NIS2: Wer ist betroffen? – Ein Überblick

NIS2: Wer ist betroffen?– Ein Überblick

Seit Anfang Mai gibt es einen neuen Entwurf zur Umsetzung der NIS2-Richtlinie (Network Information Security) in deutsches Recht. Am 1. Oktober soll er in Kraft treten. Ziel ist es, dass mehr Unternehmen aus sensiblen Industrien sich besser vor Cyberangriffen schützen. In diesem Zusammenhang gilt es also die Frage zu beantworten: NIS2 – Wer ist betroffen?

Für wen gilt NIS2?

Krankenhäuser, Wasser- und Energieversorgung, Banken oder Telekommunikationsunternehmen. All diese Sektoren sind eminent wichtig für das Leben und die Wirtschaft. 

Angriffe auf die Betreiber dieser kritischen Infrastrukturen können sich daher gravierend auf die Bevölkerung auswirken. Die „Bedrohung im Cyberraum ist so hoch wie nie zuvor“. So das Fazit des aktuellen BSI-Berichts zur Lage der IT-Sicherheit in Deutschland. 

Mit der NIS2-Richtlinie reagiert die EU auf die zunehmenden Gefahren durch Cyberangriffe. Aus diesem Grund wurde die bisher geltende NIS-Richtlinie von 2016 weiterentwickelt. 

NIS2 erhöht primär die Sicherheitsanforderungen. Zudem verschärft das Gesetz die Meldepflichten von Unternehmen. Darüber hinaus fordert es von kritischen Unternehmen und öffentlichen Einrichtungen umfangreichere Maßnahmen zum Schutz gegen Cyberattacken. 

Somit erweitert sich der Kreis der betroffenen Unternehmen und öffentlichen Einrichtungen allein in Deutschland um rund 30.000 Unternehmen. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten die neue Richtlinie in nationales Recht umsetzen. 

Anfang Mai veröffentlichte das Bundesministerium des Innern (BMI) den insgesamt fünften Referentenentwurf des Gesetzes zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, kurz NIS2UmsuCG. 

Die EU fordert, dass das Gesetz bis Oktober 2024 umgesetzt wird. Fraglich ist, ob der Entwurf bis dahin die Gesetzgebung auf Bundesebene komplett durchlaufen hat.

NIS2 betroffene Unternehmen

Ungeachtet dessen erweitert sich der Kreis der betroffenen Sektoren, Unternehmen und Einrichtungen im Vergleich zur alten NIS bzw. dem der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) enorm. 

Aktuell betrifft das BSI-Gesetz hierzulande rund 1100 KRITIS-Betreiber mit insgesamt etwas mehr als 2.000 Anlagen.  Von NIS2 und seinen strengeren Anforderungen werden in Deutschland laut Entwurf rund 30.000 Unternehmen und öffentliche Einrichtungen betroffen sein.

Wen betrifft NIS2?

Betroffen sind insgesamt vier Gruppen von Unternehmen und Einrichtungen:

Bisherige KRITIS-Unternehmen

als Betreiber kritischer Anlagen. Sie müssen bestimmte Schwellenwerte überschreiten (erhebliche Größenordnung), damit sie als KRITIS-Betreiber eingestuft werden. Diese Werte sind meist so zugeschnitten, dass eine Untergrenze von 500.000 Einwohnern versorgt wird.

Besonders wichtige Einrichtungen (Essential)

Bestimmte Sektoren nach Größe des Unternehmens (Großunternehmen mit mehr als 250 Mitarbeitern. Oder einem Jahresumsatz von mindestens 50 Millionen Euro oder einer Bilanz von mindestens 43 Millionen Euro).

Wichtige Einrichtungen (Important)

Bestimmte Sektoren nach Größe des Unternehmens (Mittlere Unternehmen mit mehr als 50 Mitarbeitern. Oder einem Jahresumsatz von mindestens 10 Millionen Euro und einer Bilanz von mindestens 10 Millionen Euro.

Bundeseinrichtungen (§29) = Einrichtungen der Bundesverwaltung

Allerdings gibt es hier einige Ausnahmen, die nicht der NIS2 unterliegen. Dazu gehören zum Beispiel Industrie- und Handelskammern, Nachrichtendienste, Geschäftsbereiche des Verteidigungsministeriums und des Auswärtigen Amtes oder Institutionen der sozialen Sicherung. Auch die Bundesländer sind nicht direkt reguliert.

Darüber hinaus können Unternehmen auch indirekt von der NIS2-Richtlinie betroffen sein. Zum Beispiel wenn sie Dienstleister oder Lieferanten von betroffenen Organisationen sind. Werfen wir einen näheren Blick auf die besonders wichtigen und wichtigen Einrichtungen.

Übersicht der NIS2-Sektoren

Die von der NIS2 regulierten besonders wichtigen und wichtigen Einrichtungen erbringen Dienstleistungen in insgesamt 14 Sektoren. Welche Einrichtungen im Einzelnen von der NIS2 betroffen sind, ist in der Richtlinie im Detail in Anhang I und II spezifiziert. Grundsätzlich teilen sich diese in sieben Essential-Sektoren und sieben Important-Sektoren auf. Hier eine tabellarische Übersicht.

Fazit: NIS2 - Wer ist betroffen?

Die Regularien der NIS2 gelten für folgende Unternehmen aus den entsprechenden Sektoren:

  • Betreiber besonders wichtiger Einrichtungen (Essential): 

Große Unternehmen (ab 250 Mitarbeiter und Jahresumsatz ab 50 Millionen Euro) aus den 7 Essential-Sektoren. Oder unabhängig von der Größe qualifizierte Vertrauensdienste, Domain-Registrare oder DNS-Dienste. Auch die klassischen KRITIS-Unternehmen als Betreiber kritischer Anlagen gehören zu den Betreibern besonders wichtiger Einrichtungen.

  • Betreiber wichtiger Einrichtungen (Important)

Große Unternehmen der 7 Important-Sektoren, mittlere Unternehmen aller 14 Sektoren (Essential und Important) sowie Vertrauensdienste.

< Zurück zur Übersicht
Home | Insights | Blog | NIS2: Wer ist betroffen? – Ein Überblick