EU NIS 2 und RCE Sektoren
Die EU-Direktiven für Kritische Infrastrukturen NIS2 und RCE legen ab 2023 neue Anforderungen für Betreiber in der EU fest. Beide Direktiven definieren eine Liste von Wirtschaftssektoren, die von der Regulierung in EU-Mitgliedsstaaten betroffen sein werden – und gehen über die deutschen KRITIS-Sektoren hinaus.
NIS 2 reguliert Essential und Important Entities, Unternehmen und Organisationen in 18 Sektoren und macht Cyber Security für diese verpflichtend. RCE definiert Resilienz für Critical Entities in elf Sektoren, einer Untermenge der NIS2-Sektoren. Zwischen NIS2, RCE und KRITIS-Sektoren gibt es leichte Differenzen.
NIS2 und RCE müssen noch in deutsche KRITIS-Gesetzgebung überführt werden, bis Oktober 2024. Die genauen Definitionen und Betroffenheit einzelner Sektoren und Betreiber wird bis dahin noch zu klären sein. Die Identifikation von Betreibern unterscheidet sich zwischen NIS2 und RCE und weicht von der deutschen Anlagenmethodik ab. Teile der NIS2-Sektoren referenzieren die Herstellung von Gütern nach NACE-Kategorien.
NIS2 Sektoren und Betreiber
Essential Entities
Die wichtigsten Betreiber in NIS2 sind Essential Entities aus den elf Annex I Sektoren. Diese gehen über die deutschen KRITIS-Sektoren (noch) etwas hinaus und weichen leicht von den sonst analogen RCE-Sektoren ab.
Zu den Essential Entities gehören nach NIS2 size-cap große Unternehmen (über 250 MA und über 50 Mio. Umsatz und/oder 43 Mio. EUR Bilanz) in der folgenden Tabelle I, bestimmte IT-Branchen und Regierungen unabhängig der Größe (*) sowie eine Liste an Sonderfällen wie nationale Monopole, grenzüberschreitende Effekte oder öffentliche Sicherheit.
| NIS2 Annex I | Subsector | Essential Entities |
|---|---|---|
| Energie | Elektrizität |
Elektrizitätsunternehmen (Art. 2 Nr. 57 EU 2019/944) Verteilernetzbetreiber (Art. 2 Nr. 29 EU 2019/944) Übertragungsnetzbetreiber (Art. 2 Nr. 35 EU 2019/944) Erzeuger (Art. 2 Nr. 38 EU 2019/944) Strommarktbetreiber (Art. 2 Nr. 8 EU 2019/943) Aggregierung/Laststeuerung (Art. 2 Nr. 25 EU 2019/943) Energiespeicherung (Art. 2 Nr. 18, 20, 59 EU 2019/944) Ladepunkte |
| Fernwärme | Fernwärme und -kälte (Art. 2 Nr. 19 EG 2009/119) | |
| Erdöl | Fernleitungen Produktion, Raffination und Aufbereitung Erdöllager Zentrale Bevorratungsstellen (Art. 2 lit. f EU 2019/944) |
|
| Erdgas |
Versorgungsunternehmen (Art. 2 Nr. 8 EG 2009/73) Verteilernetzbetreiber (Art. 2 Nr. 6 EG 2009/73) Fernleitungsnetzbetreiber (Art. 2 Nr. 4 EG 2009/73) Speicheranlage (Art. 2 Nr. 10 EG 2009/73) LNG-Anlage (Art. 2 Nr. 12 EG 2009/73) Erdgasunternehmen (Art. 2 Nr. 1 EG 2009/73) Raffination und Aufbereitung |
|
| Wasserstoff | Erzeugung, Speicherung und Fernleitung | |
| Transport | Luftverkehr |
Luftfahrtunternehmen (Art. 3 Nr. 4 EG 300/2008) Flughafenleitungsorgane (Art. 2 Nr. 2 EG 2009/12) Flughäfen (Anh. II Ab. 2 EU 1315/2013) Flugverkehrskontrolldienste (Art. 2 Nr. 1 EG 549/2004) |
| Schienenverkehr |
Infrastrukturbetreiber (Art. 3 Nr. 2 EU 2012/34) Eisenbahnunternehmen (Art. 3 Nr. 1 EU 2012/34) Serviceeinrichtung (Art. 3 Nr. 12 EU 2012/34) |
|
| Schifffahrt |
