Zum Inhalt springen Zur Navigation springen
NIS-2 betrifft (nicht) nur Betreiber kritischer Infrastrukturen

NIS-2 betrifft (nicht) nur Betreiber kritischer Infrastrukturen

Auch, wenn die NIS-2-Richtline bereits im Dezember 2022 durch die EU verabschiedet wurde, so ist sie noch nicht in nationales geltendes Recht umgesetzt. Dies muss bis Oktober 2024 passieren. Doch das deutsche NIS-2-Umsetzungsgesetz befindet sich aktuell noch am Anfang seines Verabschiedungsprozesses und so gibt es noch viele ungeklärte Punkte. Auf der einen Seite steht oft die Frage „Bin ich betroffen?“. Auf der anderen Seite trifft man die überhebliche Einschätzung, dass man nicht betroffen sein könnte. Jedoch ist der Anwendungsbereich von NIS-2 weiter als manch einer denkt.

NIS-2 ist ein Problem der anderen

In unserem Kontakt mit Kunden treffen wir in Bezug von NIS-2 auf die folgenden Standpunkte:

  • Hat sich mit NIS-2 auseinandergesetzt und weiß Bescheid, dass die Einrichtung unter NIS-2 fällt. Oder es werden Anforderungen durch die eigenen Kunden kommen, da diese unter den Anwendungsbereich fallen.
  • Ist sich der Bedeutung von NIS-2 noch nicht bewusst. Häufig mit der Aussage: „Ja haben wir von gehört, aber wir sind keine kritische Infrastruktur.“

Es herrscht also teilweise die Meinung, dass NIS-2 nur die Betreiber von kritischen Infrastrukturen trifft und ggf. auch Zulieferer und Dienstleister mitgefangen sind. Aber tatsächlich greift NIS-2 weiter. Das offizielle Ziel der NIS-2-Richtline folgt dem ihres Vorgängers, der NIS-Richtlinie (EU) 2016/1148. So liest sich der Erwägungsgrund 1 NIS-2-Richtlinie wie folgt:

„Ziel der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates war der unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität solcher Dienste bei Vorfällen, um so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.“

Die Direktive hat dabei noch einen breiteren Fokus, um das Ziel zu erreichen. Insbesondere zeichnet sich das durch Mindestvorgaben zur Cyberresilienz und einem größeren Anwendungsbereich in der Wirtschaft aus.

Aber wer ist denn jetzt von NIS-2 betroffen?

Hauptfaktoren zum Anwendungsbereich von NIS-2

Zu der Beantwortung der Frage, welche Unternehmen unter NIS-2 fallen, müssen primär die folgenden drei Faktoren betrachtet werden:

  • Anzahl der Mitarbeitenden
  • Umsatz des Unternehmens
  • Ansässige Sektor

Auch wenn das überschaubar wirkt, so lohnt sich auch hier ein genauerer Blick. Die Anzahl der Mitarbeitenden wird in so genannten Vollzeitäquivalente (englisch Full Time Equivalent, kurz FTE) gemessen. Für den Umsatz ist der gesamte Umsatz innerhalb der EU ausschlaggebend.

Ebenso gibt es bei den Sektoren einiges zu beachten. Innerhalb von NIS-2 wird in „Sektoren mit hoher Kritikalität“ (Anhang I) und „Sonstige kritische Sektoren“ (Anhang II) unterschieden. Diese beiden Sektoren werden wieder in Teilsektoren unterschieden, die verschiedenen Arten von Einrichtungen beinhalten, wobei hier Großteile auf weitere EU-Richtlinien zur Definition verwiesen wird.

Gehört ein Unternehmen zu einem der gelisteten 18 Sektoren aus den Anhängen I oder II und hat einen Umsatz von über 10 Mio. Euro oder 50+ Mitarbeitenden, so gibt es eine hohe Wahrscheinlichkeit unter die Anforderungen von NIS-2 zu fallen. Noch mehr Komplexität entsteht, wenn man beachtet, dass innerhalb von NIS-2 zusätzlich noch von zwei Kategorien von Einrichtungen unterschieden wird, für die unterschiedliche Anforderungen gelten. Diese Kategorien seien an dieser Stelle aber außenvor.

Weitere Faktoren zum Anwendungsbereich von NIS-2

Keine Regeln ohne Ausnahmen. Die oben genannten Grenzen gelten beispielsweise nicht für Betreiber kritischer Infrastrukturen. Diese fallen alle unter den Anwendungsbereich von NIS-2, unabhängig ihrer Größe. Möglich, dass sich auch hieraus die Meinung ergibt, dass „nur kritische Infrastrukturen“ unter NIS-2 fallen. Aber auch andere Ausnahmen fallen an und erschweren die Einschätzung noch zusätzlich, ob ein Unternehmen unter NIS-2 fällt oder nicht.

Abgesehen von Ausnahmen ist auch das Umfeld eines Unternehmens schnell interessant, wenn es sich nicht mehr um ein einzelnes Unternehmen handelt, sondern um mehrere verbundenen Gesellschaften oder einen Konzern. In diesen Fällen muss zusätzlich mit einbezogen werden, inwieweit diese Unternehmen unabhängig voneinander sind. Sollte ein Unternehmen, welches in den Anwendungsbereich von NIS-2 fällt, von einem anderen abhängig sein, so kann auch das andere Unternehmen in den Anwendungsbereich fallen.

Könnte ich von NIS-2 betroffen sein?

Wie wir jetzt gesehen haben, ist der Anwendungsbereich von NIS-2 nicht so klein, wie manch einer denkt. Insbesondere sind nicht nur Unternehmen betroffen, die in der kritischen Infrastruktur ansässig sind, sondern auch viele darüber hinaus. Dabei ist es nicht wenig komplex, die genauen Grenzen des Anwendungsbereiches von NIS-2 zu identifizieren und so festzustellen, ob die Anforderungen von NIS-2 das eigene Unternehmen betreffen. Diese sind in der Praxis auch nicht trivial umzusetzen, wie wir bereits in den Beiträgen Umsetzung der NIS-2-Richtlinie in Deutschland und NIS-2: Anforderungen an die Informationssicherheit dargestellt haben. Im schlimmsten Fall wird nicht festgestellt, dass das eigene Unternehmen in den Regulierungsbereich von NIS-2 fällt und ab Oktober gegen geltendes Recht verstoßen wird.

Da diese Situation so komplex und facettenreich ist, kann unser kostenloser NIS-2 QuickCheck bei einer ersten Einordnung helfen, ob ein Unternehmen in den Anwendungsbereich von NIS-2 fällt. Für eine finale Aussage kann oft jedoch oft nur eine ausführliche Betroffenheitsanalyse eine Antwort liefern, bei der wir Ihnen auch gerne zur Seite stehen. Sollten Sie weiterführende Fragen haben, oder Unterstützung bei der Umsetzung der Anforderungen wünschen, stehen wir Ihnen gerne zur Verfügung.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.