Einrichtungen in NIS2
Seit der NIS2-Umsetzung sind Tausende Unternehmen in Deutschland als Einrichtungen von NIS2 und KRITIS betroffen, neben den bisherigen Betreibern kritischer Anlagen. Diese Einrichtungen sind in NIS2 definiert durch Tätigkeiten in bestimmten Wirtschaftssektoren mit NIS2-Dienstleistungen und das Überschreiten definierter Unternehmensgrößen.
- Unternehmen
- Zahlen
- Verbundene Unternehmen
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
- KRITIS
Ist ein Unternehmen in den definierten NIS2-Sektoren tätig und überschreitet dabei die definierten Kennzahlen von Mitarbeitern oder Umsatz und Bilanz, wird es zur regulierten Einrichtung besonders wichtig oder wichtig. KRITIS-Betreiber mit Anlagen und Schwellenwerten bleiben parallel als Betreiber kritischer Anlagen erhalten.
Betroffene Unternehmen
Unternehmen in NIS2 und KRITIS
Die NIS2-Umsetzung legt die folgenden Gruppen betroffener regulierten Unternehmen fest. Die Einrichtungen beziehen sich in NIS2 auf einzelne Legaleinheiten wie Gesellschaften, Körperschaften.
| Einrichtung | Sektoren | Größe | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Besonders wichtig §28 (1) |
NIS2 1 | GGroßunternehmen GGroßunternehmen |
≥ 250 |
> 50 Mio + > 43 Mio EUR |
| Wichtig §28 (2) |
NIS2 1 2 | M mittlere Unternehmen M mittlere Unternehmen |
≥ 50 | > 10 Mio + > 10 Mio EUR |
| Sonderfälle | NIS2 1 2 | U größenunabhängig U größenunabhängig |
bestimmte Ausnahmen bestimmte Ausnahmen |
|
| Betreiber kritischer Anlagen §28 (8) §4 (1) |
KRITIS K | A Kritische Anlage (KRITIS) über Schwellenwert | ||
| Bundesverwaltung §29 §7 |
Bund | Diverse Stellen des Bundes, Körperschaften | ||
Ermittlung der Zahlen
Bei der Bestimmung der Mitarbeiterzahl und Umsatz von wichtigen und besonders wichtigen Einrichtungen ist die Empfehlung 2003/361/EG der Europäischen Kommission anzuwenden. §28 (4)
Dabei ist der letzte Rechnungsabschluss zu nutzen und auf Jahresbasis zu rechnen. Art. 2, 4 und 5
- Bei den finanziellen Kennzahlen geht es um den festgestellten Jahresumsatz und Bilanzsumme.
- Für Mitarbeiter empfiehlt die Kommission die Nutzung von Jahresarbeitseinheiten (JAE ≡ FTE)
- Es geht um Lohn- und Gehaltsempfänger, Personen in einem
Unterordnungsverhältnis
, mitarbeitende Eigentümer und Teilhaber. Nicht eingerechnet werden u.a. Auszubildende. - Es gibt weiterhin detaillierte Vorgaben für konsolidierte Abschlüsse (Konzerne) sowie verbundene und Partnernternehmen. Art. 3 und 6
Schwankende Zahlen
Fluktuieren die Kennzahlen von Mitarbeitern und Finanzgrößen bei Unternehmen, enthält die Empfehlung 2003/361/EG Vorgaben zum jährlichen Umgang damit. Art. 4 (2)
Stellt ein Unternehmen am Stichtag des Rechnungsabschlusses fest, dass es auf Jahresbasis die [...] Schwellenwerte für die Mitarbeiterzahl oder die Bilanzsumme über- oder unterschreitet, so verliert bzw. erwirbt es dadurch den Status [als Einrichtung] erst dann, wenn es in zwei aufeinander folgenden Geschäftsjahren zu einer Über- oder Unterschreitung kommt.
