Einrichtungen in NIS2
Mit der NIS2-Umsetzung sind ab 2024 sehr viele Unternehmen als Einrichtungen von der Regulierung betroffen, neben den bisherigen Betreibern kritischer Anlagen. Die Einrichtungen definieren sich in NIS2 durch bestimmte Wirtschaftssektoren und Unternehmensgröße.
Ist ein Unternehmen in den NIS2-Sektoren tätig und überschreitet die Werte für Mitarbeiter oder Umsatz und Bilanz, wird es zur regulierten Einrichtung: besonders wichtig oder wichtig. Die KRITIS-Betreiber mit Anlagenlogik und Schwellenwerten bleiben parallel als Betreiber bestehen.
Betroffene Unternehmen
Unternehmen in NIS2 und KRITIS
Die NIS2-Umsetzung definiert drei (vier) Gruppen an betroffenen Unternehmen.
| Einrichtung | Sektoren | Größe | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Besonders wichtig | NIS2 1 | GGroßunternehmen GGroßunternehmen |
≥ 250 |
> 50 Mio + > 43 Mio EUR |
| Wichtig | NIS2 1 2 | M ab mittlere Unternehmen M ab mittlere Unternehmen |
≥ 50 | > 10 Mio + > 10 Mio EUR |
| Betreiber kritischer Anlagen |
KRITIS | Kritische Anlage (KRITIS) über Schwellenwert | ||
| Einrichtungen Bundesverwaltung |
Bund | Diverse Stellen des Bundes, Körperschaften | ||
Bei den Einrichtungen können Unternehmen die Mitarbeiter- und Finanzzahlen möglicherweise auf die der Einrichtungsart zuzuordnenden Geschäftstätigkeit
spezifizieren.
§28 (3)
Besonders wichtige Einrichtungen
Die besonders wichtigen Einrichtungen in NIS2 (Essential Entities) sind Großunternehmen aus NIS2-Sektoren 1 (Annex), einige Unternehmen unabhängig ihrer Größe sowie KRITIS-Betreiber. Entscheidend sind die Zahlen von Mitarbeitern (FTE) oder jährlicher Umsatz und Bilanzsumme. §28 (1)
| Einrichtung | Sektoren | Unternehmensröße | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Besonders wichtig | NIS2 1 | GGroßunternehmen GGroßunternehmen |
≥ 250 |
> 50 Mio. + > 43 Mio. EUR |
Die Sektoren für Einrichtungen sind in Annex 1 des NIS2-Umsetzungsgesetzes definiert:
| Sektor NIS2 1 | Branche | Einrichtungsart* |
|---|---|---|
| Energie GGroßunternehmen |
Stromversorgung Fernwärme/-kälte Kraftstoff/Heizöl Gas |
Stromlieferanten Elektrizitätsverteilernetze Übertragungsnetze Erzeugungsanlagen Nominierte Strommarktbetreiber Aggregatoren Energiespeicheranlagen Ausgleichsleistungen Ladepunktbetreiber Fernwärme/-kälteversorgung Erdöl-Fernleitungen Produktion/Raffination/Aufbereitung von Erdöl Erdöllagern Erdöl-Fernleitungen Zentrale Bevorratungsstellen Gasverteilernetzen Fernleitungsnetzen Gasspeicheranlagen LNG-Anlagen Gaslieferanten Gewinnung von Erdgas Raffination und Aufbereitung von Erdgas Wasserstofferzeugung/speicherung/fernleitung |
| Transport und Verkehr GGroßunternehmen |
Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr |
Luftfahrtunternehmen Flughafenleitungsorgane Flugverkehrskontrolldienste Eisenbahninfrastruktur Eisenbahnverkehrsunternehmen Passagier- und Fracht Seefahrt Leitungsorgane von Häfen Betrieb einer Wasserstraße Verkehrsbeeinflussung im Straßenverkehr intelligentes Verkehrssystem |
| Finanzwesen GGroßunternehmen |
Banken Finanzmärkte |
Kreditinstitute Handelsplätze Zentrale Gegenparteien (wenn nicht DORA) |
| Gesundheit GGroßunternehmen |
Gesundheitsdienstleistungen EU-Referenzlaboratorien F&E Arzneimittel Herstellung pharmazeutische Erzeugnisse NACE C 21 Medizinprodukte für Notlagen |
|
| Wasser GGroßunternehmen |
Trinkwasser Abwasser |
Wasserversorgungsanlagen Abwasser sammeln, entsorgen oder behandeln |
| Digitale Infrastruktur GGroßunternehmen |
Internet Exchange Points Cloud-Computing Dienste Rechenzentrumsdienste Content Delivery Networks Managed Services Provider Managed Security Services Provider |
|
| U Größenunabhängig | Qualifizierte Vertrauensdienste TLD-Registries DNS-Dienste |
|
| GGroßunternehmen MMittlere Unternehmen |
öffentliche Telekommunikationsnetze öffentlich zugängliche Telekommunikationsdienste |
|
| Weltraum GGroßunternehmen |
Bodeninfrastrukturen |
Wichtige Einrichtungen
Die wichtigen Einrichtungen in NIS2 (Important Entities) sind Großunternehmen und mittlere Unternehmen aus den Sektoren in NIS2 1 und 2 (Annex). Entscheidend sind die Zahlen von Mitarbeitern (FTE) oder jährlicher Umsatz und Bilanzsumme. §28 (1) §28 (2)
| Einrichtung | Sektoren | Unternehmensgröße | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Wichtig | NIS2 1 2 | M ab mittlere Unternehmen M ab mittlere Unternehmen |
≥ 50 | > 10 Mio. + > 10 Mio. EUR |
Die Sektoren für Einrichtungen sind in Annex 1 und 2 des NIS2-Umsetzungsgesetzes definiert:
| Sektor NIS2 1 2 | Branche | Einrichtungsart |
|---|---|---|
| Energie MMittlere Unternehmen |
Stromversorgung Fernwärme/-kälte Kraftstoff/Heizöl Gas |
Stromlieferanten Elektrizitätsverteilernetze Übertragungsnetze Erzeugungsanlagen Nominierte Strommarktbetreiber Aggregatoren Energiespeicheranlagen Ausgleichsleistungen Ladepunktbetreiber Fernwärme/-kälteversorgung Erdöl-Fernleitungen Produktion/Raffination/Aufbereitung von Erdöl Erdöllagern Erdöl-Fernleitungen Zentrale Bevorratungsstellen Gasverteilernetzen Fernleitungsnetzen Gasspeicheranlagen LNG-Anlagen Gaslieferanten Gewinnung von Erdgas Raffination und Aufbereitung von Erdgas Wasserstofferzeugung/speicherung/fernleitung |
| Transport und Verkehr MMittlere Unternehmen |
Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr |
Luftfahrtunternehmen Flughafenleitungsorgane Flugverkehrskontrolldienste Eisenbahninfrastruktur Eisenbahnverkehrsunternehmen Passagier- und Fracht Seefahrt Leitungsorgane von Häfen Betrieb einer Wasserstraße Verkehrsbeeinflussung im Straßenverkehr intelligentes Verkehrssystem |
| MMittlere Unternehmen GGroßunternehmen |
Post und Kurier | Postdienstleistungen Kurierdienste |
| Finanzwesen MMittlere Unternehmen |
Banken Finanzmärkte |
Kreditinstitute Handelsplätze Zentrale Gegenparteien (wenn nicht DORA) |
| Gesundheit MMittlere Unternehmen |
Gesundheitsdienstleistungen EU-Referenzlaboratorien F&E Arzneimittel Herstellung pharmazeutische Erzeugnisse NACE C 21 Medizinprodukte für Notlagen |
|
| Wasser MMittlere Unternehmen |
Trinkwasser Abwasser |
Wasserversorgungsanlagen Abwasser sammeln, entsorgen oder behandeln |
| Digitale Infrastruktur MMittlere Unternehmen |
Internet Exchange Points Cloud-Computing Dienste Rechenzentrumsdienste Content Delivery Networks Managed Services Provider Managed Security Services Provider |
|
| UGrößenunabhängig | Vertrauensdienste öffentliche Telekommunikationsnetze öffentlich zugängliche Telekommunikationsdienste |
|
| Digitale Dienste MMittlere Unternehmen GGroßunternehmen |
Online-Marktplätze Online-Suchmaschinen Plattformen für soziale Netzwerke |
|
| Weltraum MMittlere Unternehmen |
Bodeninfrastrukturen | |
| Lebensmittel MMittlere Unternehmen GGroßunternehmen |
Großhandel Produktion Verarbeitung |
Lebensmittelunternehmen |
| Entsorgung MMittlereUnternehmen GGroßunternehmen |
Abfallbewirtschaftung | |
| Verarbeitendes Gewerbe MMittlere Unternehmen GGroßunternehmen |
Medizin/Diagnostika DV, Elektro, Optik Elektrik Maschinenbau Kfz/Teile Fahrzeugbau |
Hersteller Medizinprodukte, In-vitro-Diagnostika Unternehmen NACE C 26 Unternehmen NACE C 27 Unternehmen NACE C 28 Unternehmen NACE C 29 Unternehmen NACE C 30 |
| Chemie MMittlere Unternehmen GGroßunternehmen |
Hersteller/Importeure chemischer Stoffe/Gemische NACE 20 |
|
| Forschung MMittlere Unternehmen GGroßunternehmen |
Forschungseinrichtungen |
Betreiber kritischer Anlagen (KRITIS)
Die bisherigen KRITIS-Betreiber, die Kritischen Infrastrukturen, werden in NIS2 zu Betreibern kritischer Anlagen. Die KRITIS-Logik von KRITIS-Sektoren, kritischen Dienstleistungen und KRITIS-Anlagen mit Schwellenwerten (≥500 Tsd. versorgte Personen) bleibt hier erhalten.
Die Betreiber werden neben KRITIS automatisch zu besonders wichtigen Einrichtungen.
Das KRITIS-Dachgesetz reguliert ebenfalls Betreiber kritischer Anlagen mit den gleichen Sektoren und (wahrscheinlich) Anlagen, die noch in einer KRITIS-Verordnung definiert werden müssen.
| Betreiber | Größe | KRITIS-Sektoren |
|---|---|---|
| Kritische Anlagen | Anlagen mit Schwellenwerten |
Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, Ernährung, Digitale Infrastruktur, Weltraum, Siedlungsabfallentsorgung |
Bundesverwaltung
Im Sektor Staat sind in der NIS2-Umsetzung Einrichtungen der Bundesverwaltung reguliert. Das KRITIS-Dachgesetz reguliert ebenfalls Einrichtungen der Bundesverwaltung.
| Gesetz | Gruppe | Einrichtungen |
|---|---|---|
| NIS2-Umsetzung | Einrichtungen der Bundesverwaltung §29 |
|
| KRITIS-Dachgesetz | Einrichtungen der Bundesverwaltung §5 (1) |
|
Weitere Informationen
Quellen
- Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie, 20/13184 4. Ausschuss, Gesetzesentwurf Bundesregierung, Bundestag, 29.11.2024
- Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie, 20/13184, Gesetzesentwurf Bundesregierung, Bundestag, 02.10.2024
- Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Referentenentwurf, Innenministerium, 22.07.2024
- Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Referentenentwurf, Innenministerium, 24.06.2024