Gilt für Sie NIS2? Hier im Überblick mit Infografik.
Mit der neuen EU-Richtlinie NIS2 rückt die Cybersicherheit stärker denn je in den Fokus europäischer Unternehmen. Ziel ist es, kritische und wichtige Einrichtungen besser vor digitalen Bedrohungen zu schützen, nicht nur durch technische Maßnahmen, sondern auch durch klare gesetzliche Vorgaben. Doch viele Organisationen stellen sich aktuell die Frage: Bin ich von NIS2 betroffen?
Key findings:
- Überprüfen Sie in diesem Fragebogen, ob Sie von NIS2 betroffen sind.
NIS2 betrifft mehr Branchen als bisher.
Zwei Kategorien: wichtige & besonders wichtige Einheiten.
Kleinstunternehmen meist ausgenommen – mit Ausnahmen.
Jetzt starten: Betroffenheit prüfen & ISMS aufbauen.
Die beiden Hauptkriterien für NIS2
Ob ein Unternehmen unter die Pflichten der NIS2-Richtlinie fällt, hängt im Wesentlichen von zwei Faktoren ab: der Unternehmensgröße und dem Tätigkeitsbereich.
1. Unternehmensgröße
Grundsätzlich gilt NIS2 für Unternehmen, die:
- mindestens 50 Mitarbeitende beschäftigen und
- einen Jahresumsatz oder eine Jahresbilanz von mindestens 10 Millionen Euro aufweisen.
Diese Schwellenwerte orientieren sich an der EU-Definition für mittlere Unternehmen und gelten sektorübergreifend.
2. Unternehmenssektor
Erfüllt ein Unternehmen die oben genannten Größenkriterien, ist entscheidend, ob es in einem der 18 in der NIS2 genannten Sektoren tätig ist. Dazu gehören unter anderem:
- Energie- und Wasserversorgung
- Digitale Infrastruktur
- Gesundheitswesen
- Lebensmittelproduktion
- Digitale Dienste und Hosting
- Öffentliche Verwaltung (zentral & regional)
Nur wenn beide Kriterien erfüllt sind, gelten die Anforderungen der NIS2-Richtlinie.
Wichtige und besonders wichtige Einheiten
Wichtige und besonders wichtige Einheiten – eine neue Einteilung
Die NIS2-Richtlinie unterscheidet erstmals zwischen wichtigen und besonders wichtigen Einheiten. Diese Einteilung beeinflusst unter anderem, wie streng die behördliche Überwachung ausfällt.
Besonders wichtige Einheiten
Zu den besonders wichtigen Einheiten zählen Organisationen aus Bereichen mit besonders hoher Kritikalität – etwa:
- Energieversorgung
- Finanzwesen
- Digitale Infrastruktur
- Gesundheitswesen
Diese Einrichtungen unterliegen einer engmaschigen, proaktiven Überwachung durch die zuständigen Behörden. Das bedeutet: regelmäßige Audits, detaillierte Berichtsanforderungen und potenziell strengere Sanktionen bei Verstößen.
Wichtige Einheiten
Wichtige Einheiten stammen aus weniger kritischen, aber dennoch relevanten, Sektoren, zum Beispiel:
- Post- und Kurierdienste
- Abfallwirtschaft
- Lebensmittelhandel
- Chemikalienproduktion
Bei ihnen erfolgt die Überwachung anlassbezogen. Erst wenn Hinweise auf Defizite vorliegen, greifen Behörden gezielt ein.
Diese Differenzierung soll Ressourcen auf Seiten der Aufsichtsbehörden sinnvoll verteilen und dennoch ein hohes Maß an Cybersicherheit gewährleisten.
Ausnahmen und Sonderregelungen – wer fällt nicht unter NIS2?
Trotz der weiten Reichweite der NIS2-Richtlinie gibt es auch Ausnahmen und Sonderregelungen. Nicht jedes Unternehmen, das digital arbeitet oder kritische Dienste anbietet, ist automatisch betroffen.
Ausgenommen sind insbesondere:
- Kleinstunternehmen mit weniger als 50 Mitarbeitenden und einem Jahresumsatz unter 10 Millionen Euro, es sei denn, sie sind ausnahmsweise besonders sicherheitsrelevant.
- Sicherheits- und Verteidigungseinrichtungen, da sie in den Zuständigkeitsbereich nationaler Sicherheitsregelungen fallen.
- Einzelne öffentliche Stellen, etwa Parlamente oder Gerichte, wenn sie keine wesentlichen Dienste im Sinne der Richtlinie bereitstellen.
Sonderfälle:
Auch kleinere Organisationen können unter die NIS2-Pflichten fallen, wenn sie eine Schlüsselrolle in der Lieferkette oder im Bereich der öffentlichen Versorgung einnehmen. In solchen Fällen kann eine behördliche Einstufung erfolgen, unabhängig von Größe oder Umsatz.
Diese Regelungen zeigen: Es lohnt sich, genau hinzusehen, denn nicht nur „groß“ zählt, sondern auch systemische Relevanz.
Conclusion
Die NIS2-Richtlinie bringt mehr Unternehmen denn je in die Verantwortung, ihre Cybersicherheit strategisch aufzustellen. Wer in einem der betroffenen Sektoren tätig ist und die Größenkriterien erfüllt, sollte nicht warten, bis nationale Gesetze greifen – sondern jetzt mit der Vorbereitung beginnen.
Besonders wichtig ist es,
- den eigenen Status korrekt einzuordnen,
- Verantwortlichkeiten im Unternehmen klar zu definieren,
- und geeignete Sicherheitsmaßnahmen und Prozesse zu etablieren, die den Anforderungen entsprechen.
- Ob als wichtige oder besonders wichtige Einheit – die Anforderungen sind hoch, aber auch eine Chance: für strukturierte Sicherheitsprozesse, mehr Resilienz und langfristiges Vertrauen bei Kunden und Partnern.
Mit der richtigen Strategie und den passenden Tools wird NIS2 nicht zur Last, sondern zur Basis nachhaltiger IT-Sicherheit.
Step by step towards certifiable ISMS
Mit dem ISMS Tool von fuentis implementieren Sie aktuelle Standards automatisiert und effizient. Unsere schlüsselfertigen Module, Workflows und Expertenunterstützung machen den Aufbau eines ISMS einfach und zeitsparend – egal, ob Sie von Grund auf neu beginnen oder bestehende Systeme anpassen.
Multi-Compliance ISMS
Vollständiges ISMS Tool, das Sie unkompliziert zur ISO 27001 Zertifizierung führt und gleichzeitig andere Compliance-Anforderungen abdeckt. Wir sprechen Compliance, ob Grundschutz, TISAX® oder NIS2.
Automated processes
Automatisierte ISMS Prozesse und Workflows, die Sie Schritt für Schritt durch den Zertifizierungsprozess führen – auch ohne Vorkenntnisse.
Review Questionnaires
Simple and customizable questionnaires that help you quickly and clearly determine your protection requirements. Risk-based information security has never been easier.
Personal support
Personal support from experienced consultants who clearly explain what needs to be done – from the initial analysis to audit assistance.