EU NIS 2 und RCE Sektoren

Die EU-Direktiven für Kritische Infrastrukturen NIS2 und RCE legen ab 2023 neue Anforderungen für Betreiber in der EU fest. Beide Direktiven definieren eine Liste von Wirtschafts­sektoren, die von der Regulierung in EU-Mitgliedsstaaten betroffen sein werden – und gehen über die deutschen KRITIS-Sektoren hinaus.

NIS 2 reguliert Essential und Important Entities, Unternehmen und Organisationen in 18 Sektoren und macht Cyber Security für diese verpflichtend. RCE definiert Resilienz für Critical Entities in elf Sektoren, einer Untermenge der NIS2-Sektoren. Zwischen NIS2, RCE und KRITIS-Sektoren gibt es leichte Differenzen.

NIS2 und RCE müssen noch in deutsche KRITIS-Gesetzgebung überführt werden, bis Oktober 2024. Die genauen Definitionen und Betroffenheit einzelner Sektoren und Betreiber wird bis dahin noch zu klären sein. Die Identifikation von Betreibern unterscheidet sich zwischen NIS2 und RCE und weicht von der deutschen Anlagenmethodik ab. Teile der NIS2-Sektoren referenzieren die Herstellung von Gütern nach NACE-Kategorien.

NIS2 Sektoren und Betreiber

Essential Entities

Die wichtigsten Betreiber in NIS2 sind Essential Entities aus den elf Essential Sektoren in Annex I. Diese gehen über die deutschen KRITIS-Sektoren (noch) etwas hinaus und weichen leicht von den sonst analogen RCE-Sektoren ab.

Zu den Essential Entities gehören nach NIS2 size-cap große Unternehmen (über 250 MA und über 50 Mio. Umsatz und/oder 43 Mio. EUR Bilanz) in der folgenden Tabelle A, bestimmte IT-Branchen und Regierungen unabhängig der Größe (*) sowie eine Liste an Sonderfällen wie nationale Monopole, grenz­überschreitende Effekte oder öffentliche Sicherheit.

