NIS2

NIS2-Betroffenheitsprüfung: Fällt Ihr Unternehmen unter NIS2?

Von SecDrills-Redaktion
Ob NIS2 für Sie gilt, hängt von zwei Faktoren ab: Ihrem Sektor und Ihrer Unternehmensgröße. Diese Übersicht hilft bei der ersten Einordnung – ersetzt aber keine rechtsverbindliche Prüfung.

Die zwei Kriterien: Sektor und Größe

NIS2 greift, wenn Ihr Unternehmen in einem erfassten Sektor tätig ist und bestimmte Größenschwellen erreicht. Beide Bedingungen müssen grundsätzlich zusammen erfüllt sein – mit Ausnahme einzelner Einrichtungen, die unabhängig von der Größe erfasst werden.

Welche Sektoren erfasst NIS2?

Sektoren mit hoher Kritikalität (besonders wichtige Einrichtungen), u. a.:

  • Energie, Transport/Verkehr, Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen, Trinkwasser und Abwasser
  • Digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), Raumfahrt
  • Öffentliche Verwaltung (nach nationaler Festlegung)

Sonstige kritische Sektoren (wichtige Einrichtungen), u. a.:

  • Post- und Kurierdienste, Abfallwirtschaft
  • Produktion/Herstellung (u. a. Medizinprodukte, Elektronik, Maschinenbau, Kfz)
  • Chemie, Lebensmittel
  • Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung

Die Größenkriterien

In der Regel sind mittlere und große Unternehmen betroffen – also Einrichtungen ab etwa 50 Beschäftigten oder mehr als 10 Mio. € Jahresumsatz und Bilanzsumme über 10 Mio. €. Unterhalb dieser Schwellen greift NIS2 grundsätzlich nicht – es sei denn, Ihr Unternehmen fällt unter eine der größenunabhängigen Sonderregelungen.

Besonders wichtige vs. wichtige Einrichtung

Die Einstufung bestimmt die Intensität der Aufsicht und den Bußgeldrahmen. Besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht und einem höheren Bußgeldrahmen (bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes), wichtige Einrichtungen einer reaktiven Aufsicht (bis 7 Mio. € oder 1,4 %). Zur Terminologie: Die Richtlinie und das österreichische NISG 2026 sprechen von „wesentlichen" Einrichtungen – das deutsche BSIG (§ 28) nennt dieselbe Kategorie „besonders wichtige Einrichtungen".

Größenunabhängige Sonderfälle

Unabhängig von der Größe können u. a. erfasst sein: qualifizierte Vertrauensdiensteanbieter, Betreiber öffentlicher TK-Netze, DNS-Diensteanbieter, TLD-Namenregister sowie Einrichtungen, die alleiniger Anbieter eines wesentlichen Dienstes sind. Im Zweifel ist eine individuelle Prüfung erforderlich.

So gehen Sie vor

  1. Sektor und Tätigkeit anhand der NIS2-Sektorenlisten (Anhang I und II) einordnen.
  2. Größenschwellen prüfen (Beschäftigte, Umsatz, Bilanzsumme).
  3. Als besonders wichtige oder wichtige Einrichtung klassifizieren.
  4. Bei Betroffenheit: beim BSI registrieren und die Anforderungen nach Art. 21 umsetzen.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

Betroffen? Dann zählt die Vorbereitung.

Testen Sie die Reaktionsfähigkeit Ihres Teams in einer realistischen Tabletop-Übung – ENISA-konform und audit-fähig.

Übungsreife-Check starten