Passagier- und Frachtbeförderung (Anhang I EG 725/2004) Leitungsorgane von Häfen (Art. 3 Nr. 1 EG 2005/65) Hafenanlagen (Art. 2 Nr. 11 EG 725/2004) Schiffsverkehrsdienste (Art. 3 lit. o EG 2002/59) |
|
| Straßenverkehr |
Straßenverkehrsbehörden (Art. 2 Nr. 12 EU 2015/962) Intelligente Verkehrssysteme (Art. 4 Nr. 1 EU 2010/40) |
|
| Bankwesen | Kreditinstitute (Art. 4 Nr. 1 EU 575/2013) | |
| Finanzmärkte | Handelsplätze (Art. 4 Nr. 24 EU 2014/65) Zentrale Gegenparteien (Art. 2 Nr. 1 EU 648/2012) |
|
| Gesundheit |
Gesundheitsdienstleister (Art. 3 lit. g EU 2011/24) EU Labore (Art. 15 EU 2022/2371) Medizinforschung (Art. 1 Nr. 2 EG 2001/83) Pharmazeutik (Abschnitt C Abt. 21 NACE) Medizingeräte (Art. 22 EU 2022/123) |
|
| Trinkwasser | Lieferanten und Versorger (Art. 2 Nr. 1 lit. a EU 2020/2184) | |
| Abwasser | Abwasserentsorgung (Art. 2 Nr. 1-3 EWG 91/271) | |
| Digitale Infrastruktur | Internet-Knoten (IXPs mit mehr als 2 ASn) DNS-Diensteanbieter (ohne Root)* TLD Registries* Cloud Provider Rechenzentren Content Delivery Networks Vertrauensdienste* (TSP, Art. 3 Nr. 19 EU 910/2014) Kommunikationsnetze* Kommunikationsdienste* (Art. 2 Nr. 4 EU 2018/1972) |
|
| ICT Service Management | nur B2B | Managed Services (IT, Netze/Infrastruktur, Anwendungen) Managed Security Services (Risiko und Cyber Security) |
| Öffentliche Verwaltung | Einrichtungen von Zentralregierungen* Einrichtungen auf regionaler Ebene* |
|
| Weltraum | Bodeninfrastruktur für weltraumgestützte Dienste |
Important Entities
Die Important Entities sind der zweite Teil an Betroffenen in NIS2 und bestehen aus sieben weiteren Sektoren. Diese gehen über KRITIS-Sektoren und UBI hinaus und fehlen in RCE. Zu Important Entities gehören nach size-cap große und mittlere Unternehmen der folgenden Tabelle II, mittlere Unternehmen der Tabelle I, sowie auch bestimmte Sonderfälle.
| NIS2 Annex II | Subsector | Important Entities |
|---|---|---|
| Post und Kurier | Post- und Kurierdienste (Art. 2 Nr. 1a EG 97/67) | |
| Abfall | Abfallbewirtschaftung (Art. 3 Nr. 9 EG 2008/98) | |
| Chemikalien | Produktion, Herstellung, Handel (Art. 3 Nr. 9 und 14 EG 1907/2006) und Erzeugnisse (Art. 3 Nr. 3 EU 1907/2006) | |
| Lebensmittel | Produktion, Verarbeitung, Großhandel (Art. 3 Nr. 2 EG 178/2002) | |
| Herstellung | Medizinprodukte | Medizinprodukte (Art. 2 Nr. 1 EU 2017/745) In-vitro-Diagnostika (Art. 2 Nr. 2 EU 2017/746) |
| DV (Computer), Elektronik, Optik | Unternehmen aus Abschnitt C Abt. 26 NACE | |
| Elektrische Ausrüstung | Unternehmen aus Abschnitt C Abt. 27 NACE | |
| Maschinenbau | Unternehmen aus Abschnitt C Abt. 28 NACE | |
| Kraftwagen und Teile | Unternehmen aus Abschnitt C Abt. 29 NACE | |
| Fahrzeugbau | Unternehmen aus Abschnitt C Abt. 30 NACE | |
| Digitale Dienste | Marktplätze Suchmaschinen (Art. 2 Nr. 5 EU 2019/1150) Soziale Netzwerke |
|
| Forschung | Forschungsinstitute (ohne Bildungseinrichtungen) |
RCE Sektoren und Betreiber
Critical Entities
Die Sektoren mit Critical Entities in RCE sind mit den Annex I Sektoren (Essential
) aus NIS2 fast deckungsgleich, nur mit leichten Abweichungen.