eigene Zusammenstellung EU NIS2 Sektoren aus Annex 1
* - in NIS 2 unabhängig der Größe
NIS2 Sektor A Subsector Essential Entities
Energie Elektrizität Elektrizitäts­unternehmen (Art. 2 Nr. 57 EU 2019/944)
Verteilernetzbetreiber (Art. 2 Nr. 29 EU 2019/944)
Übertragungs­netzbetreiber (Art. 2 Nr. 35 EU 2019/944)
Erzeuger (Art. 2 Nr. 38 EU 2019/944)
Strommarktbetreiber (Art. 2 Nr. 8 EU 2019/943)
Aggregierung/Laststeuerung (Art. 2 Nr. 25 EU 2019/943)
Energiespeicherung (Art. 2 Nr. 18, 20, 59 EU 2019/944)
Ladepunkte
Fernwärme Fernwärme und -kälte (Art. 2 Nr. 19 EG 2009/119)
Erdöl Fernleitungen
Produktion, Raffination und Aufbereitung
Erdöllager
Zentrale Bevorratungsstellen (Art. 2 lit. f EU 2019/944)
Erdgas Versorgungsunternehmen (Art. 2 Nr. 8 EG 2009/73)
Verteilernetzbetreiber (Art. 2 Nr. 6 EG 2009/73)
Fernleitungsnetzbetreiber (Art. 2 Nr. 4 EG 2009/73)
Speicheranlage (Art. 2 Nr. 10 EG 2009/73)
LNG-Anlage (Art. 2 Nr. 12 EG 2009/73)
Erdgasunternehmen (Art. 2 Nr. 1 EG 2009/73)
Raffination und Aufbereitung
Wasserstoff Erzeugung, Speicherung und Fernleitung
Transport Luftverkehr Luftfahrtunternehmen (Art. 3 Nr. 4 EG 300/2008)
Flughafenleitungsorgane (Art. 2 Nr. 2 EG 2009/12)
Flughäfen (Anh. II Ab. 2 EU 1315/2013)
Flugverkehrskontrolldienste (Art. 2 Nr. 1 EG 549/2004)
Schienenverkehr Infrastrukturbetreiber (Art. 3 Nr. 2 EU 2012/34)
Eisenbahnunternehmen (Art. 3 Nr. 1 EU 2012/34)
Serviceeinrichtung (Art. 3 Nr. 12 EU 2012/34)
Schifffahrt Passagier- und Frachtbeförderung (Anhang I EG 725/2004)
Leitungsorgane von Häfen (Art. 3 Nr. 1 EG 2005/65)
Hafenanlagen (Art. 2 Nr. 11 EG 725/2004)
Schiffsverkehrsdienste (Art. 3 lit. o EG 2002/59)
Straßenverkehr Straßenverkehrsbehörden (Art. 2 Nr. 12 EU 2015/962)
Intelligente Verkehrssysteme (Art. 4 Nr. 1 EU 2010/40)
Bankwesen Kreditinstitute (Art. 4 Nr. 1 EU 575/2013)
Finanzmärkte Handelsplätze (Art. 4 Nr. 24 EU 2014/65)
Zentrale Gegenparteien (Art. 2 Nr. 1 EU 648/2012)
Gesundheit Gesundheits­dienstleister (Art. 3 lit. g EU 2011/24)
EU Labore (Art. 15 EU 2022/2371)
Medizinforschung (Art. 1 Nr. 2 EG 2001/83)
Pharmazeutik (Abschnitt C Abt. 21 NACE)
Medizingeräte (Art. 22 EU 2022/123)
Trinkwasser Lieferanten und Versorger (Art. 2 Nr. 1 lit. a EU 2020/2184)
Abwasser Abwasserentsorgung (Art. 2 Nr. 1-3 EWG 91/271)
Digitale Infrastruktur Internet-Knoten (IXPs mit mehr als 2 ASn)
DNS-Diensteanbieter (ohne Root)*
TLD Registries*
Cloud Provider
Rechenzentren
Content Delivery Networks
Vertrauensdienste* (TSP, Art. 3 Nr. 19 EU 910/2014)
Kommunikationsnetze*
Kommunikationsdienste* (Art. 2 Nr. 4 EU 2018/1972)
ICT Service Management nur B2B Managed Services (IT, Netze/Infrastruktur, Anwendungen)
Managed Security Services (Risiko und Cyber Security)
Öffentliche Verwaltung Einrichtungen von Zentralregierungen*
Einrichtungen auf regionaler Ebene*
Weltraum Bodeninfrastruktur für weltraumgestützte Dienste

up

Important Entities

Die Important Entities sind der zweite Teil an Betroffenen in NIS2 und bestehen aus sieben weiteren Sektoren. Diese gehen über KRITIS-Sektoren und UBI hinaus und fehlen in RCE. Zu Important Entities gehören nach size-cap große und mittlere Unternehmen der folgenden Tabelle B, mittlere Unternehmen der Tabelle A, sowie auch bestimmte Sonderfälle.

eigene Zusammenstellung EU NIS2 Sektoren aus Annex 2
NIS2 Sektor B Subsector Important Entities
Post und Kurier   Post- und Kurierdienste (Art. 2 Nr. 1a EG 97/67)
Abfall Abfallbewirtschaftung (Art. 3 Nr. 9 EG 2008/98)
Chemikalien Produktion, Herstellung, Handel (Art. 3 Nr. 9 und 14 EG 1907/2006) und Erzeugnisse (Art. 3 Nr. 3 EU 1907/2006)
Lebensmittel Produktion, Verarbeitung, Großhandel (Art. 3 Nr. 2 EG 178/2002)
Herstellung Medizinprodukte Medizinprodukte (Art. 2 Nr. 1 EU 2017/745)
In-vitro-Diagnostika (Art. 2 Nr. 2 EU 2017/746)
DV (Computer), Elektronik, Optik Unternehmen aus Abschnitt C Abt. 26 NACE
Elektrische Ausrüstung Unternehmen aus Abschnitt C Abt. 27 NACE
Maschinenbau Unternehmen aus Abschnitt C Abt. 28 NACE
Kraftwagen und Teile Unternehmen aus Abschnitt C Abt. 29 NACE
Fahrzeugbau Unternehmen aus Abschnitt C Abt. 30 NACE
Digitale Dienste Marktplätze
Suchmaschinen (Art. 2 Nr. 5 EU 2019/1150)
Soziale Netzwerke
Forschung Forschungsinstitute (ohne Bildungseinrichtungen)

up

RCE Sektoren und Betreiber

Critical Entities

Die Sektoren mit Critical Entities in RCE sind mit den Sektoren von Essential Entities aus NIS2 fast deckungsgleich, nur mit leichten Abweichungen.

