Welche Unternehmen müssen die NIS 2 einhalten? Wesentliche vs. wichtige Einrichtungen

Die NIS 2-Richtlinie enthält eine klare Liste aller Sektoren und Teilsektoren (Branchen), die diese europäische Cybersicherheitsrichtlinie einhalten müssen. Allerdings gibt es viele Ausnahmen und die Abgrenzung zwischen wesentlichen und wichtigen Einrichtungen ist nicht ganz einfach zu verstehen – in diesem Artikel gebe ich eine klare Erläuterung, wer in welchem Status konform sein muss.

Mittlere und große Unternehmen aus den folgenden Sektoren müssen die NIS-2 einhalten: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (Business-to-Business), öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung.

Kriterien, die bestimmen, welche Unternehmen die NIS-2 einhalten müssen

Es gibt drei allgemeine Kriterien, die festlegen, welche Organisationen die NIS 2 einhalten müssen:

  • 1) Standort – wenn sie in einem beliebigen Land der Europäischen Union Dienstleistungen erbringen oder Tätigkeiten ausüben (unabhängig davon, ob sie ihren Sitz in der EU haben oder nicht) und
  • 2) Größe – wenn sie als mittelgroße oder große Organisationen eingestuft werden (siehe die Kriterien im folgenden Abschnitt) und
  • 3) Branche – wenn sie in einem in der nachstehenden Tabelle aufgeführten 18 Sektoren tätig sind.

Es gibt jedoch einige Ausnahmen von diesen Regeln – siehe Tabelle im nachstehenden Abschnitt für weitere Erläuterungen.

Was sind wesentliche und wichtige Einrichtungen?

„Wesentliche Einrichtungen“ und „wichtige Einrichtungen“ – so werden in der NIS 2 Unternehmen und andere Organisationen bezeichnet, die die NIS 2 einhalten müssen.

Die NIS 2 definiert wesentliche Unternehmen wie folgt:

  • Unternehmen, die als Großunternehmen eingestuft werden (siehe die Kriterien im nächsten Abschnitt) und zu einem der 11 kritischen Sektoren gehören (siehe Tabelle unten)
  • Anbieter von Vertrauensdiensten
  • Anbieter von DNS-Diensten
  • Öffentliche elektronische Kommunikationsnetze
  • Einrichtungen der öffentlichen Verwaltung
  • Alle kritischen Einrichtungen gemäß der Richtlinie über die Resilienz kritischer Einrichtungen (CER) (EU) 2022/2557
  • Andere von den Mitgliedstaaten festgelegte Einrichtungen.

Wichtige Einrichtungen sind alle anderen Organisationen, die nicht als wesentliche Einrichtungen eingestuft sind, aber unter die drei im vorherigen Abschnitt genannten Kriterien fallen.

Welche Unternehmen müssen die NIS 2 einhalten? Wesentliche vs. wichtige Einrichtungen - Advisera

Aufschlüsselung der Sektoren und wesentlichen und wichtigen Einrichtungen

Da die obige Erklärung aus der NIS 2 etwas verwirrend ist, habe ich die folgende Tabelle erstellt, um zu zeigen, welche Organisationen die NIS 2 einhalten müssen und ob sie als wesentliche oder wichtige Einrichtungen eingestuft werden.

Zur Verdeutlichung wird hier aufgeführt, wie die EU Unternehmen nach ihrer Größe einstuft:

  • Kleinst- und kleine Organisationen – wenn sie weniger als 50 Mitarbeiter und weniger als 10 Millionen Euro Jahresumsatz haben,
  • mittelgroße Unternehmen – mit 50 bis 250 Mitarbeitern und einem Jahresumsatz von 10 bis 50 Millionen Euro,
  • große Unternehmen – mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mehr als 50 Millionen Euro.
Sektor Teilsektor Art der Einrichtung Kleinst- und kleine Organisationen* Mittelgroße Organisationen Große Organisationen
Sektoren mit hoher Kritikalität
1. Energie (a) Elektrizität Elektrizitäts- unternehmen, die die Funktion der „Versorgung“ wahrnehmen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Verteilernetzen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Übertragungs- netzen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Erzeuger (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Nominierte Strommarkt- betreiber
Marktteilnehmer
Betreiber von Ladepunkten
(NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
(b) Fernwärme und -kälte Betreiber von Fernwärme und -kälte (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
(c) Erdöl Betreiber von Erdölfern- leitungen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Erdölförder-, Raffinerie- und Aufbereitungs- anlagen sowie von Anlagen zur Lagerung und Übertragung von Öl (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Zentrale Lagerein- richtungen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
(d) Erdgas Versorgungs-
unternehmen
(NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Verteilernetzen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Übertragungs- netzen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Speicheranlagen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von LNG-Anlagen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Erdgas- unternehmen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Erdgasraffinerien und -aufbereitungs- anlagen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
(e) Wasserstoff Betreiber von Anlagen zur Erzeugung, Speicherung und Übertragung von Wasserstoff (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
2.Verkehr (a) Luftverkehr Gewerblich genutzte Luftfahrt- unternehmen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Flughafen
-leitungsorgane, Flughäfen, einschließlich der Kernflughäfen und Stellen, die Nebenanlagen von Flughäfen betreiben
(NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Verkehrs- management- kontrolldiensten, die Flugverkehrs- kontrolldienste (ATC) erbringen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
(b) Schienenverkehr Infrastruktur- betreiber (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Eisenbahn- unternehmen, einschließlich Betreiber von Serviceein- richtungen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
(c) Schifffahrt Binnen-, See- und Küstenschiff- fahrts- unternehmen für den Personen- und Güterverkehr, ohne die von diesen Unternehmen betriebenen Einzelschiffe (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen, und Stellen, die in den Häfen befindliche Bauwerke und Ausrüstungen betreiben (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Schiffsverkehrs- diensten (VTS) (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
(d) Straßenverkehr Straßenverkehrs- behörden, die für die Kontrolle des Verkehrs- managements zuständig sind, mit Ausnahme öffentlicher Einrichtungen, für die das Verkehrs- management oder der Betrieb intelligenter Verkehrs- systeme einen nicht wesentlichen Teil ihrer allgemeinen Tätigkeit ausmacht (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von intelligenten Verkehrs- systemen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
3. Bankwesen (Teilsektor nicht angegeben) Kreditinstitute (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
4. Finanzmarkt-
infrastrukturen
(Teilsektor nicht angegeben) Betreiber von Handelsplätzen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Zentrale Gegenparteien (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
5. Gesundheits-
wesen
(Teilsektor nicht angegeben) Dienstleister im Gesundheits- wesen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
EU-Referenz- laboratorien (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Einrichtungen, die Forschung und Entwicklung von Arzneimitteln betreiben Einrichtungen, die pharmazeutische Grundstoffe und pharmazeutische Zubereitungen herstellen Einrichtungen, die Medizinprodukte herstellen, die bei  Notlagen im Bereich der öffentlichen Gesundheit als kritisch gelten (Liste der kritischen Produkte für Notlagen im Bereich der öffentlichen Gesundheit) (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
6. Trinkwasser (Teilsektor nicht angegeben) Lieferanten und Unternehmen zur Versorgung von Wasser für den menschlichen Gebrauch, mit Ausnahme von Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit des Vertriebs anderer Rohstoffe und Güter ist (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
