Wer ist von NIS-2 betroffen? (Teil 2)

Die Zahl betroffener Unternehmen nimmt mit der NIS-2 deutlich zu. Schätzungen gehen für Deutschland von 30.000 betroffenen Unternehmen aus (zum Vergleich: Die erste NIS-Richtlinie betraf circa 2.000 Unternehmen).

Eine Meldung, ob ein bestimmtes Unternehmen betroffen ist, gibt es von offizieller Stelle nicht. Die Betroffenheit festzustellen obliegt den Unternehmen daher selbst. Dafür sind eine Reihe von Kriterien relevant.

Wovon ist eine Betroffenheit abhängig?

Zunächst geht es um zwei Schwellenwerte:

• Klein- oder Kleinstunternehmen sind nur in Ausnahmefällen betroffen.
• Klein- oder Kleinstunternehmen haben weniger als 50 Mitarbeitende und einen Jahresumsatz oder eine Jahresbilanzsumme von weniger als 10 Millionen Euro.
• Für mittlere Unternehmen gelten in den meisten Fällen weniger strenge Anforderungen als für solche, die diese Werte überschreiten.
• Mittlere Unternehmen haben unter 250 Mitarbeiter.
• Der Gewinn beträgt weniger als 50 Millionen Euro oder die Bilanzsumme ist kleiner als 43 Millionen Euro.

Im zweiten Schritt ist die Einrichtungsart entscheidend, in der das Unternehmen tätig ist. Hierbei wird zwischen den wichtigen und besonders wichtigen Einrichtungen unterschieden. Außerdem greifen für bestimmte Einrichtungsarten unmittelbar gültige Durchführungsverordnungen.

Besonders wichtige Einrichtungen

Die EU-Verordnung spricht von wesentlichen Einrichtungen (essential entities), die deutsche Umsetzung dagegen von besonders wichtigen Einrichtungen – gemeint ist das Gleiche.

Als besonders wichtig gelten Einrichtungen, die die Schwellenwerte für mittlere Unternehmen überschreiten und zu einer Einrichtungsart aus Anlage 1 des NIS2UmsuCG zählen. Dazu gehören Einrichtungsarten aus den folgenden Branchen:

• Energie
• Transport und Verkehr
• Finanzwesen
• Gesundheit
• Wasser
• Digitale Infrastruktur
• Weltraum

Nicht alle Unternehmen, die in einer dieser Branchen tätig sind, sind auch betroffen; es kommt auf die genaue Definition der Einrichtungsart an.

Besonders wichtig sind ebenfalls die Betreiber kritischer Infrastrukturen (KRITIS), qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Namenregistrierungsstellen oder DNS-Diensteanbieter sowie mittlere Telekommunikationsanbieter.

Wichtige Einrichtungen

Wichtige Einrichtungen sind mittlere oder größere Unternehmen, die unter eine der Einrichtungsarten in Anhang I oder II des NIS2UmsuCG fallen. Damit kommen folgende Branchen zu den oben genannten dazu:

• Abfallbewirtschaftung
• Lebensmittel- und Chemiebranchen
• Hersteller von Medizinprodukten oder bestimmter elektrischer Ausrüstung
• Maschinenbauer und Fahrzeughersteller
• Anbieter digitaler Dienste
• Forschungseinrichtungen

Wie bei den besonders wichtigen Einrichtungen ist auch hier die genaue Definition der Einrichtungsarten entscheidend.

Zusätzlich gelten Vertrauensdiensteanbieter und alle Telekommunikationsanbieter, die nicht besonders wichtig sind, als wichtig.

Betroffene der Durchführungsverordnung

Mit der ersten Durchführungsverordnung zielt die EU auf eine unmittelbare Regulierung von Unternehmen ab, die inhärent grenzüberschreitende Dienste anbieten. Dazu zählen nach aktuellem Stand Anbieter folgender Dienste:

• DNS Dienstanbieter und TLD-Namenregistrierungsstellen
• Cloud-Computing, Rechenzentren und Content Delivery Netzwerke
• Managed (Security) Services
• Online-Marktplätze, Online-Suchmaschinen und sozialen Netzwerke

Wie findet man heraus, ob das eigene Unternehmen betroffen ist?

Einen ersten Anhaltspunkt gibt zum Beispiel die NIS-2-Betroffenheitsprüfung des BSI. Für eine genauere Prüfung stehen Ihnen die Berater der aramido GmbH gerne zur Verfügung. Auch eine abschließende juristische Prüfung kann hilfreich sein.

Mehr zum Thema NIS-2

Was kommt auf NIS-2 betroffene Unternehmen zu?

Was ist die NIS-2?