eigene Zusammenstellung EU RCE Sektoren aus Annex 1
* - ÖPNV und Medizingroßhandel aus RCE fehlen in NIS2
** - Ernährung ist in NIS2 ein Important Sektor, nicht Essential wie bei RCE
✝ - In RCE fehlen Ladestationen (Elektrizität) und Regionalverwaltungen aus NIS2.
RCE Sektor Subsector Critical Entities
Energie Strom Elektrizitäts­unternehmen (Art. 2 Nr. 57 EU 2019/944)
Verteilernetzbetreiber (Art. 2 Nr. 29 EU 2019/944)
Übertragungs­netzbetreiber (Art. 2 Nr. 35 EU 2019/944)
Erzeuger (Art. 2 Nr. 38 EU 2019/944)
Strommarktbetreiber (Art. 2 Nr. 8 EU 2019/943)
Aggregierung/Laststeuerung (Art. 2 Nr. 25 EU 2019/943)
Energiespeicherung (Art. 2 Nr. 18, 20, 59 EU 2019/944)
Fernwärme Fernwärme und -kälte (Art. 2 Nr. 19 EG 2009/119)
Erdöl Fernleitungen
Produktion, Raffination und Aufbereitung
Erdöllager
Zentrale Bevorratungsstellen (Art. 2 lit. f EU 2019/944)
Erdgas Versorgungsunternehmen (Art. 2 Nr. 8 EG 2009/73)
Verteilernetzbetreiber (Art. 2 Nr. 6 EG 2009/73)
Fernleitungsnetzbetreiber (Art. 2 Nr. 4 EG 2009/73)
Speicheranlage (Art. 2 Nr. 10 EG 2009/73)
LNG-Anlage (Art. 2 Nr. 12 EG 2009/73)
Erdgasunternehmen (Art. 2 Nr. 1 EG 2009/73)
Raffination und Aufbereitung
Wasserstoff Erzeugung, Speicherung und Fernleitung
Transport Luftverkehr Luftfahrtunternehmen (Art. 3 Nr. 4 EG 300/2008)
Flughafenleitungsorgane (Art. 2 Nr. 2 EG 2009/12)
Flughäfen (Anh. II Ab. 2 EU 1315/2013)
Flugverkehrskontrolldienste (Art. 2 Nr. 1 EG 549/2004)
Schienenverkehr Infrastrukturbetreiber (Art. 3 Nr. 2 EU 2012/34)
Eisenbahnunternehmen (Art. 3 Nr. 1 EU 2012/34)
Serviceeinrichtung (Art. 3 Nr. 12 EU 2012/34)
Schifffahrt Passagier- und Frachtbeförderung (Anhang I EG 725/2004)
Leitungsorgane von Häfen (Art. 3 Nr. 1 EG 2005/65)
Hafenanlagen (Art. 2 Nr. 11 EG 725/2004)
Schiffsverkehrsdienste (Art. 3 lit. o EG 2002/59)
Straßenverkehr Straßenverkehrsbehörden (Art. 2 Nr. 12 EU 2015/962)
Intelligente Verkehrssysteme (Art. 4 Nr. 1 EU 2010/40)
Öffentlicher Verkehr* Öffentliche Dienste (Art. 2 lit. d EG 1370/2007)
Bankwesen Kreditinstitute (Art. 4 Nr. 1 EU 575/2013)
Finanzmärkte Handelsplätze (Art. 4 Nr. 24 EU 2014/65)
Zentrale Gegenparteien (Art. 2 Nr. 1 EU 648/2012)
Gesundheit Gesundheits­dienstleister (Art. 3 lit. g EU 2011/24)
EU Labore (Art. 15 EU 2022/2371)
Medizinforschung (Art. 1 Nr. 2 EG 2001/83)
Pharmazeutik (Abschnitt C Abt. 21 NACE)
Medizinprodukte (Art. 22 EU 2022/123)
Großhandelsgenehmigung* (Art. 79 EG 2001/83)
Trinkwasser Lieferanten und Versorger (Art. 2 Nr. 1 lit. a EU 2020/2184)
Abwasser Abwasserentsorgung (Art. 2 Nr. 1-3 EWG 91/271)
Digitale Infrastruktur Internet-Knoten (Art. 6 Nr. 18 EU 2022/2555)
DNS-Diensteanbieter (Art. 6 Nr. 20 EU 2022/2555)
TLD Registries (Art. 6 Nr. 21 EU 2022/2555)
Cloud Provider (Art. 6 Nr. 30 EU 2022/2555)
Rechenzentren (Art. 6 Nr. 31 EU 2022/2555)
Content Delivery Networks (Art. 6 Nr. 32 EU 2022/2555)
Vertrauensdienste (Art. 3 Nr. 19 EU 910/2014)
Kommunikationsnetze (Art. 2 Nr. 8 EU 2018/1972)
Kommunikationsdienste (Art. 2 Nr. 4 EU 2018/1972)
ICT Service Management nur B2B Managed Services (IT, Netze/Infrastruktur, Anwendungen)
Managed Security Services (Risiko und Cyber Security)
Öffentliche Verwaltung Einrichtungen von Zentralregierungen
Weltraum Bodeninfrastrukturen von weltraumgestützten Diensten (Art. 2 Nr. 8 EU 2018/1972)
Lebensmittel** Produktion, Verarbeitung, Großhandel (Art. 3 Nr. 2 EG 178/2002)

