risiko wird - Patrick Koglin

Die Kommentare sind geschlossen.