NIS2-Richtlinie: Wer ist betroffen?

Hintergrund: Was bedeutet NIS2 für Ihr Unternehmen?

Mit der NIS2-Richtlinie reagiert die EU auf die zunehmenden Gefahren durch Cyberangriffe und entwickelt die bisher geltende NIS-Richtlinie (Network and Information Security-Richtlinie) von 2016 weiter. Bis Oktober 2024 müssen die EU-Mitgliedsstaaten die neue Richtlinie in nationales Recht umsetzen. Auf viele Unternehmen in Deutschland kommen damit zahlreiche neue Pflichten und erhöhte Bußgelder im Zusammenhang mit IT-Sicherheit zu.

Mehr zu den Hintergründen und Anforderungen erfahren Sie in unserem kompakten NIS2-Überblick.

Das ändert sich mit NIS2 für betroffene Unternehmen

Ziel von NIS2 ist es, Unternehmen und Einrichtungen in der gesamten EU im Kampf gegen Cyberbedrohungen zu stärken und die Zusammenarbeit zwischen den Mitgliedsstaaten und Unternehmen zu fördern. Deshalb sieht die neue Richtlinie unter anderem höhere Sicherheitsstandards als bisher vor.

Zum anderen sind ab Herbst 2024 noch mehr Unternehmen aus unterschiedlichen Sektoren von NIS2 betroffen als bisher: Experten schätzen, dass sich der Kreis der betroffenen Unternehmen und öffentlichen Einrichtungen allein in Deutschland um rund 30.000 Unternehmen erweitert. Für sie bringt die Anordnung verschärfte Meldepflichten und Sicherheitsmaßnahmen mit sich. Für wen gilt NIS2 nun im Detail?

Wer fällt unter NIS2?

Die Anordnung der Europäischen Union soll die Cybersicherheit kritischer Infrastrukturen und wesentlicher Dienste verbessern. Sie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie erheblich. Ob öffentliche und private Einrichtungen unter die NIS2-Vorgabe fallen, hängt maßgeblich von zwei Kriterien ab:

• Sie gehören einer von 18 festgelegten Sektoren nach NIS2 an.
• Sie übersteigen eine bestimmte Unternehmensgröße.

Außerdem sind Unternehmen auch indirekt von der NIS2-Richtlinie betroffen, wenn sie Dienstleister oder Lieferanten von betroffenen Einrichtungen sind.

Betroffene Branchen: Für welche Sektoren gilt NIS2?

Die EU-Anordnung NIS2 unterscheidet zwischen 18 Sektoren. 11 davon gelten als „wichtige“ und 7 als „wesentliche“ Sektoren, also als besonders wichtig. Die Zugehörigkeit einer der beiden Gruppen entscheidet darüber, wie streng die Behörden die Unternehmen beaufsichtigen und wie hoch die Strafen bei Missachtung der Richtlinie oder bei Zuwiderhandlungen ausfallen. Welche Einrichtungen im Einzelnen von der NIS2 Directive betroffen sind, ist im Detail in Anhang I und II spezifiziert. Die folgende Auflistung gibt Ihnen einen Überblick über die Sektoren, für die strengere NIS2-Sicherheitsanforderungen in Bezug auf IT-Security gelten werden.

Essential Entities: Besonders wichtige Einrichtungen mit hoher Kritikalität

Diese Organisationen spielen eine entscheidende Rolle für das Funktionieren der Gesellschaft und der Wirtschaft. Sie unterliegen besonders strengen Sicherheitsanforderungen und regulatorischen Kontrollen. Zu den wesentlichen Einrichtungen gehören Unternehmen und Betreiber aus den folgenden NIS2-Sektoren:

• Öffentliche Verwaltung:
  • Ministerien
  • Regierungsbehörden
  • Kritische Verwaltungsinstitutionen
• Energie:
  • Stromnetzbetreiber
  • Erdgas- und Ölversorger
  • Betreiber von Wasserstoffnetzwerken
  • Raffinerien
• Transport und Verkehr:
  • Betreiber von Flughäfen und Seehäfen
  • Bahnunternehmen und Schieneninfrastrukturbetreiber
  • Unternehmen im öffentlichen Nah- und Fernverkehr
• Bankensektor und Finanzmarkt:
  • Banken
  • Zahlungsdienstleister
  • Versicherungen
 
• Gesundheitswesen:
  • Krankenhäuser
  • Hersteller kritischer Medizinprodukte
  • Pharmaunternehmen
• Trinkwasserversorgung und Abwasserwirtschaft:
  • Wasserversorger
  • Kläranlagenbetreiber

 
• Digitale Infrastruktur und IKT:
  • Anbieter von Cloud-Diensten und Rechenzentren
  • Betreiber von Internetknotenpunkten
  • DNS-Dienstleister
 
• Raumfahrt:
  • Betreiber von Satelliteninfrastrukturen
  • Hersteller von Raumfahrttechnologie
  • Unternehmen, die weltraumgestützte Kommunikationssysteme bereitstellen

Important Entities: Wichtige Unternehmen Einrichtungen nach NIS2

Solche Organisationen sind ebenfalls von hoher Bedeutung, unterliegen jedoch weniger strengen Regulierungen als Essential Entities. Zu den wichtigen Einrichtungen von NIS2 gehören Unternehmen und Betreiber, die in einem der folgenden Bereiche tätig sind:

