NIS2 und RCE Sektoren

Die neuen EU-Direktiven für Kritische Infrastrukturen NIS2 und RCE erweitern die betroffenen Wirtschafts­sektoren – neben Infrastrukturen sind auch große Teile der EU-Wirtschaft betroffen. Die 18 NIS2- und 11 RCE-Sektoren müssen durch nationale Gesetzgebung in die EU-Mitgliedsstaaten übersetzt werden.

  1. EU NIS2 I
  2. EU NIS2 II
  3. EU RCE/CER
  4. Wesentliche Dienste
  5. NACE-Produkte

In Deutschland geschieht dies bis 2024 durch das NIS2-Umsetzungsgesetz und das KRITIS-Dachgesetz, welche die bisherige KRITIS-Gesetzgebung deutlich erweitern. Einige Sektoren in EU NIS2 gehen über klassische Infrastruktur hinaus und umfassen auch produzierendes Gewerbe und Industrie, welche Güter nach NACE-Kategorien herstellen.

EU-Sektoren

EU NIS2 – Annex I

Die wichtigsten Betreiber in NIS2 sind Essential Entities aus den elf Annex I Sektoren. Diese gehen über die deutschen KRITIS-Sektoren (noch) etwas hinaus und weichen leicht von den sonst analogen RCE-Sektoren ab.

Zu den Essential Entities gehören nach NIS2 size-cap große Unternehmen (über 250 MA und über 50 Mio. Umsatz und/oder 43 Mio. EUR Bilanz) in der folgenden Tabelle I, bestimmte IT-Branchen und Regierungen unabhängig der Größe (*) sowie eine Liste an Sonderfällen wie nationale Monopole, grenz­überschreitende Effekte oder öffentliche Sicherheit.

