NIS2: Wer ist betroffen? Sektoren und Branchen im Überblick

Hintergrund: Was bedeutet NIS2 für Ihr Unternehmen?

Mit der NIS2-Richtlinie reagiert die EU auf die zunehmenden Gefahren durch Cyberangriffe und entwickelt die bisher geltende NIS-Richtlinie (Network and Information Security-Richtlinie) von 2016 weiter. Ziel von NIS2 ist es, Unternehmen und Einrichtungen in der gesamten EU im Kampf gegen Cyberbedrohungen zu stärken und die Zusammenarbeit zwischen den Mitgliedsstaaten und Unternehmen zu fördern. Deshalb sieht die neue Richtlinie unter anderem höhere Sicherheitsstandards als bisher vor. Die Umsetzung in deutsches Recht wird noch für 2025 erwartet. Auf viele Unternehmen in Deutschland kommen damit zahlreiche neue Pflichten und erhöhte Bußgelder im Zusammenhang mit IT-Sicherheit zu.

Wer ist von NIS2 betroffen?

Experten schätzen, dass sich der Kreis der betroffenen Unternehmen und öffentlichen Einrichtungen im Vergleich zu NIS1 allein in Deutschland von etwa 8.000 auf rund 29.500 Unternehmen erweitert. Für sie bringt die Anordnung verschärfte Meldepflichten und Sicherheitsmaßnahmen mit sich. Doch für wen gilt NIS2 nun im Detail? Ob öffentliche und private Einrichtungen unter die NIS2-Vorgabe fallen, hängt maßgeblich von zwei Kriterien ab:

• Sie gehören einer von 18 festgelegten Sektoren nach NIS2 an.
• Sie übersteigen eine bestimmte Unternehmensgröße.

Außerdem sind Unternehmen auch indirekt von der NIS2-Richtlinie betroffen, wenn sie Dienstleister oder Lieferanten von betroffenen Einrichtungen sind.

Warum ist es wichtig, die eigene NIS2-Betroffenheit zu prüfen?

Viele Unternehmen beschäftigen sich zwar mit NIS2, glauben aber, nicht von der neuen Richtlinie betroffen zu sein. Laut dem Maschinenbauverband VDMA kamen 24 Prozent der Maschinenbauer in Deutschland nach eigener Prüfung zu dem Schluss, nicht von der NIS2 nicht betroffen sind. In einer eigenen Analyse stellt der VDMA jedoch fest, dass die NIS2-Betroffenheit in der Branche bei rund 90 Prozent liegt und viele Unternehmen ihre Betroffenheit falsch einstufen.  

Betroffene Branchen: Für welche Sektoren gilt NIS2?

Die EU-Anordnung NIS2 unterscheidet zwischen 18 Sektoren. 11 davon gelten als „wichtige“ und 7 als „wesentliche“ Sektoren, also als besonders wichtig. Die Zugehörigkeit einer der beiden Gruppen entscheidet darüber, wie streng die Behörden die Unternehmen beaufsichtigen und wie hoch die Strafen bei Missachtung der Richtlinie oder bei Zuwiderhandlungen ausfallen.

Welche Einrichtungen im Einzelnen von der NIS2 Directive betroffen sind, ist im Detail in den Anlagen 1 und 2 spezifiziert. Die folgende Auflistung gibt Ihnen einen Überblick über die Sektoren, für die strengere NIS2-Sicherheitsanforderungen in Bezug auf IT-Security gelten werden.

Essential Entities: Besonders wichtige Einrichtungen mit hoher Kritikalität

Diese Organisationen spielen eine entscheidende Rolle für das Funktionieren der Gesellschaft und der Wirtschaft. Sie unterliegen besonders strengen Sicherheitsanforderungen und regulatorischen Kontrollen. Zu den wesentlichen Einrichtungen gehören Unternehmen und Betreiber aus den folgenden NIS2-Sektoren:

Öffentliche Verwaltung:

• Ministerien
• Regierungsbehörden
• Kritische Verwaltungsinstitutionen

Energie:

• Stromnetzbetreiber
• Erdgas- und Ölversorger
• Betreiber von Wasserstoffnetzwerken
• Raffinerien

Transport und Verkehr:

• Betreiber von Flughäfen und Seehäfen
• Bahnunternehmen und Schieneninfrastrukturbetreiber
• Unternehmen im öffentlichen Nah- und Fernverkehr
• Betreiber von Verkehrssystemen

Bankensektor und Finanzmarkt:

• Banken
• Zahlungsdienstleister
• Versicherungen

Gesundheitswesen:

• Krankenhäuser
• Hersteller kritischer Medizinprodukte
• Pharmaunternehmen

Trinkwasserversorgung und Abwasserwirtschaft:

• Wasserversorger
• Kläranlagenbetreiber

Digitale Infrastruktur und IKT:

• Anbieter von Cloud-Diensten und Rechenzentren
• Betreiber von Internetknotenpunkten
• DNS-Dienstleister

Raumfahrt:

• Betreiber von Satelliteninfrastrukturen
• Hersteller von Raumfahrttechnologie
• Unternehmen, die weltraumgestützte Kommunikationssysteme bereitstellen

Important Entities: Wichtige Unternehmen Einrichtungen nach NIS2

Solche Organisationen sind ebenfalls von hoher Bedeutung, unterliegen jedoch weniger strengen Regulierungen als Essential Entities. Zu den wichtigen Einrichtungen von NIS2 gehören Unternehmen und Betreiber, die in einem der folgenden Bereiche tätig sind:

Post- und Kurierdienste:

• Nationale und internationale Paket- und Briefdienstleister

Abfallwirtschaft:

• Betreiber von Recycling- und Entsorgungsanlagen

Herstellung, Produktion und Vertrieb von chemischen Stoffen:

• Hersteller und Lieferanten von Chemikalien

Herstellung, Produktion und Vertrieb von Lebensmitteln:

• Produzenten und Großhändler von Lebensmitteln
• Unternehmen der Lebensmittelversorgungskette

Verarbeitendes Gewerbe (inkl. Medizinprodukte):

• Hersteller von Maschinen und Anlagen
• Produktionsunternehmen für kritische Medizinprodukte
• Hersteller von pharmazeutischen Grundstoffen

Digitale Dienstleistungen:

• Unternehmen, die Halbleiter, Maschinen oder IT-Hardware herstellen

Forschung:

• Universitäten und Labore mit kritischer Forschung

Betroffene Unternehmen nach NIS2: Ab welcher Betriebsgröße gelten die Vorgaben?

Grundsätzlich sind alle Einrichtungen betroffen, die in den genannten Sektoren tätig sind und eine bestimmte Unternehmensgröße überschreiten.

Die gesetzlichen Vorgaben von NIS2 gelten für wichtige Unternehmen,

• die mehr als 50 Mitarbeiter beschäftigen, oder
• deren Jahresumsatz 10 Millionen Euro übersteigt, oder
• die eine Jahresbilanzsumme von weniger als 43 Millionen Euro haben.

Bei den besonders wichtigen Einrichtungen sind Unternehmen von NIS2-Vorgaben betroffen, die

• über 250 Mitarbeitende beschäftigen, oder
• einen Jahresumsatz von mehr als 50 Millionen Euro haben, und
• eine Jahresbilanzsumme von mehr als 43 Millionen Euro haben.

Diese Sonderfälle gibt es

Einige Organisationen, die können vom Anwendungsbereich ausgenommen sein oder fallen aufgrund ihrer Größe nicht unter die NIS2-Anordnung (Size-Cap-Rule). Umgekehrt gibt es eine Reihe von Unternehmen, die immer von NIS2 reguliert werden – unabhängig von ihrer Größe.

Bei den Sonderfällen handelt es sich um Betreiber, bei denen ein Cyberangriff besonders großen Schaden anrichten kann und deren Ausfall ein erhöhtes Risiko für Bereiche wie Sicherheit oder Gesundheit darstellen. Beispiele sind Vertrauensdiensteanbieter oder kritische Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene.

Bedeutung der unterschiedlichen Sektoren in der Praxis

Ob Ihr Unternehmen zu den wichtigen oder besonders wichtigen Einrichtungen zählt, entscheidet unter anderem darüber, wie Ihre Organisation beaufsichtigt wird und welche Pflichten und Sanktionen gelten:

• Wichtige Unternehmen werden nach NIS2 nur anlassbezogen beaufsichtigt, bei wesentlichen Einrichtungen erfolgt die Aufsicht proaktiv, also ohne Anlass.

• Die Pflichten aus NIS2 sind für alle Sektoren gleich. Bei Sanktionen wird nicht zwischen besonders wichtigen Einrichtungen und kritischen Anlagen, sondern zwischen fahrlässigem und vorsätzlichem Verschulden.

• Für Organisationen aus diesen Sektoren drohen bei NIS2-Verstößen Bußgelder von bis zu 10 Millionen Euro oder mindestens zwei Prozent des weltweiten Jahresumsatzes betragen. Maßgeblich ist der höhere Betrag.

• Bei den wichtigen Einrichtungen können die Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Wert der höhere ist.

Warum von NIS2 betroffene Unternehmen jetzt handeln müssen

Spätestens 2026 müssen mehr Unternehmen als zuvor – darunter Cloud-Anbieter und zahlreiche digitale Dienstleister – Maßnahmen zum Schutz vor Cyberattacken ergreifen. Ansonsten drohen empfindliche Bußgelder. Bei Verstößen gegen NIS2-Pflicht, haften unter der neuen Richtlinie auch Geschäftsführer, Führungskräfte und Verantwortliche für die Auswirkungen eines Angriffs.