Einrichtungen in NIS2

Industry picture

Mit der NIS2-Umsetzung sind ab 2024 sehr viele Unternehmen als Einrichtungen von der Regulierung betroffen, neben den bisherigen Betreibern kritischer Anlagen. Die Einrichtungen definieren sich in NIS2 durch bestimmte Wirtschafts­sektoren und Unternehmens­größe.

  1. Besonders wichtige Einrichtung
  2. Wichtige Einrichtung
  3. KRITIS-Anlagen
  4. Bundesverwaltung

Ist ein Unternehmen in den NIS2-Sektoren tätig und überschreitet die Werte für Mitarbeiter oder Umsatz und Bilanz, wird es zur regulierten Einrichtung: besonders wichtig oder wichtig. Die KRITIS-Betreiber mit Anlagenlogik und Schwellenwerten bleiben parallel als Betreiber bestehen.

Betroffene Unternehmen

Unternehmen in NIS2 und KRITIS

Die NIS2-Umsetzung definiert drei (vier) Gruppen an betroffenen Unternehmen.

Einrichtung Sektoren Größe Mitarbeiter Umsatz und Bilanz
Besonders wichtig 1 G Großunternehmen
G Großunternehmen
≥ 250

> 50 Mio + > 43 Mio EUR
Wichtig 1 2 M ab mittlere Unternehmen
M ab mittlere Unternehmen
≥ 50
> 10 Mio + > 10 Mio EUR
Betreiber
kritischer Anlagen
KRITIS Kritische Anlage (KRITIS) über Schwellenwert
Einrichtungen
Bundesverwaltung
Bund Diverse Stellen des Bundes, Körperschaften

up

Besonders wichtige Einrichtungen

Die besonders wichtigen Einrichtungen sind in NIS2 Großunternehmen aus den Sektoren in NIS2-Anlage 1 und einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber. Entscheidend sind Mitarbeiter (FTE) oder jährlicher Umsatz und Bilanzsumme. §28 (1)

Einrichtung Sektoren Unternehmensröße Mitarbeiter Umsatz und Bilanz
Besonders wichtig 1 G Großunternehmen
G Großunternehmen
≥ 250

> 50 Mio. + > 43 Mio. EUR

Die Sektoren für Einrichtungen sind in Anlage 1 des NIS2-Umsetzungs­gesetzes definiert, die Zugehörigkeit als Einrichtung hängt an Unternehmensgröße, Teilsektor und Art.

eigene Zusammenstellung NIS2-Sektoren Mai 2024
   - besonders wichtige Einrichtung
G - Großunternehmen; U - Größenunabhängig; M - Mittlere Unternehmen
Sektor NIS2-Anlage 1 Teilsektoren Einrichtungsart
Energie
G Großunternehmen
Stromversorgung
Fernwärme/-kälte
Kraftstoff/Heizöl
Gas
Transport und Verkehr
G Großunternehmen
Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr
Finanzen und Versicherungen
G Großunternehmen
Banken
Finanzmärkte
Gesundheit
G Großunternehmen
Dienstleistungen
Referenzlabore
F&E
Pharma
Medizinprodukte
Trinkwasser und Abwasser
G Großunternehmen
Trinkwasser
Abwasser
IT und TK
G Großunternehmen
IXPs
Cloud Provider
RZ-Dienste
CDNs
e-Kommunikation
Managed Services
Security Services
U Größenunabhängig Qualifizierte Vertrauensdienste
TLD-RegistriesDNS-Dienste
M Mittlere Unternehmen TK-Anbieter
Weltraum
G Großunternehmen
Bodeninfrastrukturen

up

Wichtige Einrichtungen

Die wichtigen Einrichtungen in NIS2 (Important Entities) sind Großunternehmen und mittlere Unternehmen aus den Sektoren in NIS2-Anlage 1 und 2. Entscheidend sind Mitarbeiter (FTE) oder jährlicher Umsatz und Bilanzsumme. §28 (2)