eigene Zusammenstellung EU NIS2 Sektoren aus Annex 1
* - in NIS 2 unabhängig der Größe
NIS2 Annex I Subsector Essential Entities
Energie Elektrizität Elektrizitäts­unternehmen (Art. 2 Nr. 57 EU 2019/944)
Verteilernetzbetreiber (Art. 2 Nr. 29 EU 2019/944)
Übertragungs­netzbetreiber (Art. 2 Nr. 35 EU 2019/944)
Erzeuger (Art. 2 Nr. 38 EU 2019/944)
Strommarktbetreiber (Art. 2 Nr. 8 EU 2019/943)
Aggregierung/Laststeuerung (Art. 2 Nr. 25 EU 2019/943)
Energiespeicherung (Art. 2 Nr. 18, 20, 59 EU 2019/944)
Ladepunkte
Fernwärme Fernwärme und -kälte (Art. 2 Nr. 19 EG 2009/119)
Erdöl Fernleitungen
Produktion, Raffination und Aufbereitung
Erdöllager
Zentrale Bevorratungsstellen (Art. 2 lit. f EU 2019/944)
Erdgas Versorgungsunternehmen (Art. 2 Nr. 8 EG 2009/73)
Verteilernetzbetreiber (Art. 2 Nr. 6 EG 2009/73)
Fernleitungsnetzbetreiber (Art. 2 Nr. 4 EG 2009/73)
Speicheranlage (Art. 2 Nr. 10 EG 2009/73)
LNG-Anlage (Art. 2 Nr. 12 EG 2009/73)
Erdgasunternehmen (Art. 2 Nr. 1 EG 2009/73)
Raffination und Aufbereitung
Wasserstoff Erzeugung, Speicherung und Fernleitung
Transport Luftverkehr Luftfahrtunternehmen (Art. 3 Nr. 4 EG 300/2008)
Flughafenleitungsorgane (Art. 2 Nr. 2 EG 2009/12)
Flughäfen (Anh. II Ab. 2 EU 1315/2013)
Flugverkehrskontrolldienste (Art. 2 Nr. 1 EG 549/2004)
Schienenverkehr Infrastrukturbetreiber (Art. 3 Nr. 2 EU 2012/34)
Eisenbahnunternehmen (Art. 3 Nr. 1 EU 2012/34)
Serviceeinrichtung (Art. 3 Nr. 12 EU 2012/34)
Schifffahrt Passagier- und Frachtbeförderung (Anhang I EG 725/2004)
Leitungsorgane von Häfen (Art. 3 Nr. 1 EG 2005/65)
Hafenanlagen (Art. 2 Nr. 11 EG 725/2004)
Schiffsverkehrsdienste (Art. 3 lit. o EG 2002/59)
Straßenverkehr Straßenverkehrsbehörden (Art. 2 Nr. 12 EU 2015/962)
Intelligente Verkehrssysteme (Art. 4 Nr. 1 EU 2010/40)
Bankwesen Kreditinstitute (Art. 4 Nr. 1 EU 575/2013)
Finanzmärkte Handelsplätze (Art. 4 Nr. 24 EU 2014/65)
Zentrale Gegenparteien (Art. 2 Nr. 1 EU 648/2012)
Gesundheit Gesundheits­dienstleister (Art. 3 lit. g EU 2011/24)
EU Labore (Art. 15 EU 2022/2371)
Medizinforschung (Art. 1 Nr. 2 EG 2001/83)
Pharmazeutik (Abschnitt C Abt. 21 NACE)
Medizingeräte (Art. 22 EU 2022/123)
Trinkwasser Lieferanten und Versorger (Art. 2 Nr. 1 lit. a EU 2020/2184)
Abwasser Abwasserentsorgung (Art. 2 Nr. 1-3 EWG 91/271)
Digitale Infrastruktur Internet-Knoten (IXPs mit mehr als 2 ASn)
DNS-Diensteanbieter (ohne Root)*
TLD Registries*
Cloud Provider
Rechenzentren
Content Delivery Networks
Vertrauensdienste* (TSP, Art. 3 Nr. 19 EU 910/2014)
Kommunikationsnetze*
Kommunikationsdienste* (Art. 2 Nr. 4 EU 2018/1972)
ICT Service Management nur B2B Managed Services (IT, Netze/Infrastruktur, Anwendungen)
Managed Security Services (Risiko und Cyber Security)
Öffentliche Verwaltung Einrichtungen von Zentralregierungen*
Einrichtungen auf regionaler Ebene*
Weltraum Bodeninfrastruktur für weltraumgestützte Dienste

up

EU NIS2 – Annex II

Die Important Entities sind der zweite Teil an Betroffenen in NIS2 und bestehen aus sieben weiteren Sektoren. Diese gehen über KRITIS-Sektoren und UBI hinaus und fehlen in RCE. Zu Important Entities gehören nach size-cap große und mittlere Unternehmen der folgenden Tabelle II, mittlere Unternehmen der Tabelle I, sowie auch bestimmte Sonderfälle.

eigene Zusammenstellung EU NIS2 Sektoren aus Annex 2
NIS2 Annex II Subsector Important Entities
Post und Kurier   Post- und Kurierdienste (Art. 2 Nr. 1a EG 97/67)
Abfall Abfallbewirtschaftung (Art. 3 Nr. 9 EG 2008/98)
Chemikalien Produktion, Herstellung, Handel (Art. 3 Nr. 9 und 14 EG 1907/2006) und Erzeugnisse (Art. 3 Nr. 3 EU 1907/2006)
Lebensmittel Produktion, Verarbeitung, Großhandel (Art. 3 Nr. 2 EG 178/2002)
Herstellung Medizinprodukte Medizinprodukte (Art. 2 Nr. 1 EU 2017/745)
In-vitro-Diagnostika (Art. 2 Nr. 2 EU 2017/746)
DV (Computer), Elektronik, Optik Unternehmen aus Abschnitt C Abt. 26 NACE
Elektrische Ausrüstung Unternehmen aus Abschnitt C Abt. 27 NACE
Maschinenbau Unternehmen aus Abschnitt C Abt. 28 NACE
Kraftwagen und Teile Unternehmen aus Abschnitt C Abt. 29 NACE
Fahrzeugbau Unternehmen aus Abschnitt C Abt. 30 NACE
Digitale Dienste Marktplätze
Suchmaschinen (Art. 2 Nr. 5 EU 2019/1150)
Soziale Netzwerke
Forschung Forschungsinstitute (ohne Bildungseinrichtungen)

