Ist mein Unternehmen von der NIS-2-Richtlinie betroffen?

Data Privacy von Chantal Nußbaum

IT-Sicherheit
freepik.com

Die NIS-2-Richtlinie betrifft zahlreiche Unternehmen in Deutschland und verpflichtet zur Stärkung der Cybersicherheit. Anhand von vier Faktoren finden Sie Ihre Betroffenheit heraus.

Die Einführung der nationalen Umsetzung der NIS-2-Richtlinie macht es für Unternehmen unerlässlich, die eigenen Risiken im Bereich Cybersicherheit zu verstehen. Diese Richtlinie betrifft zusätzlich rund 29.500 Unternehmen in Deutschland und verpflichtet sie zur Stärkung ihrer Cybersicherheit. Hier die wichtigsten Punkte, um herauszufinden, ob Sie betroffen sind. Mit dem Inkrafttreten der NIS-2-Richtlinie spätestens Anfang 2026 ist es Zeit zu handeln!

Was ist die NIS-2-Richtlinie und warum ist sie wichtig?

Die NIS-2-Richtlinie zielt darauf ab, die Cybersicherheit von Unternehmen und kritischer Infrastruktur in der EU zu verbessern. Sie legt verbindliche Anforderungen an die Cybersicherheit und den Schutz der Netz- und Informationssysteme fest.

Wer ist betroffen? Die wichtigsten vier Kriterien

Die Betroffenheit wird durch verschiedene Faktoren bestimmt. Folgende Punkte sind entscheidend:

  1. Sektor: In welchen Sektor ist Ihr Unternehmen tätig?
  2. Betreiber kritischer Anlagen: Betreiben Sie Anlagen, die als kritisch für die Funktionsfähigkeit der Infrastruktur gelten?
  3. Unternehmensgrößen und Schwellwerte: wie groß ist Ihr Unternehmen?
  4. Sonderfälle: Zählt Ihr Unternehmen dazu?

Was hier zunächst einfach erscheint, stellt viele Unternehmen in der Praxis vor Herausforderungen.

1. Sektorbestimmung

Die Bestimmung des Sektors ist für manche Unternehmen nicht eindeutig, da sie verschiedene Wirtschaftszweige bedienen, sich Kernkompetenzen über Jahre verändern oder die Strukturen sehr individuell sind. Eine Auflistung der Sektoren durch das BSI finden Sie hier.

Wichtig zu wissen: Nicht nur der Sektor, sondern auch die Branche und die Einrichtungsart sind entscheidend!

Was hilft bei der Definition des Sektors?

  • Sichtung von Gesellschaftsverträgen
  • Gewerbeanmeldungen
  • Prüfung des NACE-Codes
  • Überprüfung der „Vernachlässigbarkeit“

In diesen Dokumenten können sich Hinweise zur Kerntätigkeit des Unternehmens finden lassen. Auch die Defintion des NACE-Codes kann für Klarheit sorgen. Allein die Klärung des Sektors kann umfassend und tiefgehend sein.

2. Betreiber kritischer Anlagen

Ob ein Unternehmen als Betreiber kritischer Anlagen zählt, ist vom Erreichen oder Überschreiten der von der BSI-Kritisverordnung aufgeführten Schwellwerte abhängig. Sofern ein Unternehmen zu den kritischen Infrastrukturen gezählt wird, unterliegt es den gesetzlichen Melde- und Nachweispflichten des BSI-Gesetzes.

3. Unternehmensgrößen und Schwellwerte

Size-Cap

Unternehmen, die weder zu den Betreibern kritischer Anlagen noch zu den Sonderfällen zählen, müssen die Size-Cap prüfen.

Die NIS-2-Richtlinie hat als ein Identifikationskriterium Unternehmensgrößen für alle EU-Mitgliedsstaaten definiert. Dabei verweist sie auf die EU Empfehlung 2003/361/EG (Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen, sowie der kleinen und mittleren Unternehmen). In der Empfehlung  wird unter anderem definiert, welche Unternehmen als kleinere und mittlere Unternehmen gelten (KMU). Große Unternehmen werden nicht explizit beschrieben, sodass Unternehmen mit mehr als 249 Mitarbeitern als Großunternehmen im Sinne der NIS-2-Richtlinie gelten. Diese Größenordnungen werden auch von der nationalen gesetzlichen Umsetzung übernommen.