Einrichtung Sektoren Unternehmensgröße Mitarbeiter Umsatz und Bilanz
Wichtig 1 2 M ab mittlere Unternehmen
M ab mittlere Unternehmen
≥ 50
> 10 Mio. + > 10 Mio. EUR

Die Sektoren für Einrichtungen sind in Anlage 1 und 2 des NIS2-Umsetzungs­gesetzes definiert, die Zugehörigkeit als Einrichtung hängt an Unternehmensgröße, Teilsektor und Art.

eigene Zusammenstellung NIS2-Sektoren Mai 2024
   - wichtige Einrichtung
G - Großunternehmen; U - Größenunabhängig; M - Mittlere Unternehmen
Sektor NIS2-Anlage 1 2 Teilsektoren Einrichtungsart
Energie
M Mittlere Unternehmen
Stromversorgung
Fernwärme/-kälte
Kraftstoff/Heizöl
Gas
Transport und Verkehr
M Mittlere Unternehmen
Luftverkehr
Schienenverkehr
Schifffahrt
Straßenverkehr
M Mittlere Unternehmen
G Großunternehmen
Post und Kurier
Finanzen und Versicherungen
M Mittlere Unternehmen
Banken
Finanzmärkte
Gesundheit
M Mittlere Unternehmen
Dienstleistungen
Referenzlabore
F&E
Pharma
Medizinprodukte
Trinkwasser und Abwasser
M Mittlere Unternehmen
Trinkwasser
Abwasser
IT und TK
M Mittlere Unternehmen
IXPs
Cloud Provider
RZ-Dienste
CDNs
e-Kommunikation
Managed Services
Security Services
U Größenunabhängig Vertrauensdienste
Digitale Dienste
M Mittlere Unternehmen
G Großunternehmen
Marktplätze
Suchmaschinen
soziale Netzwerke
Weltraum
M Mittlere Unternehmen
Bodeninfrastrukturen
Lebensmittel
M Mittlere Unternehmen
G Großunternehmen
Großhandel
Produktion
Verarbeitung
Entsorgung
M Mittlere Unternehmen
G Großunternehmen
Abfallbewirtschaftung
Verarbeitendes Gewerbe
M Mittlere Unternehmen
G Großunternehmen
Medizin/Diagnostika
DV, Elektro, Optik
Maschinen­bau
Kfz/Teile
Fahrzeugbau
NACE C 26-30
Chemie
M Mittlere Unternehmen
G Großunternehmen
Herstellung
Handel
Produktion
Forschung
M Mittlere Unternehmen
G Großunternehmen
Forschungseinrichtungen

up

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen KRITIS-Betreiber, die Kritischen Infrastrukturen, werden in NIS2 zu Betreibern kritischer Anlagen. Die KRITIS-Logik von KRITIS-Sektoren, kritischen Dienstleistungen und KRITIS-Anlagen mit Schwellenwerten (≥500 Tsd. versorgte Personen) bleibt hier erhalten.

Die Betreiber werden neben KRITIS automatisch zu besonders wichtigen Einrichtungen.

Das KRITIS-Dachgesetz reguliert ebenfalls Betreiber kritischer Anlagen mit den gleichen Sektoren und (wahrscheinlich) Anlagen, die in 2024 noch in einer Verordnung definiert werden.

eigene Zusammenstellung Mai 2024
Betreiber Größe KRITIS-Sektoren
Kritische Anlagen Anlagen mit
Schwellenwerten
Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung

up

Bundesverwaltung

Im Sektor Staat sind in der NIS2-Umsetzung Einrichtungen der Bundesverwaltung reguliert. Das KRITIS-Dachgesetz reguliert ebenfalls Einrichtungen der Bundesverwaltung.

eigene Zusammenstellung Mai 2024
Gesetz Gruppe Einrichtungen
NIS2-Umsetzung Einrichtungen der Bundesverwaltung §29
  • Stellen des Bundes
  • Körperschaften, Anstalten, Stiftungen des öffentlichen Rechts
KRITIS-Dachgesetz Einrichtungen der Bundesverwaltung §5 (1)
  • Bundeskanzleramt
  • Bundesministerien

up

Weitere Informationen

Quellen

  1. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2025