Skip to main content 
Die Frage „Wer ist von NIS2 betroffen?“ ist für Unternehmen in der EU von zentraler Bedeutung. Die NIS2-Richtlinie definiert klare Anforderungen und erweitert den Geltungsbereich deutlich. Daher müssen viele Organisationen erstmals strukturierte Sicherheitsmaßnahmen einführen. Außerdem fordert NIS2 ein hohes Maß an Transparenz und eine engere Zusammenarbeit zwischen Wirtschaft und Behörden. Dieser Artikel erklärt detailliert, welche Sektoren, Unternehmensgrößen und Rollen von der Richtlinie erfasst werden. Darüber hinaus werden die Kriterien dargestellt, anhand derer Unternehmen prüfen können, ob sie unter NIS2 fallen.
Kurzfazit:
Die Relevanz von NIS2 steigt erheblich, weil die Richtlinie mehr Branchen und Unternehmensformen einbezieht.
Grundlagen: Wer ist von NIS2 betroffen?
Die NIS2-Richtlinie ersetzt die ursprüngliche NIS-Verordnung und erweitert ihren Umfang substanziell. Daher müssen deutlich mehr Unternehmen als bisher Cybersecurity-Maßnahmen implementieren. Das Ziel besteht darin, ein EU-weit einheitliches Sicherheitsniveau zu erreichen. Zugleich soll die Resilienz kritischer Dienste verbessert werden. Die Richtlinie unterscheidet zwei Kategorien:
- Wesentliche Einrichtungen
- Wichtige Einrichtungen
Beide Kategorien müssen ein umfassendes Sicherheitsmanagement nachweisen. Allerdings unterscheiden sie sich in der Intensität der Aufsicht.
Kurzfazit:
NIS2 schafft einen breiten und klar definierten Rahmen zur Einstufung von Unternehmen.
Wesentliche Einrichtungen – Kernbereiche der Versorgungssicherheit
Wesentliche Einrichtungen umfassen Unternehmen, deren Ausfall erhebliche Auswirkungen auf Gesellschaft, Wirtschaft oder staatliche Strukturen hätte. Daher gelten für diese Kategorie strengere Vorgaben und intensivere Überprüfungen.
Betroffene Sektoren
- Energie
- Verkehr und Logistik
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Raumfahrtbezogene Dienste
Diese Branchen erbringen unverzichtbare Leistungen. Außerdem unterliegen sie umfangreichen Meldepflichten, damit Vorfälle früh erkannt werden.
Kurzfazit:
Wesentliche Einrichtungen stehen unter hohem regulatorischem Druck, da sie kritische Dienste betreiben.
Wichtige Einrichtungen – wirtschaftlich relevante Organisationen
Neben den kritischen Bereichen bezieht NIS2 viele Unternehmen ein, die für wirtschaftliche Abläufe unverzichtbar sind. Folglich betrifft die Richtlinie auch Organisationen, die nicht unmittelbar kritisch, aber funktional systemrelevant sind.
Beispiele relevanter Branchen
- Lebensmittelverarbeitung
- Abfall- und Recyclingwirtschaft
- Chemische Industrie
- Maschinenbau
- Post- und Kurierdienste
- Forschungseinrichtungen
- Digitale Dienste wie Cloud-Anbieter
- Hersteller sensibler Komponenten
Viele dieser Unternehmen fallen erstmals unter eine EU-Cybersicherheitsrichtlinie. Außerdem müssen sie Dokumentations-, Melde- und Governance-Pflichten erfüllen.
Kurzfazit:
Wichtige Einrichtungen erweitern den Anwendungsbereich erheblich und binden besonders den Mittelstand ein.
Größenkriterien: Wann ist ein Unternehmen automatisch betroffen?
Die Einstufung erfolgt nicht nur anhand der Branche. Auch die Größe einer Organisation spielt eine wesentliche Rolle. Unternehmen gelten automatisch als NIS2-pflichtig, wenn sie:
- mindestens 50 Mitarbeitende haben
- mindestens 10 Millionen Euro Jahresumsatz erzielen
Die Richtlinie übernimmt hier die Definitionen von mittleren und großen Unternehmen nach EU-Standard. Außerdem kann ein Unternehmen unabhängig von seiner Größe betroffen sein, wenn es kritische Prozesse unterstützt.
Kleinst- und Kleinunternehmen
Auch kleine Organisationen können unter NIS2 fallen, wenn sie:
- kritische Dienste ermöglichen
- sensible Komponenten bereitstellen
- zentrale Zuliefererrollen einnehmen
Sonderfälle
- Betreiber sicherheitsrelevanter Technologien
- Hersteller kritischer Software
- Anbieter hochsensibler Datenverarbeitungsdienste
Kurzfazit:
Die Größe ist ein wichtiges, aber nicht das einzige Kriterium. Die funktionale Relevanz entscheidet oft stärker.
Kritische Dienste als Entscheidungsfaktor
Ein Dienst gilt als kritisch, wenn sein Ausfall erhebliche Störungen verursachen würde. Daher spielen Funktionsabhängigkeiten eine wichtige Rolle.
Beispiele kritischer Dienste
- Elektrizitätsübertragung
- Verkehrsleitsysteme
- Notruf- und Rettungssysteme
- Rechenzentrumsbetrieb
- Kommunikationsnetze
Darüber hinaus betrachtet NIS2 auch digitale Dienste, da moderne Infrastrukturen stark vernetzt sind.
Kurzfazit:
Je kritischer ein Dienst, desto höher die regulatorischen Anforderungen.
Lieferketten: Wann sind Zulieferer betroffen?
Die Richtlinie legt großen Wert auf Lieferketten. Daher können auch Unternehmen betroffen sein, die selbst keine kritischen Dienste bereitstellen, aber zentrale Komponenten liefern.
Typische betroffene Rollen
- Softwareanbieter
- Hardwarelieferanten
- IT-Dienstleister
- Cloud-Provider
- Beratungsunternehmen mit sicherheitskritischem Einfluss
Außerdem müssen Betreiber ihre Zulieferer regelmäßig bewerten und entsprechende Sicherheitsnachweise anfordern.
Kurzfazit:
NIS2 erhöht die Verantwortung entlang der gesamten Wertschöpfungskette.
Verantwortlichkeiten für betroffene Unternehmen
Sowohl wesentliche als auch wichtige Einrichtungen müssen eine klare Governance-Struktur implementieren. Die Geschäftsleitung trägt dabei eine zentrale Rolle.
Pflichten der Geschäftsführung
- Freigabe der Sicherheitsstrategie
- Kontrolle der Umsetzung
- Teilnahme an Schulungen
- Nachweisführung gegenüber Behörden
- Einhaltung der Meldepflichten
Kurzfazit:
Die Leitungsebene steht verstärkt im Fokus und trägt unmittelbare Verantwortung.
Fazit
Die Frage „Wer ist von NIS2 betroffen?“ lässt sich angesichts der neuen Kriterien klar beantworten: Die Richtlinie erfasst wesentlich mehr Organisationen als frühere Vorgaben. Außerdem berücksichtigt sie Branchen, Größenklassen, kritische Dienste und Lieferketten gleichermaßen. Unternehmen sollten daher frühzeitig prüfen, ob sie unter NIS2 fallen und welche Maßnahmen notwendig sind. Eine strukturierte Analyse bildet die Grundlage für ein wirksames Sicherheitsprogramm und stellt die Compliance sicher.