Das Ziel der Empfehlung ist, bei der Einstufung für Stabilität und Kontinuität bei volatilen Märkten oder außergewöhnlichen Jahren zu sorgen. Eine Anleitung der EU stellt die Fälle anhand eines KMU, basierend auf Daten des aktuellen (N) und zwei früherer (N-1 und -2) Jahresabschlüsse:
| Fall | Referenzjahr N aktueller Abschluss |
Jahr N-1 | Jahr N-2 | Status |
|---|---|---|---|---|
| 1 | KMU | kein KMU | kein KMU | ✗ kein KMU |
| 2 | KMU | KMU | kein KMU | ✓ KMU |
| 3 | KMU | KMU | KMU | ✓ KMU |
| 4 | KMU | kein KMU | KMU | ✓ KMU |
| 5 | kein KMU | KMU | KMU | ✓ KMU |
| 6 | kein KMU | kein KMU | KMU | ✗ kein KMU |
| 7 | kein KMU | KMU | kein KMU | ✗ kein KMU |
| 8 | kein KMU | kein KMU | kein KMU | ✗ kein KMU |
Verbundene Unternehmen
Einrichtungen, die verbundene und Partnerunternehmen haben, müssen deren Zahlen bei der Bestimmung der eigenen Mitarbeiter- und Finanzahlen nach Empfehlung 2003/361/EG addieren. Art. 6
Definition
Dies betrifft Konzernverbünde, Tochtergesellschaften und Unternehmensgruppen, und generell Firmen, die durch gleiche Anteilseigner verbunden sind. Art. 3 (1)-(3)
- Verbundene Unternehmen: Unternehmen, das die Mehrheit an Anteilen, Stimmrechten usw. hält oder dies durch einen Beherrschungsvertrag oder Satzung ausüben kann.
- Partnerunternehmen: Ein vorgeschaltetes Unternehmen hält mind. 25% der Stimmrechte oder Kapitel eines anderen Unternehmens
- Auch: Unternehmen können auch durch natürliche Personen oder Personengesellschaften verbunden sein (wenn gleicher Sektor)
- Ausnahmen: Bestimmte staatliche Beteiligungen, Universitäten und Forschung, institutionelle Anleger, Gebietskörperschaften, Risikokapital
Ausnahmen gibt es, wenn die IT in diesen Konstellationen unabhängig ist. §28 (4)
Auswirkung
Die Auswirkungen sind komplex, im Grunde müssen Einrichtungen die FTE- und Finanzzahlen der verbundenen Unternehmen zu Einrichtungen addiert werden. Art. 6 (2)
- Zu den eigenen Daten müssen vor- und nachgeschaltete Partnerunternehmen addiert werden (proportional nach Anteil etc.)
- Zu den eigenen Daten müssen verbundene Unternehmen addiert werden (100%)
- Daten von noch nicht konsolidierten Unternehmen müssen zu 100% addiert werden
Beispiel: Bei Konzernen sind in Dachgesellschaften (Holdings) die Tochterunternehmen in der Regel bereits konsolidiert. Umgekehrt müssen bei der Berechnung der Daten der Tochtergesellschaften die Daten der Konzerngesellschafts als verbundenes Unternehmen addiert werden.
Dies sollte in Verbünden im Detail mit Buchhaltung und juristischer Unterstützung geklärt werden.
Ausland
Bei der Berechnung der Zahlen inländischer Gesellschaften (Einrichtungen) sind auch ausländische (!) verbundene und Parterunternehmen hinzuzurechnen.
Beispiel: Eine inländische Tochtergesellschaft eines ausländischen Konzerns müssen dessen Zahlen bei der nationalen NIS2-Bestimmung addiert werden.