| RCE Sektor | Subsector | Critical Entities |
|---|---|---|
| Energie | Strom |
Elektrizitätsunternehmen (Art. 2 Nr. 57 EU 2019/944) Verteilernetzbetreiber (Art. 2 Nr. 29 EU 2019/944) Übertragungsnetzbetreiber (Art. 2 Nr. 35 EU 2019/944) Erzeuger (Art. 2 Nr. 38 EU 2019/944) Strommarktbetreiber (Art. 2 Nr. 8 EU 2019/943) Aggregierung/Laststeuerung (Art. 2 Nr. 25 EU 2019/943) Energiespeicherung (Art. 2 Nr. 18, 20, 59 EU 2019/944) ✝ |
| Fernwärme | Fernwärme und -kälte (Art. 2 Nr. 19 EG 2009/119) | |
| Erdöl | Fernleitungen Produktion, Raffination und Aufbereitung Erdöllager Zentrale Bevorratungsstellen (Art. 2 lit. f EU 2019/944) |
|
| Erdgas |
Versorgungsunternehmen (Art. 2 Nr. 8 EG 2009/73) Verteilernetzbetreiber (Art. 2 Nr. 6 EG 2009/73) Fernleitungsnetzbetreiber (Art. 2 Nr. 4 EG 2009/73) Speicheranlage (Art. 2 Nr. 10 EG 2009/73) LNG-Anlage (Art. 2 Nr. 12 EG 2009/73) Erdgasunternehmen (Art. 2 Nr. 1 EG 2009/73) Raffination und Aufbereitung |
|
| Wasserstoff | Erzeugung, Speicherung und Fernleitung | |
| Transport | Luftverkehr |
Luftfahrtunternehmen (Art. 3 Nr. 4 EG 300/2008) Flughafenleitungsorgane (Art. 2 Nr. 2 EG 2009/12) Flughäfen (Anh. II Ab. 2 EU 1315/2013) Flugverkehrskontrolldienste (Art. 2 Nr. 1 EG 549/2004) |
| Schienenverkehr |
Infrastrukturbetreiber (Art. 3 Nr. 2 EU 2012/34) Eisenbahnunternehmen (Art. 3 Nr. 1 EU 2012/34) Serviceeinrichtung (Art. 3 Nr. 12 EU 2012/34) |
|
| Schifffahrt |
Passagier- und Frachtbeförderung (Anhang I EG 725/2004) Leitungsorgane von Häfen (Art. 3 Nr. 1 EG 2005/65) Hafenanlagen (Art. 2 Nr. 11 EG 725/2004) Schiffsverkehrsdienste (Art. 3 lit. o EG 2002/59) |
|
| Straßenverkehr |
Straßenverkehrsbehörden (Art. 2 Nr. 12 EU 2015/962) Intelligente Verkehrssysteme (Art. 4 Nr. 1 EU 2010/40) |
|
| Öffentlicher Verkehr* | Öffentliche Dienste (Art. 2 lit. d EG 1370/2007) | |
| Bankwesen | Kreditinstitute (Art. 4 Nr. 1 EU 575/2013) | |
| Finanzmärkte | Handelsplätze (Art. 4 Nr. 24 EU 2014/65) Zentrale Gegenparteien (Art. 2 Nr. 1 EU 648/2012) |
|
| Gesundheit |
Gesundheitsdienstleister (Art. 3 lit. g EU 2011/24) EU Labore (Art. 15 EU 2022/2371) Medizinforschung (Art. 1 Nr. 2 EG 2001/83) Pharmazeutik (Abschnitt C Abt. 21 NACE) Medizinprodukte (Art. 22 EU 2022/123) Großhandelsgenehmigung* (Art. 79 EG 2001/83) |
|
| Trinkwasser | Lieferanten und Versorger (Art. 2 Nr. 1 lit. a EU 2020/2184) | |
| Abwasser | Abwasserentsorgung (Art. 2 Nr. 1-3 EWG 91/271) | |
| Digitale Infrastruktur | Internet-Knoten (Art. 6 Nr. 18 EU 2022/2555) DNS-Diensteanbieter (Art. 6 Nr. 20 EU 2022/2555) TLD Registries (Art. 6 Nr. 21 EU 2022/2555) Cloud Provider (Art. 6 Nr. 30 EU 2022/2555) Rechenzentren (Art. 6 Nr. 31 EU 2022/2555) Content Delivery Networks (Art. 6 Nr. 32 EU 2022/2555) Vertrauensdienste (Art. 3 Nr. 19 EU 910/2014) Kommunikationsnetze (Art. 2 Nr. 8 EU 2018/1972) Kommunikationsdienste (Art. 2 Nr. 4 EU 2018/1972) |