up

EU RCE – Critical Entities

Die Sektoren mit Critical Entities in RCE sind mit den Annex I Sektoren (Essential) aus NIS2 fast deckungsgleich, nur mit leichten Abweichungen.

eigene Zusammenstellung EU RCE Sektoren aus Annex 1
RCE Sektor Subsector Critical Entities
Energie Strom Elektrizitäts­unternehmen (Art. 2 Nr. 57 EU 2019/944)
Verteilernetzbetreiber (Art. 2 Nr. 29 EU 2019/944)
Übertragungs­netzbetreiber (Art. 2 Nr. 35 EU 2019/944)
Erzeuger (Art. 2 Nr. 38 EU 2019/944)
Strommarktbetreiber (Art. 2 Nr. 8 EU 2019/943)
Aggregierung/Laststeuerung (Art. 2 Nr. 25 EU 2019/943)
Energiespeicherung (Art. 2 Nr. 18, 20, 59 EU 2019/944)
Fernwärme Fernwärme und -kälte (Art. 2 Nr. 19 EG 2009/119)
Erdöl Fernleitungen
Produktion, Raffination und Aufbereitung
Erdöllager
Zentrale Bevorratungsstellen (Art. 2 lit. f EU 2019/944)
Erdgas Versorgungsunternehmen (Art. 2 Nr. 8 EG 2009/73)
Verteilernetzbetreiber (Art. 2 Nr. 6 EG 2009/73)
Fernleitungsnetzbetreiber (Art. 2 Nr. 4 EG 2009/73)
Speicheranlage (Art. 2 Nr. 10 EG 2009/73)
LNG-Anlage (Art. 2 Nr. 12 EG 2009/73)
Erdgasunternehmen (Art. 2 Nr. 1 EG 2009/73)
Raffination und Aufbereitung
Wasserstoff Erzeugung, Speicherung und Fernleitung
Transport Luftverkehr Luftfahrtunternehmen (Art. 3 Nr. 4 EG 300/2008)
Flughafenleitungsorgane (Art. 2 Nr. 2 EG 2009/12)
Flughäfen (Anh. II Ab. 2 EU 1315/2013)
Flugverkehrskontrolldienste (Art. 2 Nr. 1 EG 549/2004)
Schienenverkehr Infrastrukturbetreiber (Art. 3 Nr. 2 EU 2012/34)
Eisenbahnunternehmen (Art. 3 Nr. 1 EU 2012/34)
Serviceeinrichtung (Art. 3 Nr. 12 EU 2012/34)
Schifffahrt Passagier- und Frachtbeförderung (Anhang I EG 725/2004)
Leitungsorgane von Häfen (Art. 3 Nr. 1 EG 2005/65)
Hafenanlagen (Art. 2 Nr. 11 EG 725/2004)
Schiffsverkehrsdienste (Art. 3 lit. o EG 2002/59)
Straßenverkehr Straßenverkehrsbehörden (Art. 2 Nr. 12 EU 2015/962)
Intelligente Verkehrssysteme (Art. 4 Nr. 1 EU 2010/40)
Öffentlicher Verkehr* Öffentliche Dienste (Art. 2 lit. d EG 1370/2007)
Bankwesen Kreditinstitute (Art. 4 Nr. 1 EU 575/2013)
Finanzmärkte Handelsplätze (Art. 4 Nr. 24 EU 2014/65)
Zentrale Gegenparteien (Art. 2 Nr. 1 EU 648/2012)
Gesundheit Gesundheits­dienstleister (Art. 3 lit. g EU 2011/24)
EU Labore (Art. 15 EU 2022/2371)
Medizinforschung (Art. 1 Nr. 2 EG 2001/83)
Pharmazeutik (Abschnitt C Abt. 21 NACE)
Medizinprodukte (Art. 22 EU 2022/123)
Großhandelsgenehmigung* (Art. 79 EG 2001/83)
Trinkwasser Lieferanten und Versorger (Art. 2 Nr. 1 lit. a EU 2020/2184)
Abwasser Abwasserentsorgung (Art. 2 Nr. 1-3 EWG 91/271)
Digitale Infrastruktur Internet-Knoten (Art. 6 Nr. 18 EU 2022/2555)
DNS-Diensteanbieter (Art. 6 Nr. 20 EU 2022/2555)
TLD Registries (Art. 6 Nr. 21 EU 2022/2555)
Cloud Provider (Art. 6 Nr. 30 EU 2022/2555)
Rechenzentren (Art. 6 Nr. 31 EU 2022/2555)
Content Delivery Networks (Art. 6 Nr. 32 EU 2022/2555)
Vertrauensdienste (Art. 3 Nr. 19 EU 910/2014)
Kommunikationsnetze (Art. 2 Nr. 8 EU 2018/1972)
Kommunikationsdienste (Art. 2 Nr. 4 EU 2018/1972)
ICT Service Management nur B2B Managed Services (IT, Netze/Infrastruktur, Anwendungen)
Managed Security Services (Risiko und Cyber Security)
Öffentliche Verwaltung Einrichtungen von Zentralregierungen
Weltraum Bodeninfrastrukturen von weltraumgestützten Diensten (Art. 2 Nr. 8 EU 2018/1972)
Lebensmittel Produktion, Verarbeitung, Großhandel (Art. 3 Nr. 2 EG 178/2002)