Einrichtungen
Besonders wichtige Einrichtungen
Die besonders wichtigen Einrichtungen in NIS2 (Essential Entities) sind Großunternehmen aus NIS2-Sektoren 1 (Annex), einige Unternehmen unabhängig ihrer größe sowie KRITIS-Betreiber. Entscheidend sind die Zahlen von Mitarbeitern (FTE) oder jährlicher Umsatz und Bilanzsumme. §28 (1)
| Einrichtung | Sektoren | Unternehmensröße | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Besonders wichtig | NIS2 1 | GGroßunternehmen GGroßunternehmen |
≥ 250 |
> 50 Mio. + > 43 Mio. EUR |
Die Sektoren für Einrichtungen sind in Annex 1 des NIS2-Umsetzungsgesetzes definiert:
| Sektor NIS2 1 | Branche | Einrichtungsart* |
|---|---|---|
| Energie 1 GGroßunternehmen |
Stromversorgung Fernwärme/-kälte Kraftstoff/Heizöl Gas |
Stromlieferanten Elektrizitätsverteilernetze Übertragungsnetze Erzeugungsanlagen Nominierte Strommarktbetreiber Aggregatoren Energiespeicheranlagen Ausgleichsleistungen Ladepunktbetreiber Fernwärme/-kälteversorgung Erdöl-Fernleitungen Produktion/Raffination/Aufbereitung von Erdöl Erdöllagern Erdöl-Fernleitungen Zentrale Bevorratungsstellen Gasverteilernetzen Fernleitungsnetzen Gasspeicheranlagen LNG-Anlagen Gaslieferanten Gewinnung von Erdgas Raffination und Aufbereitung von Erdgas Wasserstofferzeugung/speicherung/fernleitung |
| Transport und Verkehr 1 GGroßunternehmen |
Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr |
Luftfahrtunternehmen Flughafenleitungsorgane Flughäfen ATM/ANS-Anbieter Eisenbahninfrastruktur Eisenbahnverkehrsunternehmen Passagier- und Fracht Seefahrt Leitungsorgane von Häfen Betrieb einer Wasserstraße Verkehrsbeeinflussung im Straßenverkehr intelligentes Verkehrssystem |
| Finanzwesen 1 GGroßunternehmen |
Banken Finanzmärkte |
Kreditinstitute Handelsplätze Zentrale Gegenparteien (wenn nicht DORA) |
| Gesundheit 1 GGroßunternehmen |
Gesundheitsdienstleistungen EU-Referenzlaboratorien F&E Arzneimittel Herstellung pharmazeutische Erzeugnisse NACE C 21 Medizinprodukte für Notlagen |
|
| Wasser 1 GGroßunternehmen |
Trinkwasser Abwasser |
Wasserversorgungsanlagen Abwasser sammeln, entsorgen oder behandeln |
| Digitale Infrastruktur 1 GGroßunternehmen |
Internet Exchange Points Cloud-Computing Dienste Rechenzentrumsdienste Content Delivery Networks Managed Services Provider Managed Security Services Provider |
|
| U größenunabhängig | Qualifizierte Vertrauensdienste TLD-Registries DNS-Dienste |
|
| GGroßunternehmen Mmittlere Unternehmen |
öffentliche Telekommunikationsnetze öffentlich zugängliche Telekommunikationsdienste |
|
| Weltraum 1 GGroßunternehmen |
Bodeninfrastrukturen |
Wichtige Einrichtungen
Die wichtigen Einrichtungen in NIS2, Important Entities, sind Großunternehmen und mittlere Unternehmen aus den Sektoren in NIS2 1 und 2 Annex. Entscheidend sind die Zahlen von Mitarbeitern als FTE oder jährlicher Umsatz- und Bilanzsumme. §28 (2)
| Einrichtung | Sektoren | Unternehmensgröße | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Wichtig | NIS2 1 2 | M mittlere Unternehmen M mittlere Unternehmen |
≥ 50 | > 10 Mio. + > 10 Mio. EUR |
Wichtige Einrichtungen sind in Annex 1 und 2 des NIS2-Umsetzungsgesetzes definiert:
| Sektor NIS2 1 2 | Branche | Einrichtungsart |
|---|---|---|
| Energie 1 Mmittlere Unternehmen |
Stromversorgung Fernwärme/-kälte Kraftstoff/Heizöl Gas |
Stromlieferanten Elektrizitätsverteilernetze Übertragungsnetze Erzeugungsanlagen Nominierte Strommarktbetreiber Aggregatoren Energiespeicheranlagen Ausgleichsleistungen Ladepunktbetreiber Fernwärme/-kälteversorgung Erdöl-Fernleitungen Produktion/Raffination/Aufbereitung von Erdöl Erdöllagern Erdöl-Fernleitungen Zentrale Bevorratungsstellen Gasverteilernetzen Fernleitungsnetzen Gasspeicheranlagen LNG-Anlagen Gaslieferanten Gewinnung von Erdgas Raffination und Aufbereitung von Erdgas Wasserstofferzeugung/speicherung/fernleitung |