up

Mapping und Unterschiede

Kritische Sektoren in der EU

Die Sektoren sind in der EU größtenteils harmonisiert — NIS2 reguliert achtzehn Sektoren, RCE elf, die deutschen KRITIS-Sektoren sind teils ähnlich.

eigene Zusammenstellung EU NIS2 und RCE Sektoren
* - in NIS 2 teils unabhängig der Größe
✝ - von einigen RCE-Pflichten und Aufsicht ausgenommen
NIS2 Sektoren RCE Sektoren KRITIS Sektoren
Identifikation durch
Unternehmens­größe
Bestimmung Betreiber
durch den Staat
Identifikation durch
Schwellenwerte
Essential Services Critical Entities KRITIS
Energie Energie Energie
Transport Transport Transport/Verkehr
Bankwesen Bankwesen✝ Finanzwesen
Finanzmärkte Finanzmärkte✝ Finanzwesen
Gesundheit Gesundheit Gesundheit
Trinkwasser Trinkwasser Wasser
Abwasser Abwasser Wasser
Digitale Infrastruktur* Digitale Infrastruktur✝ IT und TK (tw. TKG)
ICT Service Management - -
Öffentliche Verwaltung* Öffentliche Verwaltung -
Weltraum Weltraum tw. Transport
- Ernährung Ernährung
Important Entities - KRITIS und UBI
Post und Kurier tw. Transport
Abfallwirtschaft Entsorgung
Chemikalien UBI (3)
Lebensmittel Ernährung
Industrie tw. UBI (2)
Digitale Dienste tw. Telemedien (TMG)
Forschung -

up

Differenzen

Die Sektoren weichen zwischen NIS2, RCE und KRITIS teils leicht voneinander ab, obwohl die Namen teils deckungsgleich und Gruppen analog sind.

NIS2

In NIS2 fehlen ÖPNV und Medizingroßhandel aus RCE, während Ernährung in NIS2 (nur) Important ist, nicht Essential wie in RCE.

RCE

In RCE fehlen aus NIS2 Ladestationen (Sektor Energie/Elektrizität), ICT Service Management und Regionalverwaltungen. Von den RCE Resilienz­-, europäischen und Kooperationspflichten sind Banken, Finanzmärkte und Digitale Infrastruktur ausgenommen.