|
| ICT Service Management | nur B2B | Managed Services (IT, Netze/Infrastruktur, Anwendungen) Managed Security Services (Risiko und Cyber Security) |
| Öffentliche Verwaltung | Einrichtungen von Zentralregierungen ✝ |
|
| Weltraum | Bodeninfrastrukturen von weltraumgestützten Diensten (Art. 2 Nr. 8 EU 2018/1972) | |
| Lebensmittel** | Produktion, Verarbeitung, Großhandel (Art. 3 Nr. 2 EG 178/2002) |
Mapping und Unterschiede
Kritische Sektoren in der EU
Die Sektoren sind in der EU größtenteils harmonisiert — NIS2 reguliert achtzehn Sektoren, RCE elf, die deutschen KRITIS-Sektoren sind teils ähnlich.
| NIS2 Sektoren | RCE Sektoren | KRITIS Sektoren |
|---|---|---|
| Identifikation durch Unternehmensgröße |
Bestimmung Betreiber durch den Staat |
Identifikation durch Schwellenwerte |
Annex I (Essential) |
Critical Entities | KRITIS |
| Energie | Energie | Energie |
| Transport | Transport | Transport/Verkehr |
| Bankwesen | Bankwesen✝ | Finanzwesen |
| Finanzmärkte | Finanzmärkte✝ | Finanzwesen |
| Gesundheit | Gesundheit | Gesundheit |
| Trinkwasser | Trinkwasser | Wasser |
| Abwasser | Abwasser | Wasser |
| Digitale Infrastruktur* | Digitale Infrastruktur✝ | IT und TK (tw. TKG) |
| ICT Service Management | - | - |
| Öffentliche Verwaltung* | Öffentliche Verwaltung | - |
| Weltraum | Weltraum | tw. Transport |
| - | Ernährung | Ernährung |
Annex II (Important) |
- | KRITIS und UBI |
| Post und Kurier | tw. Transport | |
| Abfallwirtschaft | Entsorgung | |
| Chemikalien | UBI (3) | |
| Lebensmittel | Ernährung | |
| Industrie | tw. UBI (2) | |
| Digitale Dienste | tw. Telemedien (TMG) | |
| Forschung | - |
Differenzen
Die Sektoren weichen zwischen NIS2, RCE und KRITIS teils leicht voneinander ab, obwohl die Namen teils deckungsgleich und Gruppen analog sind.
NIS2
In NIS2 fehlen ÖPNV und Medizingroßhandel aus RCE, während Ernährung in NIS2 (nur) Important ist, nicht Essential wie in RCE.
RCE
In RCE fehlen aus NIS2 Ladestationen (Sektor Energie/Elektrizität), ICT Service Management und Regionalverwaltungen. Von den RCE Resilienz-, europäischen und Kooperationspflichten sind Banken, Finanzmärkte und Digitale Infrastruktur ausgenommen.
KRITIS
In KRITIS fehlen in 2022 noch einige EU-Sektoren und Entities, mindestens: Wasserstoff und Ladestellen (Energie), öffentliche Verwaltung, Teile von Gesundheit (Forschung, Geräte), ICT Service Management, Teile von Post und Kurier, Teile von Industrie/Herstellung, Teile von digitalen Diensten und Forschung. Die deutschen UBI umfassen einige Gruppen davon.