up

EU RCE – Wesentliche Dienste

Die EU-Kommission hat zur Konkretisierung von EU RCE eine Liste an wesentlichen Diensten definiert (EU 2023/2450). Das KRITIS-Dachgesetz nutzt diese Liste beim Bezug auf bzw. zur Identifikation kritischer Betreiber in anderen EU-Mitgliedsstaaten.

eigene Zusammenstellung aus EU 2023/2450 Stand Juli 2023
Sektor Teilsektor Wesentlicher Dienst
Energie Strom
  • Elektrizitätsversorgung
  • Elektrizitätsverteilernetz
  • Elektrizitätsübertragungsnetz
  • Elektrizitätserzeugung
  • Strommarktbetreiber
  • Laststeuerung
  • Aggregierung
  • Energiespeicherung
Fernwärme und -kälte Fernwärme oder -kälte
Erdöl
  • Fernleitung
  • Produktion
  • Raffination und Aufbereitung
  • Lagerung
  • Verwaltung von Erdölvorräten
Erdgas
  • Lieferung
  • Verteilung
  • Fernleitung
  • Speicherung
  • LNG, Flüssigerdgas
  • Gewinnung
  • Ankauf
  • Raffination und Aufbereitung
Wasserstoff
  • Erzeugung
  • Speicherung
  • Fernleitung
Transport/Verkehr Luftfahrt
  • Luftverkehrsdienste (Passagier und Fracht)
  • Flughäfen und Infrastruktur
  • Flugverkehrskontrolle
Schienenverkehr
  • Schienenverkehrsdienste (Passagier und Fracht)
  • Eisenbahninfrastruktur
  • Serviceeinrichtungen
  • Schienenverkehrsmanagement
  • Zugsteuerung/Zugsicherung
  • Signalgebung
  • Telekommunikation
Schifffahrt
  • Binnen-, See- und Küsten (Passagiere und Fracht)
  • Häfen und Hafenanlagen
  • Schiffsverkehrsdienste
Straßenverkehr
  • Verkehrsmanagementkontrolle
  • Intelligente Verkehrsdienste
Öffentlicher Verkehr
  • ÖPNV
  • ÖSPV
Bankwesen
  • Entgegennahme von Einlagen
  • Kreditvergabe
Finanzmarktinfrastrukturen
  • Handelsplätze
  • Clearingsysteme
Gesundheit
  • Gesundheitsdienstleistungen
  • Referenzlaboratorium
  • F&E von Arzneimitteln
  • Herstellung Pharmazeutik
  • Herstellung Medizinprodukte für Notlagen
  • Vertrieb von Arzneimitteln
Trinkwasser Trinkwasserversorgung und -lieferung
Abwasser Sammlung, Entsorgung und Behandlung
Digitale Infrastruktur
  • Internet-Knoten
  • DNS-Dienste
  • TLD-Namenregister
  • Cloud-Computing-Dienste
  • Rechenzentrumsdiensten
  • Content Delivery Networks
  • Vertrauensdienste
  • Elektronische Kommunikationsdienste
  • Elektronische Kommunikationsnetze
Öffentliche Verwaltung Zentralregierung
Weltraum Bodeninfrastrukturen
Lebensmittel
  • Industrielle Großproduktion und -verarbeitung
  • Lebensmittelketten
  • Großhandelsvertrieb

