Die Frage„Wer ist von NIS2 betroffen?“ist für Unternehmen in der EU von zentraler Bedeutung. Die NIS2-Richtlinie definiert klare Anforderungen und erweitert den Geltungsbereich deutlich. Daher müssen viele Organisationen erstmals strukturierte Sicherheitsmaßnahmen einführen. Außerdem fordert NIS2 ein hohes Maß an Transparenz und eine engere Zusammenarbeit zwischen Wirtschaft und Behörden. Dieser Artikel erklärt detailliert, welche Sektoren, Unternehmensgrößen und Rollen von der Richtlinie erfasst werden. Darüber hinaus werden die Kriterien dargestellt, anhand derer Unternehmen prüfen können, ob sie unter NIS2 fallen.
Kurzfazit:
Die Relevanz von NIS2 steigt erheblich, weil die Richtlinie mehr Branchen und Unternehmensformen einbezieht.
Grundlagen: Wer ist von NIS2 betroffen?
Die NIS2-Richtlinie ersetzt die ursprüngliche NIS-Verordnung und erweitert ihren Umfang substanziell. Daher müssen deutlich mehr Unternehmen als bisher Cybersecurity-Maßnahmen implementieren. Das Ziel besteht darin, ein EU-weit einheitliches Sicherheitsniveau zu erreichen. Zugleich soll die Resilienz kritischer Dienste verbessert werden. Die Richtlinie unterscheidet zwei Kategorien:
Wesentliche Einrichtungen
Wichtige Einrichtungen
Beide Kategorien müssen ein umfassendes Sicherheitsmanagement nachweisen. Allerdings unterscheiden sie sich in der Intensität der Aufsicht.
Kurzfazit:
NIS2 schafft einen breiten und klar definierten Rahmen zur Einstufung von Unternehmen.
Wesentliche Einrichtungen – Kernbereiche der Versorgungssicherheit
Wesentliche Einrichtungen umfassen Unternehmen, deren Ausfall erhebliche Auswirkungen auf Gesellschaft, Wirtschaft oder staatliche Strukturen hätte. Daher gelten für diese Kategorie strengere Vorgaben und intensivere Überprüfungen.
Betroffene Sektoren
Energie
Verkehr und Logistik
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
Öffentliche Verwaltung
Raumfahrtbezogene Dienste
Diese Branchen erbringen unverzichtbare Leistungen. Außerdem unterliegen sie umfangreichen Meldepflichten, damit Vorfälle früh erkannt werden.
Kurzfazit:
Wesentliche Einrichtungen stehen unter hohem regulatorischem Druck, da sie kritische Dienste betreiben.
Wichtige Einrichtungen – wirtschaftlich relevante Organisationen
Neben den kritischen Bereichen bezieht NIS2 viele Unternehmen ein, die für wirtschaftliche Abläufe unverzichtbar sind. Folglich betrifft die Richtlinie auch Organisationen, die nicht unmittelbar kritisch, aber funktional systemrelevant sind.
Beispiele relevanter Branchen
Lebensmittelverarbeitung
Abfall- und Recyclingwirtschaft
Chemische Industrie
Maschinenbau
Post- und Kurierdienste
Forschungseinrichtungen
Digitale Dienste wie Cloud-Anbieter
Hersteller sensibler Komponenten
Viele dieser Unternehmen fallen erstmals unter eine EU-Cybersicherheitsrichtlinie. Außerdem müssen sie Dokumentations-, Melde- und Governance-Pflichten erfüllen.
Kurzfazit:
Wichtige Einrichtungen erweitern den Anwendungsbereich erheblich und binden besonders den Mittelstand ein.
Größenkriterien: Wann ist ein Unternehmen automatisch betroffen?
Die Einstufung erfolgt nicht nur anhand der Branche. Auch die Größe einer Organisation spielt eine wesentliche Rolle. Unternehmen gelten automatisch als NIS2-pflichtig, wenn sie:
mindestens50 Mitarbeitendehaben
mindestens10 Millionen Euro Jahresumsatzerzielen
Die Richtlinie übernimmt hier die Definitionen von mittleren und großen Unternehmen nach EU-Standard. Außerdem kann ein Unternehmen unabhängig von seiner Größe betroffen sein, wenn es kritische Prozesse unterstützt.
Kleinst- und Kleinunternehmen
Auch kleine Organisationen können unter NIS2 fallen, wenn sie:
kritische Dienste ermöglichen
sensible Komponenten bereitstellen
zentrale Zuliefererrollen einnehmen
Sonderfälle
Betreiber sicherheitsrelevanter Technologien
Hersteller kritischer Software
Anbieter hochsensibler Datenverarbeitungsdienste
Kurzfazit:
Die Größe ist ein wichtiges, aber nicht das einzige Kriterium. Die funktionale Relevanz entscheidet oft stärker.
Kritische Dienste als Entscheidungsfaktor
Ein Dienst gilt als kritisch, wenn sein Ausfall erhebliche Störungen verursachen würde. Daher spielen Funktionsabhängigkeiten eine wichtige Rolle.
Beispiele kritischer Dienste
Elektrizitätsübertragung
Verkehrsleitsysteme
Notruf- und Rettungssysteme
Rechenzentrumsbetrieb
Kommunikationsnetze
Darüber hinaus betrachtet NIS2 auch digitale Dienste, da moderne Infrastrukturen stark vernetzt sind.
Kurzfazit:
Je kritischer ein Dienst, desto höher die regulatorischen Anforderungen.
Lieferketten: Wann sind Zulieferer betroffen?
Die Richtlinie legt großen Wert auf Lieferketten. Daher können auch Unternehmen betroffen sein, die selbst keine kritischen Dienste bereitstellen, aber zentrale Komponenten liefern.
Typische betroffene Rollen
Softwareanbieter
Hardwarelieferanten
IT-Dienstleister
Cloud-Provider
Beratungsunternehmen mit sicherheitskritischem Einfluss
Außerdem müssen Betreiber ihre Zulieferer regelmäßig bewerten und entsprechende Sicherheitsnachweise anfordern.
Kurzfazit:
NIS2 erhöht die Verantwortung entlang der gesamten Wertschöpfungskette.
Verantwortlichkeiten für betroffene Unternehmen
Sowohl wesentliche als auch wichtige Einrichtungen müssen eine klare Governance-Struktur implementieren. Die Geschäftsleitung trägt dabei eine zentrale Rolle.
Pflichten der Geschäftsführung
Freigabe der Sicherheitsstrategie
Kontrolle der Umsetzung
Teilnahme an Schulungen
Nachweisführung gegenüber Behörden
Einhaltung der Meldepflichten
Kurzfazit:
Die Leitungsebene steht verstärkt im Fokus und trägt unmittelbare Verantwortung.
Fazit
Die Frage„Wer ist von NIS2 betroffen?“lässt sich angesichts der neuen Kriterien klar beantworten: Die Richtlinie erfasst wesentlich mehr Organisationen als frühere Vorgaben. Außerdem berücksichtigt sie Branchen, Größenklassen, kritische Dienste und Lieferketten gleichermaßen. Unternehmen sollten daher frühzeitig prüfen, ob sie unter NIS2 fallen und welche Maßnahmen notwendig sind. Eine strukturierte Analyse bildet die Grundlage für ein wirksames Sicherheitsprogramm und stellt die Compliance sicher.