• Post- und Kurierdienste:
  • Nationale und internationale Paket- und Briefdienstleister
• Abfallwirtschaft:
  • Betreiber von Recycling- und Entsorgungsanlagen
• Herstellung, Produktion und Vertrieb von chemischen Stoffen:
  • Hersteller und Lieferanten von Chemikalien
• Herstellung, Produktion und Vertrieb von Lebensmitteln:
  • Produzenten und Großhändler von Lebensmitteln
  • Unternehmen der Lebensmittelversorgungskette
• Verarbeitendes Gewerbe (inkl. Medizinprodukte):
  • Hersteller von Maschinen und Anlagen
  • Produktionsunternehmen für kritische Medizinprodukte
• Hersteller von pharmazeutischen Grundstoffen
• Digitale Dienstleistungen:
  • Unternehmen, die Halbleiter, Maschinen oder IT-Hardware herstellen
• Forschung:
  • Universitäten und Labore mit kritischer Forschung

Unterschiede bei Aufsicht und Bußgeldern für NIS2-Unternehmen

• Wichtige Unternehmen werden nach NIS2 nur anlassbezogen beaufsichtigt, bei wesentlichen Einrichtungen erfolgt die Aufsicht proaktiv, also ohne Anlass.
• Die Pflichten aus NIS2 sind für alle Sektoren gleich. Bei Sanktionen wird nicht zwischen besonders wichtigen Einrichtungen und kritischen Anlagen, sondern zwischen fahrlässigem und vorsätzlichem Verschulden.
• Für Organisationen aus diesen Sektoren drohen bei NIS2-Verstößen Bußgelder von bis zu 10 Millionen Euro oder mindestens zwei Prozent des weltweiten Jahresumsatzes betragen. Maßgeblich ist der höhere Betrag.
• Bei den wichtigen Einrichtungen können die Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Wert der höhere ist.

Betroffene Unternehmen nach NIS2: Ab welcher Betriebsgröße gelten die Vorgaben?

Grundsätzlich sind alle Einrichtungen betroffen, die in den genannten Sektoren nach NIS2 tätig sind und eine bestimmte Unternehmensgröße überschreiten.
‍

Die gesetzlichen Vorgaben von NIS2 gelten für wichtige Unternehmen,

• die mehr als 50 Mitarbeiter beschäftigen, oder
• deren Jahresumsatz 10 Millionen Euro übersteigt, oder
• die eine Jahresbilanzsumme von weniger als 43 Millionen Euro haben.

Bei den besonders wichtigen Einrichtungen sind Unternehmen von NIS2-Vorgaben betroffen, die

• über 250 Mitarbeitende beschäftigen, oder
• einen Jahresumsatz von mehr als 50 Millionen Euro haben, oder
• eine Jahresbilanzsumme von mehr als 43 Millionen Euro haben.

Es gibt Organisationen, die vom Anwendungsbereich ausgenommen sein können oder die aufgrund ihrer Größe nicht unter die NIS2-Anordnung fallen. Umgekehrt gibt es eine Reihe von Unternehmen, die immer von NIS2 reguliert werden – unabhängig von ihrer Größe. Bei den Sonderfällen handelt es sich um Betreiber, bei denen ein Cyberangriff besonders großen Schaden anrichten kann und deren Ausfall ein erhöhtes Risiko für Bereiche wie Sicherheit oder Gesundheit darstellen. Beispiele sind Vertrauensdiensteanbieter oder kritische Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene.

Warum von NIS2 betroffene Unternehmen jetzt handeln müssen

Ab Oktober 2024 müssen mehr Unternehmen als zuvor – darunter Cloud-Anbieter und zahlreiche digitale Dienstleister – Maßnahmen zum Schutz vor Cyberattacken ergreifen. Verstoßen Unternehmen gegen diese NIS2-Pflicht, haften unter der neuen Richtlinie auch Führungskräfte und Verantwortliche für die Auswirkungen eines Angriffs.

Damit Geschäftsführer nicht in die Security-Falle tappen, die mit empfindlichen Bußgeldern für sie verbunden ist, verpflichtet die NIS2 Führungskräfte von Unternehmen dazu, Cybersicherheitsschulungen für ihre Mitarbeiter anzubieten und selbst daran teilzunehmen.

Die NIS2-Anordnung bedeutet für betroffene Unternehmen verschärfte Sicherheitsanforderungen. Bei Nichtbeachtung drohen höhere Bußgelder als in der alten Richtlinie und ein Haftungsrisiko für Geschäftsführer. Außerdem sind erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an Behörden zu melden.

Bereiten Sie Ihr Unternehmen jetzt auf NIS2 vor

NIS2 hat weitreichende Auswirkungen auf die Compliance und IT-Sicherheitsmaßnahmen von Unternehmen und nimmt künftig mehr Organisation als zuvor samt ihren Verantwortlichen in die Pflicht. Um Ihre IT-Sicherheit ganzheitlich auf die bevorstehenden Änderungen anzupassen und um herauszufinden, welche Anforderungen konkret auf Ihr Unternehmen zukommen, beraten wir Sie gern.

Wer ist von NIS2 betroffen? Finden Sie es jetzt heraus!

Lassen Sie sich unverbindlich von uns beraten. Wir unterstützen Sie dabei, die NIS2-Vorgaben rechtzeitig umsetzen und Sanktionen zu vermeiden.