NIS-2-Richtlinie: Diese Unternehmen sind betroffen

Mit der Einführung der NIS-2-Richtline müssen deutlich mehr Unternehmen zusätzliche Maßnahmen ergreifen.
Kategorien:

Der Countdown läuft! Schon bald müssen Unternehmen mit dem Inkrafttreten der NIS-2-Richtlinie rechnen. Spätestens ab dem 18. Oktober 2024 sollten eigentlich die Vorgaben der EU über nationale Gesetze in den Mitgliedstaaten umgesetzt werden. Bereits jetzt steht fest: Die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und Meldung von Cyberangriffen wird auf deutlich mehr Unternehmen in unterschiedlichen Sektoren ausgeweitet.

Fast 30.000 Unternehmen müssen zusätzlich Maßnahmen ergreifen

Allein in Deutschland rechnet das federführende Bundesinnenministerium mit rund 29.500 Unternehmen, die zusätzlich zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein werden. Bislang waren die Maßnahmen auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkt.

Grund für die deutliche Ausweitung ist die Einführung der Kategorien “wichtige Einrichtungen” (important entities) und “besonders wichtige Einrichtungen” (essential entities) im NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Das Gesetz wurde allerdings noch nicht erlassen.

Für Unternehmen in der Wirtschaft handelt es sich um eine 1:1-Umsetzung der NIS-2-Richtlinie. Das bedeutet, dass im NIS2UmsuCG nicht über die europarechtlichen Vorgaben hinausgegangen wird.

Laut dem Bundesamt für Sicherheit ist die NIS-2-Betroffenheitsprüfung das zentrale Werkzeug zur Prüfung, ob ein Unternehmen voraussichtlich von der nationalen Umsetzung der NIS-2-RL in Deutschland erfasst sein wird.

Besonders wichtige Einrichtungen und wichtige Einrichtungen

Ein Blick in den Gesetzentwurf zeigt bereits, welche Unternehmen durch NIS-2 reguliert werden sollen. Die Identifizierung der betroffenen Unternehmen als „besonders wichtige Einrichtungen” oder „wichtige Einrichtungen” erfolgt voraussichtlich anhand von Kennzahlen und Schwellenwerten mit Bezug auf den Jahresumsatz oder die Mitarbeitendenzahl. 

Nach § 28 Abs. 1 NIS2UmsuCG gelten als besonders wichtige Einrichtungen:

  1. Betreiber kritischer Anlagen,
  2. qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter,
  3. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen,
  4. sonstige natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen sind und die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.

Laut § 28 Abs. 2 NIS2UmsuCG gelten als wichtige Einrichtungen

  1. Vertrauensdiensteanbieter,
  2. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen,
  3. natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen sind und die mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

 

Lese-Tipp: Cookie-Banner-Verordnung beschlossen: Das ist jetzt neu!

Unternehmens-Zuordnung nach bestimmten Einrichtungsarten

§ 28 Abs. 1 Nr. 4 und § 28 Abs. 2 Nr. 3 NIS2UmsuCG verweisen zudem auf die Zuordnung zu bestimmten Einrichtungsarten.

Zu den besonders wichtigen Einrichtungen („essential“) gehören Betriebe mit einer wesentlichen Bedeutung für das Gemeinwesen. Deren Ausfall hätte gravierende Folgen. NIS-2 nennt konkret elf Bereiche:

  1. Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
  2. Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
  3. Bankwesen
  4. Finanzmärkte
  5. Gesundheit (auch Gesundheitsdienstleister, Medizinforschung, Pharmazeutik, Medizingeräte)
  6. Trinkwasser (Wasserversorgung)
  7. Abwasser (Abwasserentsorgung)
  8. Öffentliche Verwaltungen
  9. Digitale Infrastruktur (Internet-Knoten, Cloud Provider, Rechenzentren, Elektronische Kommunikation)
  10. ICT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers)
  11. Weltraum

 

Zu den wichtigen Einrichtungen („important“) werden folgende sieben Branchen gezählt:

  1. Post- und Kurierdienste
  2. Abfall
  3. Lebensmittel
  4. Chemikalien
  5. Digitale Dienste (Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke),
  6. Industrie (unter anderem Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräten)
  7. Forschung

Fallen Unternehmensgröße und Einrichtungsart zusammen, dann gilt die NIS-2-Richtline. Übt ein Unternehmen eine kritische Tätigkeit aus und drohen bei einem Ausfall dieser Tätigkeit Auswirkungen auf die öffentliche Ordnung, kann es ebenfalls unter NIS-2 fallen, wenn die Unternehmensgröße nicht erreicht wurde.

Meldepflicht für NIS-2-regulierte Unternehmen

Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Wie die Auflistung oben zeigt, geht das die mit einer signifikanten Ausweitung des Anwendungsbereichs einher.

Für einige der betroffenen Unternehmen ist mit einer Pflicht zum Nachweis der IT-Sicherheit zu rechnen. NIS-2-regulierte Unternehmen werden auch verpflichtet sein, IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit zu melden. 

Quelle: Entwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Tags:
Share this post :
de_DEGerman