Diese Liste ist nicht abschließend und für die Definition kritischer Sektoren in Deutschland auch nicht verbindlich.

up

Abweichungen

Die Sektoren weichen zwischen NIS2, RCE und Deutschland teils leicht voneinander ab, obwohl die Namen teils deckungsgleich und Gruppen analog sind.

NIS2

In NIS2 fehlen ÖPNV und Medizingroßhandel aus RCE, während Ernährung in NIS2 (nur) Important ist, nicht Essential wie in RCE.

RCE

In RCE fehlen aus NIS2 Ladestationen (Sektor Energie/Elektrizität), ICT Service Management und Regionalverwaltungen. Von den RCE Resilienz­-, europäischen und Kooperationspflichten sind Banken, Finanzmärkte und Digitale Infrastruktur ausgenommen.

Deutschland

Im deutschen NIS2-Umsetzungsgesetz gibt es drei Gruppen von Unternehmen, die sich auf zwei Blöcke von Sektoren aufteilen, die von den originalen EU NIS2-Sektoren abweichen.

Durch die NIS2-Umsetzung kommen zu den Betreibern kritischer Anlagen (KRITIS-Betreiber) zwei Gruppen von Unternehmen, die Einrichtungen, hinzu §28 (6)-(7) – die besonders wichtigen Einrichtungen und wichtige Einrichtungen, mit eigenen Sektoren und Definitionen.

Die bisherigen KRITIS-Betreiber (Kritische Infrastrukturen) sind in der NIS2-Umsetzung als Betreiber kritischer Anlagen definiert. §28 (2) Diese Betreiber sind eine eigene Klasse an Unternehmen, die in KRITIS-Sektoren so genannte kritische Dienstleistungen auf einzeln definierten KRITIS-Anlagen erbringen. Die deutsche KRITIS-Logik bleibt hier bestehen.