Große Unternehmen

  • > 250 Mitarbeiter oder
  • > = 50 Mio. EUR Jahresumsatz
  • und > 43 Mio. EUR Jahresbilanzsumme

Mittlere Unternehmen

  • > = 50 Mitarbeiter oder
  • > = 10 Mio. EUR Jahresumsatz
  • und > 10 Mio. EUR Jahresbilanzsumme

Unterschiede zwischen „besonders wichtige“ und „wichtige“ Einrichtungen

Auf Grundlage der Zuordung zum Sektor sowie Unternehmensgröße kann identifiziert werden, ob ein Unternehmen zu einer besonders wichtigen Einrichtung oder wichtigen Einrichtung gezählt wird. Durch die Zuordung ergeben sich Unterschiede in der Bußgeldhöhe, Kontrolle und Nachweisführung.

Wichtige Einrichtungen

  • Mittelgroße und große Unternehmen, die unter Anlage 2 des BSIG, zu finden sind
  • Stichprobenkontrollen durch Aufsichtsbehörden bei Verdacht auf Nichtumsetzung
  • Geringere Geldbußen als bei besonders wichtigen Einrichtungen (bis zu 7 Mio. EUR oder 1,4 % des Jahresumsatzes)

Besonders wichtige Einrichtungen

  • Großunternehmen, die unter Anlage 1 des BSIG, zu finden sind
  • Höhere Geldbußen als bei wichtigen Einrichtungen (bis zu 10 Mio. EUR oder 2% des Jahresumsatzes)
  • Regelmäßige Überwachung durch die Aufsichtsbehörde und Nachweispflichten
  • Stichproben durch Aufsichsbehörden

4. Betroffene Unternehmen – Sonderfälle

Neben Betreibern kritischer Anlagen wurden zusätzlich bestimmte Einrichtungsarten definiert, die unabhängig von ihrer Größe unter den Anwendungsbereich der NIS-2 fallen:

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
  • Vertrauensdiensteanbietern
  • Namensregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern

Auch diese Einrichtungen müssen zudem prüfen, ob sie als Betreiber kritischer Anlagen gelten.

Achtung: Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste

Einrichtungen, die zu Anbietern Digitaler Infrastrukturen und Anbieter digitaler Dienste zählen müssen die NIS-2 Durchführungsverordnung umsetzen. Auch hier besteht eine unmittelbare Betroffenheit.

Fazit

Dieser Blogbeitrag zeigt, dass es nicht immer einfach ist, eine Betroffenheit festzustellen. Bei der Prüfung, ob ihr Unternehmen betroffen ist, werden in jedem Fall weitere Fragen aufkommen:

    1. Umgang mit Mutter- und Tochterunternehmen?
    2. Umgang mit Unternehmen, die durch eine gemeinsame IT-Infrastruktur verbunden sind?
    3. Sektorspezifische Besonderheiten
    4. Weitere Unklarheiten

Die Feststellung Ihrer Betroffenheit kann komplex sein. Gerne unterstützen wir Sie bei der Klärung, ob die NIS-2-Richtlinie für Ihr Unternehmen relevant ist. Wir analysieren Ihre aktuelle Situation, berücksichtigen sektor-spezifische Besonderheiten und erstellen eine individuelle, unabhängige Einschätzung.

Vereinbaren Sie jetzt Ihre kostenlose Erstberatung!

Jetzt Kontakt
aufnehmen!

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns über Ihr Interesse und auf Ihre Fragen.

Unsere Kontaktdaten: +49 711 / 489083 - 0

Facebook Instagram

Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Latest Blog News

Ist mein Unternehmen von der NIS-2-Richtlinie betroffen?

NIS-2-Richtlinie kommt: Bundestag hat Gesetz am 13.11.2025 beschlossen

Sicherheitslücken in Software: Mit einem Wartungsvertrag sind Sie abgesichert


phone_red +49 711 / 48 90 83 - 0

mail_red Kontaktformular

Bürozeiten:
Mo. - Fr.: 9:00 - 18:00 Uhr

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Chantal Nußbaum

Simon Jung

Planung, Realisierung, Wartung und Support sämtlicher Systeme Ihrer individuellen IT-Infrastruktur ist das Fachgebiet seines Teams.

Simon Jung

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.

Christian Gleich

Robin Aukschlat

Als KI-Beauftragter liegt sein Fokus auf Datenschutz und Informationssicherheit im Umgang mit Künstlicher Intelligenz.

Robin Aukschlat