Einrichtungen in NIS2
Mit der NIS2-Umsetzung sind ab 2024 sehr viele Unternehmen als Einrichtungen von der Regulierung betroffen, neben den bisherigen Betreibern kritischer Anlagen. Die Einrichtungen definieren sich in NIS2 durch bestimmte Wirtschaftssektoren und Unternehmensgröße.
Ist ein Unternehmen in den NIS2-Sektoren tätig und überschreitet die Werte für Mitarbeiter oder Umsatz und Bilanz, wird es zur regulierten Einrichtung: besonders wichtig oder wichtig. Die KRITIS-Betreiber mit Anlagenlogik und Schwellenwerten bleiben parallel als Betreiber bestehen.
Betroffene Unternehmen
Unternehmen in NIS2 und KRITIS
Die NIS2-Umsetzung definiert drei (vier) Gruppen an betroffenen Unternehmen.
| Einrichtung | Sektoren | Größe | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Besonders wichtig | 1 | G Großunternehmen G Großunternehmen |
≥ 250 |
> 50 Mio + > 43 Mio EUR |
| Wichtig | 1 2 | M ab mittlere Unternehmen M ab mittlere Unternehmen |
≥ 50 | > 10 Mio + > 10 Mio EUR |
| Betreiber kritischer Anlagen |
KRITIS | Kritische Anlage (KRITIS) über Schwellenwert | ||
| Einrichtungen Bundesverwaltung |
Bund | Diverse Stellen des Bundes, Körperschaften | ||
Bei den Einrichtungen können Unternehmen die Mitarbeiter- und Finanzzahlen möglicherweise auf die der Einrichtungsart zuzuordnenden Geschäftstätigkeit
spezifizieren.
§28 (3)
Besonders wichtige Einrichtungen
Die besonders wichtigen Einrichtungen sind in NIS2 Großunternehmen aus den Sektoren in NIS2-Anlage 1 und einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber. Entscheidend sind Mitarbeiter (FTE) oder jährlicher Umsatz und Bilanzsumme. §28 (1)
| Einrichtung | Sektoren | Unternehmensröße | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Besonders wichtig | 1 | G Großunternehmen G Großunternehmen |
≥ 250 |
> 50 Mio. + > 43 Mio. EUR |
Die Sektoren für Einrichtungen sind in Anlage 1 des NIS2-Umsetzungsgesetzes definiert, die Zugehörigkeit als Einrichtung hängt an Unternehmensgröße, Teilsektor und Art.
| Sektor NIS2-Anlage 1 | Teilsektoren | Einrichtungsart |
|---|---|---|
| Energie G Großunternehmen |
Stromversorgung Fernwärme/-kälte Kraftstoff/Heizöl Gas |
|
| Transport und Verkehr G Großunternehmen |
Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr |
|
| Finanzen und Versicherungen G Großunternehmen |
Banken Finanzmärkte |
|
| Gesundheit G Großunternehmen |
Dienstleistungen Referenzlabore F&E Pharma Medizinprodukte |
|
| Trinkwasser und Abwasser G Großunternehmen |
Trinkwasser Abwasser |
|
| IT und TK G Großunternehmen |
IXPs Cloud Provider RZ-Dienste CDNs elektronische Kommunikation Managed Services Security Services |
|
| U Größenunabhängig | Qualifizierte Vertrauensdienste TLD-Registries DNS-Dienste |
|
| M Mittlere Unternehmen | TK-Anbieter | |
| Weltraum G Großunternehmen |
Bodeninfrastrukturen |
Wichtige Einrichtungen
Die wichtigen Einrichtungen in NIS2 (Important Entities) sind Großunternehmen und mittlere Unternehmen aus den Sektoren in NIS2-Anlage 1 und 2. Entscheidend sind Mitarbeiter (FTE) oder jährlicher Umsatz und Bilanzsumme. §28 (2)
| Einrichtung | Sektoren | Unternehmensgröße | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Wichtig | 1 2 | M ab mittlere Unternehmen M ab mittlere Unternehmen |
≥ 50 | > 10 Mio. + > 10 Mio. EUR |
Die Sektoren für Einrichtungen sind in Anlage 1 und 2 des NIS2-Umsetzungsgesetzes definiert, die Zugehörigkeit als Einrichtung hängt an Unternehmensgröße, Teilsektor und Art.