Referenz-Tabellen
NACE
NIS2 nimmt in einigen Sektoren Bezug auf Dienstleistungen und Produktkategorien von NACE. Dies umfasst im Essential Sektor Gesundheit die Hersteller von Pharmazeutik und den gesamten Important Sektor Herstellung mit Herstellern vieler verschiedener Güter.
| NACE | Nr. | Produkte |
|---|---|---|
| Abschnitt C Verarbeitendes Gewerbe/Herstellung von Waren (NIS2 Essential Pharmazeutik) | ||
| 21 | Herstellung von pharmazeutischen Erzeugnissen | |
| 21.1 | Pharmazeutische Grundstoffe | |
| 21.2 | Pharmazeutische Spezialitäten und sonstige pharmazeutische Erzeugnisse | |
| Abschnitt C Verarbeitendes Gewerbe/Herstellung von Waren (NIS2 Important Herstellung) | ||
| 26 | Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen | |
| 26.1 | Elektronische Bauelemente und Leiterplatten | |
| 26.2 | Datenverarbeitungsgeräte und periphere Geräte | |
| 26.3 | Geräte und Einrichtungen der Telekommunikationstechnik | |
| 26.4 | Geräte der Unterhaltungselektronik | |
| 26.5 | Mess-, Kontroll-, Navigations- u. ä. Instrumente und Vorrichtungen; Uhren | |
| 26.6 | Bestrahlungs- und Elektrotherapiegeräte und elektromedizinische Geräte | |
| 26.7 | Optische und fotografische Instrumente und Geräte | |
| 26.8 | Magnetische und optische Datenträger | |
| 27 | Herstellung von elektrischen Ausrüstungen | |
| 27.1 | Elektromotoren, Generatoren, Transformatoren, Elektrizitätsverteilungs- und schalteinrichtungen | |
| 27.2 | Batterien und Akkumulatoren | |
| 27.3 | Kabel und elektrisches Installationsmaterial | |
| 27.4 | Elektrische Lampen und Leuchten | |
| 27.5 | Haushaltsgeräte | |
| 27.9 | Sonstige elektrische Ausrüstungen und Geräte anderweitig nicht genannt | |
| 28 | Maschinenbau | |
| 28.1 | Nicht wirtschaftszweigspezifische Maschinen | |
| 28.2 | Sonstige nicht wirtschaftszweigspezifische Maschinen | |
| 28.3 | Land- und forstwirtschaftliche Maschinen | |
| 28.4 | Werkzeugmaschinen | |
| 28.9 | Maschinen für sonstige bestimmte Wirtschaftszweige | |
| 29 | Herstellung von Kraftwagen und Kraftwagenteilen | |
| 29.1 | Kraftwagen und Kraftwagenmotoren | |
| 29.2 | Karosserien, Aufbauten und Anhänger | |
| 29.3 | Teile und Zubehör für Kraftwagen | |
| 30 | Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen | |
| 30.1 | Schiff- und Bootsbau | |
| 30.2 | Schienenfahrzeugbau | |
| 30.3 | Luft- und Raumfahrzeugbau | |
| 30.4 | Militärische Kampffahrzeuge | |
| 30.9 | Fahrzeuge anderweitig nicht genannt | |
Weitere Informationen
Literatur
- ANHANG I - SEKTOREN MIT HOHER KRITIKALITÄT, Richtlinie (EU) 2022/2555, Lexparency
- ANHANG II — SONSTIGE KRITISCHE SEKTOREN, Richtlinie (EU) 2022/2555, Lexparency
- ANHANG — SEKTOREN, TEILSEKTOREN UND KATEGORIEN VON EINRICHTUNGEN, Richtlinie (EU) 2022/2557, Lexparency
Quellen
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022
- Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC, Official Journal of the European Union, 27.12.2022
- European Parliament legislative resolution of 10 November 2022 on the proposal for a directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union repealing Directive (EU) 2016/1148 (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)), 10.11.2022 EU-Parlament
- NACE Category C, Statistical Classification of Economic Activities in the European Community, Rev. 2 (2008), Eurostat