| Transport und Verkehr 1 Mmittlere Unternehmen |
Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr |
Luftfahrtunternehmen Flughafenleitungsorgane Flugverkehrskontrolldienste Eisenbahninfrastruktur Eisenbahnverkehrsunternehmen Passagier- und Fracht Seefahrt Leitungsorgane von Häfen Betrieb einer Wasserstraße Verkehrsbeeinflussung im Straßenverkehr intelligentes Verkehrssystem |
| Mmittlere Unternehmen GGroßunternehmen |
Post und Kurier | Postdienstleistungen Kurierdienste |
| Finanzwesen 1 Mmittlere Unternehmen |
Banken Finanzmärkte |
Kreditinstitute Handelsplätze Zentrale Gegenparteien (wenn nicht DORA) |
| Gesundheit 1 Mmittlere Unternehmen |
Gesundheitsdienstleistungen EU-Referenzlaboratorien F&E Arzneimittel Herstellung pharmazeutische Erzeugnisse NACE C 21 Medizinprodukte für Notlagen |
|
| Wasser 1 Mmittlere Unternehmen |
Trinkwasser Abwasser |
Wasserversorgungsanlagen Abwasser sammeln, entsorgen oder behandeln |
| Digitale Infrastruktur 1 Mmittlere Unternehmen |
Internet Exchange Points Cloud-Computing Dienste Rechenzentrumsdienste Content Delivery Networks Managed Services Provider Managed Security Services Provider |
|
| Ugrößenunabhängig | Vertrauensdienste öffentliche Telekommunikationsnetze öffentlich zugängliche Telekommunikationsdienste |
|
| Digitale Dienste 2 Mmittlere Unternehmen GGroßunternehmen |
Online-Marktplätze Online-Suchmaschinen Plattformen für soziale Netzwerke |
|
| Weltraum 1 Mmittlere Unternehmen |
Bodeninfrastrukturen | |
| Lebensmittel 2 Mmittlere Unternehmen GGroßunternehmen |
Großhandel Produktion Verarbeitung |
Lebensmittelunternehmen |
| Entsorgung 2 Mmittlere Unternehmen GGroßunternehmen |
Abfallbewirtschaftung | |
| Verarbeitendes Gewerbe 2 Mmittlere Unternehmen GGroßunternehmen |
Medizin/Diagnostika DV, Elektro, Optik Elektrik Maschinenbau Kfz/Teile Fahrzeugbau |
Hersteller Medizinprodukte, In-vitro-Diagnostika Unternehmen NACE C 26 Unternehmen NACE C 27 Unternehmen NACE C 28 Unternehmen NACE C 29 Unternehmen NACE C 30 |
| Chemie 2 Mmittlere Unternehmen GGroßunternehmen |
Hersteller/Importeure chemischer Stoffe/Gemische NACE 20 |
|
| Forschung 2 Mmittlere Unternehmen GGroßunternehmen |
Forschungseinrichtungen |
Betreiber kritischer Anlagen (KRITIS)
Die bisherigen KRITIS-Betreiber werden in NIS2 zu Betreibern kritischer Anlagen. Die KRITIS-Logik von KRITIS-Sektoren, kritischen Dienstleistungen und KRITIS-Anlagen mit Schwellenwerten (≥ 500 Tsd. versorgte Personen) bleibt hier erhalten. §28 (2) §2 Nr. 22
Die Betreiber werden neben KRITIS automatisch zu besonders wichtigen Einrichtungen.
Das KRITIS-Dachgesetz reguliert ebenfalls Betreiber kritischer Anlagen mit den gleichen Sektoren und (wahrscheinlich) Anlagen, die noch in einer KRITIS-Verordnung definiert werden müssen.
| Betreiber | Größe | Kritische Sektoren K |
|---|---|---|
| Kritische Anlage K |
Anlagen mit Schwellenwerten |
Energie, Transport und Verkehr, Finanzwesen, Sozialversicherung, Gesundheit, Wasser, Ernährung, IT und TK, Weltraum, Siedlungsabfallentsorgung |
Weitere Informationen
Quellen
- Empfehlung 2003/361/EG, Europäische Kommission, 2003
- User Guide to the SME definition, European Commission, 2020
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2)
- Gesetz zur Umsetzung der NIS-2-Richtlinie verkündet, 05.12.2025 Bundesgesetzblatt, BGBl.-Nr. 301
- NIS2-Umsetzungsgesetz, OpenKRITIS
- Kritische Sektoren für NIS2 und KRITIS, OpenKRITIS