| Sektor NIS2-Anlage 1 2 | Teilsektoren | Einrichtungsart |
|---|---|---|
| Energie M Mittlere Unternehmen |
Stromversorgung Fernwärme/-kälte Kraftstoff/Heizöl Gas |
|
| Transport und Verkehr M Mittlere Unternehmen |
Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr |
|
| M Mittlere Unternehmen G Großunternehmen |
Post und Kurier | |
| Finanzen und Versicherungen M Mittlere Unternehmen |
Banken Finanzmärkte |
|
| Gesundheit M Mittlere Unternehmen |
Dienstleistungen Referenzlabore F&E Pharma Medizinprodukte |
|
| Trinkwasser und Abwasser M Mittlere Unternehmen |
Trinkwasser Abwasser |
|
| IT und TK M Mittlere Unternehmen |
IXPs Cloud Provider RZ-Dienste CDNs e-Kommunikation Managed Services Security Services |
|
| U Größenunabhängig | Vertrauensdienste | |
| Digitale Dienste M Mittlere Unternehmen G Großunternehmen |
Marktplätze Suchmaschinen soziale Netzwerke |
|
| Weltraum M Mittlere Unternehmen |
Bodeninfrastrukturen | |
| Lebensmittel M Mittlere Unternehmen G Großunternehmen |
Großhandel Produktion Verarbeitung |
|
| Entsorgung M Mittlere Unternehmen G Großunternehmen |
Abfallbewirtschaftung | |
| Verarbeitendes Gewerbe M Mittlere Unternehmen G Großunternehmen |
Medizin/Diagnostika DV, Elektro, Optik Maschinenbau Kfz/Teile Fahrzeugbau NACE C 26-30 |
|
| Chemie M Mittlere Unternehmen G Großunternehmen |
Herstellung Handel Produktion |
|
| Forschung M Mittlere Unternehmen G Großunternehmen |
Forschungseinrichtungen |
Betreiber kritischer Anlagen (KRITIS)
Die bisherigen KRITIS-Betreiber, die Kritischen Infrastrukturen, werden in NIS2 zu Betreibern kritischer Anlagen. Die KRITIS-Logik von KRITIS-Sektoren, kritischen Dienstleistungen und KRITIS-Anlagen mit Schwellenwerten (≥500 Tsd. versorgte Personen) bleibt hier erhalten.
Die Betreiber werden neben KRITIS automatisch zu besonders wichtigen Einrichtungen.
Das KRITIS-Dachgesetz reguliert ebenfalls Betreiber kritischer Anlagen mit den gleichen Sektoren und (wahrscheinlich) Anlagen, die in 2024 noch in einer Verordnung definiert werden.
| Betreiber | Größe | KRITIS-Sektoren |
|---|---|---|
| Kritische Anlagen | Anlagen mit Schwellenwerten |
Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung |
Bundesverwaltung
Im Sektor Staat sind in der NIS2-Umsetzung Einrichtungen der Bundesverwaltung reguliert. Das KRITIS-Dachgesetz reguliert ebenfalls Einrichtungen der Bundesverwaltung.
| Gesetz | Gruppe | Einrichtungen |
|---|---|---|
| NIS2-Umsetzung | Einrichtungen der Bundesverwaltung §29 |
|
| KRITIS-Dachgesetz | Einrichtungen der Bundesverwaltung §5 (1) |
|
Weitere Informationen
Quellen
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, 7. März 2024