KRITIS

In KRITIS fehlen in 2022 noch einige EU-Sektoren und Entities, mindestens: Wasserstoff und Ladestellen (Energie), öffentliche Verwaltung, Teile von Gesundheit (Forschung, Geräte), ICT Service Management, Teile von Post und Kurier, Teile von Industrie/Herstellung, Teile von digitalen Diensten und Forschung. Die deutschen UBI umfassen einige Gruppen davon.

up

Referenz-Tabellen

NACE

NIS2 nimmt in einigen Sektoren Bezug auf Dienstleistungen und Produktkategorien von NACE. Dies umfasst im Essential Sektor Gesundheit die Hersteller von Pharmazeutik und den gesamten Important Sektor Herstellung mit Herstellern vieler verschiedener Güter.

eigene Zusammenstellung NIS2-relevante NACE Sektoren
NACE Nr. Produkte
Abschnitt C Verarbeitendes Gewerbe/Herstellung von Waren (NIS2 Essential Pharmazeutik)
21 Herstellung von pharmazeutischen Erzeugnissen
21.1 Pharmazeutische Grundstoffe
21.2 Pharmazeutische Spezialitäten und sonstige pharmazeutische Erzeugnisse
Abschnitt C Verarbeitendes Gewerbe/Herstellung von Waren (NIS2 Important Herstellung)
26 Herstellung von Datenverarbeitungs­geräten, elektronischen und optischen Erzeugnissen
26.1 Elektronische Bauelemente und Leiterplatten
26.2 Datenverarbeitungs­geräte und periphere Geräte
26.3 Geräte und Einrichtungen der Telekommunikationstechnik
26.4 Geräte der Unterhaltungselektronik
26.5 Mess-, Kontroll-, Navigations- u. ä. Instrumente und Vorrichtungen; Uhren
26.6 Bestrahlungs- und Elektrotherapiegeräte und elektromedizinische Geräte
26.7 Optische und fotografische Instrumente und Geräte
26.8 Magnetische und optische Datenträger
27 Herstellung von elektrischen Ausrüstungen
27.1 Elektromotoren, Generatoren, Transformatoren, Elektrizitätsverteilungs- und schalteinrichtungen
27.2 Batterien und Akkumulatoren
27.3 Kabel und elektrisches Installationsmaterial
27.4 Elektrische Lampen und Leuchten
27.5 Haushaltsgeräte
27.9 Sonstige elektrische Ausrüstungen und Geräte anderweitig nicht genannt
28 Maschinenbau
28.1 Nicht wirtschaftszweigspezifische Maschinen
28.2 Sonstige nicht wirtschaftszweigspezifische Maschinen
28.3 Land- und forstwirtschaftliche Maschinen
28.4 Werkzeugmaschinen
28.9 Maschinen für sonstige bestimmte Wirtschaftszweige
29 Herstellung von Kraftwagen und Kraftwagenteilen
29.1 Kraftwagen und Kraftwagenmotoren
29.2 Karosserien, Aufbauten und Anhänger
29.3 Teile und Zubehör für Kraftwagen
30 Herstellung von Datenverarbeitungs­geräten, elektronischen und optischen Erzeugnissen
30.1 Schiff- und Bootsbau
30.2 Schienenfahrzeugbau
30.3 Luft- und Raumfahrzeugbau
30.4 Militärische Kampffahrzeuge
30.9 Fahrzeuge anderweitig nicht genannt

Weitere Informationen

Literatur

  1. ANHANG I - SEKTOREN MIT HOHER KRITIKALITÄT, Richtlinie (EU) 2022/2555, Lexparency
  2. ANHANG II — SONSTIGE KRITISCHE SEKTOREN, Richtlinie (EU) 2022/2555, Lexparency
  3. ANHANG — SEKTOREN, TEILSEKTOREN UND KATEGORIEN VON EINRICHTUNGEN, Richtlinie (EU) 2022/2557, Lexparency

Quellen

  1. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
  2. Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC, Official Journal of the European Union, 27.12.2022
  3. European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
  4. NACE Category C, Statistical Classification of Economic Activities in the European Community, Rev. 2 (2008), Eurostat