Moderne europäische Bürogebäude mit digitalen Netzwerkverbindungen und Cybersecurity-Schutzschilde bei Sturm

Welche Unternehmen sind von NIS2 betroffen?

  • Posted by: Carsten Vossel

Die NIS2-Richtlinie betrifft deutlich mehr Unternehmen als ihre Vorgängerin und gilt für Firmen mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in bestimmten Branchen. Neben kritischen Infrastrukturen wie Energie und Transport fallen nun auch digitale Dienste, Lebensmittel und Abfallwirtschaft unter die Regelung. Die Richtlinie erweitert den Anwendungsbereich erheblich und bringt neue Cybersicherheitspflichten mit sich.

Was ist die NIS2-Richtlinie und warum betrifft sie so viele Unternehmen?

Die NIS2-Richtlinie ist die überarbeitete Version der ursprünglichen NIS-Richtlinie von 2016 und trat im Januar 2023 in Kraft. Sie erweitert die Cybersicherheitsanforderungen auf wesentlich mehr Unternehmen und Branchen als zuvor. Der Hauptgrund für diese Ausweitung liegt in der zunehmenden Digitalisierung und den steigenden Cyberbedrohungen.

Während die ursprüngliche NIS-Richtlinie nur kritische Infrastrukturen abdeckte, umfasst NIS2 auch „wichtige Einrichtungen“. Diese Kategorisierung verdoppelt praktisch die Anzahl der betroffenen Unternehmen. Die Richtlinie zielt darauf ab, ein einheitliches Sicherheitsniveau in der gesamten EU zu schaffen.

Unternehmen müssen bis Oktober 2024 die nationalen Umsetzungsgesetze befolgen. Die Anforderungen umfassen Risikomanagement, Incident Reporting, Business Continuity und Supply-Chain-Security. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Welche Branchen und Sektoren fallen unter die NIS2-Richtlinie?

NIS2 unterteilt betroffene Unternehmen in wesentliche Einrichtungen und wichtige Einrichtungen. Wesentliche Einrichtungen umfassen kritische Infrastrukturen wie Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser und digitale Infrastrukturen. Diese Bereiche gelten als systemrelevant für die Gesellschaft.

Wichtige Einrichtungen decken eine breitere Palette ab:

  • Postdienste und Kurierdienste
  • Abfallbewirtschaftung
  • Herstellung und Produktion chemischer Stoffe
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Verarbeitendes Gewerbe (Maschinen, Elektronik, Fahrzeuge)
  • Anbieter digitaler Dienste (Cloud Computing, Suchmaschinen)
  • Forschungsorganisationen

Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen betrifft hauptsächlich die Aufsichtsintensität und Berichtspflichten. Wesentliche Einrichtungen unterliegen strengerer Überwachung und haben umfangreichere Meldepflichten bei Sicherheitsvorfällen.

Ab welcher Unternehmensgröße greift die NIS2-Richtlinie?

Die Größenkriterien für NIS2 orientieren sich an der EU-Definition für mittlere Unternehmen: mindestens 50 Beschäftigte und einen Jahresumsatz von mindestens 10 Millionen Euro. Diese Schwellenwerte gelten für beide Kategorien – wesentliche und wichtige Einrichtungen.

Kleinere Unternehmen unter diesen Schwellenwerten sind grundsätzlich ausgenommen. Allerdings gibt es wichtige Ausnahmen:

  • Kritische Infrastrukturen können unabhängig von der Größe erfasst werden
  • Einziger Anbieter einer Dienstleistung in einem Mitgliedstaat
  • Systemrelevante Bedeutung für die Aufrechterhaltung kritischer Funktionen

Kleine und mittlere Unternehmen profitieren von vereinfachten Berichtspflichten und angepassten Anforderungen. Die nationalen Behörden können zusätzliche Erleichterungen für KMU vorsehen, solange das Sicherheitsniveau gewährleistet bleibt.

Tochtergesellschaften und Konzernstrukturen werden separat bewertet. Jede rechtlich eigenständige Einheit muss die Kriterien einzeln erfüllen, um unter die Richtlinie zu fallen.

Wie finden Sie heraus, ob Ihr Unternehmen NIS2-pflichtig ist?

Die Selbstbewertung der NIS2-Pflicht erfolgt in drei Schritten: Branchenzuordnung, Größenprüfung und Tätigkeitsanalyse. Prüfen Sie zunächst, ob Ihre Geschäftstätigkeit in einen der definierten Sektoren fällt. Anschließend überprüfen Sie die Größenkriterien Ihres Unternehmens.

Praktische Checkliste für die Bewertung:

  1. Branchencheck: Ordnen Sie Ihre Hauptgeschäftstätigkeit den NIS2-Sektoren zu.
  2. Größenprüfung: Mindestens 50 Mitarbeiter UND 10 Mio. Euro Jahresumsatz?
  3. Tätigkeitsanalyse: Welche konkreten Dienstleistungen bieten Sie an?
  4. Abhängigkeitsprüfung: Sind andere kritische Dienste von Ihnen abhängig?
  5. Grenzüberschreitende Tätigkeit: Operieren Sie in mehreren EU-Ländern?

Bei Unklarheiten kontaktieren Sie die zuständige nationale Behörde. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Ansprechpartner. Viele Behörden bieten Online-Tools oder Beratungsgespräche zur Klärung der Anwendbarkeit an.

Dokumentieren Sie Ihre Bewertung schriftlich. Dies hilft bei späteren Audits und zeigt die durchdachte Herangehensweise an die Compliance-Anforderungen.

Wie unterstützt CCVOSSEL bei der NIS2-Compliance?

Wir begleiten NIS2-betroffene Unternehmen von der ersten Bewertung bis zur vollständigen Umsetzung aller Anforderungen. Unser Ansatz kombiniert technische Expertise mit praktischer Umsetzungserfahrung, um maßgeschneiderte Lösungen für Ihre spezifischen Bedürfnisse zu entwickeln.

Unsere NIS2-Compliance-Services umfassen:

  • Gap-Analyse: Bewertung Ihres aktuellen Sicherheitsstatus gegenüber NIS2-Anforderungen
  • Risikomanagement-Systeme: Entwicklung und Implementierung von Cybersicherheits-Frameworks
  • Incident-Response-Planning: Aufbau von Prozessen für Sicherheitsvorfälle und Meldepflichten
  • Supply-Chain-Security: Bewertung und Absicherung von Lieferantennetzwerken
  • Technische Sicherheitsmaßnahmen: Implementierung von Monitoring-, Backup- und Recovery-Systemen
  • Mitarbeiterschulungen: Security-Awareness-Programme für alle Unternehmensebenen

Unser erfahrenes Team aus zertifizierten Sicherheitsexperten arbeitet eng mit Ihren internen Abteilungen zusammen. Wir entwickeln nicht nur Konzepte, sondern unterstützen auch bei der praktischen Umsetzung und dem laufenden Betrieb der Sicherheitsmaßnahmen.

Starten Sie noch heute mit einer kostenlosen Erstberatung zur NIS2-Compliance. Kontaktieren Sie uns über unsere Defensive Security Services, um Ihre individuellen Anforderungen zu besprechen und einen maßgeschneiderten Umsetzungsplan zu entwickeln.

Cookie Consent mit Real Cookie Banner