Im letzten Entwurf (Diskussionspapier) der NIS2-Umsetzung gab es einige Änderungen zu Juli 2023: Die Versicherungsbranche fehlt bei den Einrichtungen, es gibt (widersprüchliche) Ausnahmen von Kreditinstituten. Produktion wurde zusammengefasst als verarbeitendes Gewerbe. Die Verwaltung IKT-Dienste wurde anscheinend in IT/TK integriert. Die ex-UBI Rüstungsgüter fehlen, der Betriebsbereich obere Klasse ist wohl Teil von Chemie

up

NACE

Produktkategorien aus NIS2

NIS2 nimmt in einigen Sektoren Bezug auf Dienstleistungen und Produktkategorien von NACE. Dies umfasst im Essential Sektor Gesundheit die Hersteller von Pharmazeutik und den gesamten Important Sektor Herstellung mit Herstellern vieler verschiedener Güter.

eigene Zusammenstellung NIS2-relevante NACE Sektoren
NACE Nr. Produkte
Abschnitt C Verarbeitendes Gewerbe/Herstellung von Waren (NIS2 Essential Pharmazeutik)
21 Herstellung von pharmazeutischen Erzeugnissen
21.1 Pharmazeutische Grundstoffe
21.2 Pharmazeutische Spezialitäten und sonstige pharmazeutische Erzeugnisse
Abschnitt C Verarbeitendes Gewerbe/Herstellung von Waren (NIS2 Important Herstellung)
26 Herstellung von Datenverarbeitungs­geräten, elektronischen und optischen Erzeugnissen
26.1 Elektronische Bauelemente und Leiterplatten
26.2 Datenverarbeitungs­geräte und periphere Geräte
26.3 Geräte und Einrichtungen der Telekommunikationstechnik
26.4 Geräte der Unterhaltungselektronik
26.5 Mess-, Kontroll-, Navigations- u. ä. Instrumente und Vorrichtungen; Uhren
26.6 Bestrahlungs- und Elektrotherapiegeräte und elektromedizinische Geräte
26.7 Optische und fotografische Instrumente und Geräte
26.8 Magnetische und optische Datenträger
27 Herstellung von elektrischen Ausrüstungen
27.1 Elektromotoren, Generatoren, Transformatoren, Elektrizitätsverteilungs- und schalteinrichtungen
27.2 Batterien und Akkumulatoren
27.3 Kabel und elektrisches Installationsmaterial
27.4 Elektrische Lampen und Leuchten
27.5 Haushaltsgeräte
27.9 Sonstige elektrische Ausrüstungen und Geräte anderweitig nicht genannt
28 Maschinenbau
28.1 Nicht wirtschaftszweigspezifische Maschinen
28.2 Sonstige nicht wirtschaftszweigspezifische Maschinen
28.3 Land- und forstwirtschaftliche Maschinen
28.4 Werkzeugmaschinen
28.9 Maschinen für sonstige bestimmte Wirtschaftszweige
29 Herstellung von Kraftwagen und Kraftwagenteilen
29.1 Kraftwagen und Kraftwagenmotoren
29.2 Karosserien, Aufbauten und Anhänger
29.3 Teile und Zubehör für Kraftwagen
30 Sonstiger Fahrzeugbau
30.1 Schiff- und Bootsbau
30.2 Schienenfahrzeugbau
30.3 Luft- und Raumfahrzeugbau
30.4 Militärische Kampffahrzeuge
30.9 Fahrzeuge anderweitig nicht genannt

Weitere Informationen

Literatur

  1. ANHANG I - SEKTOREN MIT HOHER KRITIKALITÄT, Richtlinie (EU) 2022/2555, Lexparency
  2. ANHANG II — SONSTIGE KRITISCHE SEKTOREN, Richtlinie (EU) 2022/2555, Lexparency
  3. ANHANG — SEKTOREN, TEILSEKTOREN UND KATEGORIEN VON EINRICHTUNGEN, Richtlinie (EU) 2022/2557, Lexparency

Quellen

  1. DELEGIERTE VERORDNUNG (EU) 2023/2450 DER KOMMISSION, zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, 25. Juli 2023
  2. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
  3. Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC, Official Journal of the European Union, 27.12.2022
  4. European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
  5. NACE Rev. 2, Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft, ISSN 1977-0383, Eurostat 2008
  6. NACE Category C, Statistical Classification of Economic Activities in the European Community, Rev. 2 (2008), Eurostat