Einrichtungen in NIS2

Mit der NIS2-Umsetzung sind ab 2024 sehr viele Unternehmen als Einrichtungen von der Regulierung betroffen, neben den bisherigen Betreibern kritischer Anlagen. Die Einrichtungen definieren sich in NIS2 durch bestimmte Wirtschafts­sektoren und Unternehmens­größe — und umfassen wohl Tausende neue Unternehmen.

Ist ein Unternehmen in den NIS2-Sektoren tätig und überschreitet die Werte für Mitarbeiter oder Umsatz/Bilanz, wird es zu einer regulierten Einrichtung, entweder besonders wichtig oder wichtig. Die KRITIS-Betreiber mit Anlagenlogik und Schwellenwerten bleiben parallel als Betreiber bestehen.

Betroffene Unternehmen

Unternehmen in NIS2

Die NIS2-Umsetzung definiert drei (vier) Gruppen an betroffenen Unternehmen:

  1. Besonders wichtige Einrichtungen nach Größe des Unternehmens in Sektoren Anlage 1
    G Unternehmen ab 250 Mitarbeitern oder
    G Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
    U Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung
  2. Wichtige Einrichtungen nach Größe des Unternehmens in Sektoren aus Anlage 1 2
    M Unternehmen ab 50 Mitarbeitern oder
    M Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
    U Vertrauensdienste
  3. Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung fest, auch KRITIS-Dachgesetz
       KRITIS-Anlage über Schwellenwert (in der Regel ≥ 500 Tsd. versorgte Personen)
  4. Neben Einrichtungen werden auch Bundeseinrichtungen mit einigen Pflichten reguliert.

up

Unternehmensgröße

Die Einrichtungen unterscheiden sich nach Unternehmens­größe bei Mitarbeitern und Umsatz, definiert für besonders wichtige Einrichtungen §28 (1) und wichtige Einrichtungen §28 (2).

Einrichtung Sektoren Größe Mitarbeiter Umsatz und Bilanz
Besonders wichtig 1 G Großunternehmen
G Großunternehmen
≥ 250

≥ 50 Mio. + ≥ 43 Mio. EUR
Wichtig 1 2 M ab mittlere Unternehmen
M ab mittlere Unternehmen
≥ 50
≥ 10 Mio. + ≥ 10 Mio. EUR

Die Kriterien von Mitarbeitern und Umsatz sind separat oder-verknüpft. Ein Unternehmen in Sektoren 1 wird mit ≥ 250 Mitarbeitern oder mit b. ≥ 50 Mio. EUR Umsatz und ≥ 43 Mio. EUR Bilanz zu einer besonders wichtigen Einrichtung. Wichtige Einrichtungen analog.

up

Einrichtungen

Besonders wichtige Einrichtungen

Die besonders wichtigen Einrichtungen sind in NIS2 Großunternehmen aus den Sektoren in NIS2-Anlage 1, einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand September 2023
Einrichtung Größe NIS2-Sektoren
Besonders wichtig
§28 (1)
Großunternehmen
aus Anlage 1
Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum
unabhängig Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
Mittlere Unternehmen Anbieter öffentlicher TK-Netze und TK-Dienste
unabhängig Betreiber kritischer Anlagen (KRITIS-Betreiber)
unabhängig Zentralregierung (Bundesministerien und Bundeskanzleramt)

Wichtige Einrichtungen

Die wichtigen Einrichtungen in NIS2 sind Großunternehmen und mittlere Unternehmen aus den Sektoren in NIS2-Anlage 1 und 2.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand September 2023
Einrichtung Größe NIS2-Sektoren
Wichtig
§28 (2)
Mittlere Unternehmen
aus Anlage 1
Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum
Großunternehmen
Mittlere Unternehmen
aus Anlage 2
Post/Kurier, Siedlungsabfallentsorgung, Produktion, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
unabhängig Vertrauensdienste

UBI

Die Unternehmen im besonderen öffentlichen Interesse (UBI), die im IT-Sicherheitsgesetz 2.0 zwischen 2021 und 2024 reguliert waren, fallen mit NIS2 weg und werden teils zu Einrichtungen.

up

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen KRITIS-Betreiber, die Kritischen Infrastrukturen, werden in NIS2 zu Betreibern kritischer Anlagen. Die KRITIS-Logik von KRITIS-Sektoren, kritischen Dienstleistungen und KRITIS-Anlagen mit Schwellenwerten (≥500 Tsd. versorgte Personen) bleibt hier erhalten. Die Betreiber werden gleichzeitig zu besonders wichtige Einrichtungen.

Das KRITIS-Dachgesetz reguliert ebenfalls Betreiber kritischer Anlagen mit den gleichen Sektoren und (wahrscheinlich) Anlagen, die in 2024 noch in einer Verordnung definiert werden.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand September 2023
Betreiber Größe KRITIS-Sektoren
Kritische Anlagen Anlagen mit
Schwellenwerten
Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung

up

Weitere Informationen

Quellen

  1. Werkstattgespräch– Diskussions­papier, des BMI für wirtschafts­bezogene Regelungen zur Umsetzung der NIS-2-RL, Innenministerium, Intrapol, 26.10.2023
  2. Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
  3. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023