7. Abwasser (Teilsektor nicht angegeben) Unternehmen, die kommunales, häusliches oder industrielles Abwasser sammeln, entsorgen oder behandeln, mit Ausnahme von Unternehmen, für die das Sammeln, Entsorgung oder Behandeln von kommunalem, häuslichem oder industriellem Abwasser ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
8. Digitale Infrastruktur (Teilsektor nicht angegeben) Betreiber von Internet-Knoten (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Anbieter von DNS-Diensten, ausgenommen Betreiber von Root-Namenservern Wesentliche Einrichtung Wesentliche Einrichtung Wesentliche Einrichtung
TLD- Namenregister Wesentliche Einrichtung Wesentliche Einrichtung Wesentliche Einrichtung
Dienstleistungen zur Registrierung von Domänennamen Wichtige Einrichtung Wichtige Einrichtung Wichtige Einrichtung
Anbieter von Cloud-Computing-Diensten (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Anbieter von Rechenzentrums- diensten (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Betreiber von Inhalts- zustellnetzen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Vertrauens- diensteanbieter Wesentliche Einrichtung Wesentliche Einrichtung Wesentliche Einrichtung
Anbieter von öffentlichen elektronischen Kommunikations- netzen Wichtige Einrichtung Wesentliche Einrichtung Wesentliche Einrichtung
Anbieter von öffentlich zugänglichen elektronischen Kommunikations- diensten Wichtige Einrichtung Wesentliche Einrichtung Wesentliche Einrichtung
9. Verwaltung von IKT-Diensten (Business-to-Business) (Teilsektor nicht angegeben) Anbieter verwalteter Dienste Anbieter verwalteter Sicherheits- dienste (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
10. Öffentliche Verwaltung (Teilsektor nicht angegeben) Einrichtungen der öffentlichen Verwaltung von Zentral- regierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht Wesentliche Einrichtung Wesentliche Einrichtung Wesentliche Einrichtung
Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht Wesentliche Einrichtung Wesentliche Einrichtung Wesentliche Einrichtung
Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene (falls ein Mitgliedstaat dies beschließt) (falls ein Mitgliedstaat dies beschließt) (falls ein Mitgliedstaat dies beschließt)
11. Weltraum (Teilsektor nicht angegeben) Betreiber von Boden- infrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraum- gestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikations- netze (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wesentliche Einrichtung
Sonstige kritische Sektoren
1. Post- und Kurierdienste (Teilsektor nicht angegeben) Anbieter von Postdiensten, einschließlich Anbieter von Kurierdiensten (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
2. Abfall-
bewirtschaftung
(Teilsektor nicht angegeben) Unternehmen der Abfallbewirt- schaftung, ausgenommen Unternehmen, für die Abfallbewirt- schaftung nicht ihre Hauptwirtschafts- tätigkeit ist (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
3. Produktion, Herstellung und Handel mit chemischen Stoffen (Teilsektor nicht angegeben) Unternehmen, die Stoffe herstellen und mit Stoffen oder Gemischen handeln und Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen produzieren (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Teilsektor nicht angegeben) Lebensmittel- unternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
5. Verarbeitendes Gewerbe (a) Herstellung von Medizinprodukten und In-vitro-Diagnostika Einrichtungen, die Medizinprodukte und Einrichtungen, die In-vitro-Diagnostika herstellen, mit Ausnahme von Einrichtungen, die Medizinprodukte herstellen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
(b) Herstellung von Datenverarbeitungs-
geräten, elektronischen und optischen Erzeugnissen
Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
(c) Herstellung von elektrischen Ausrüstungen Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
(d) Maschinenbau Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
(e) Herstellung von Kraftwagen und Kraftwagenteilen Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
(f) sonstiger Fahrzeugbau Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
6. Anbieter digitaler Dienste (Teilsektor nicht angegeben) Anbieter von Online-Marktplätzen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
Anbieter von Online-Suchmaschinen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
Anbieter von Plattformen für Dienste sozialer Netzwerke (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
7. Forschung (Teilsektor nicht angegeben) Forschungs- einrichtungen (NIS 2-Konformität nicht erforderlich) Wichtige Einrichtung Wichtige Einrichtung
Bildungs- einrichtungen, insbesondere wenn sie kritische Forschungs- tätigkeiten durchführen (falls ein Mitgliedstaat dies beschließt) (falls ein Mitgliedstaat dies beschließt) (falls ein Mitgliedstaat dies beschließt)

*Kleinst- und Kleinunternehmen unterliegen in den folgenden Fällen auch der Einhaltung von NIS 2:

  • Wenn gemäß NIS-2 Artikel 2 Absatz 2:
    • “(b) es sich bei der Einrichtung in einem Mitgliedstaat um den einzigen Anbieter eines Dienstes handelt, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist;
    • (c) sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;
    • (d) eine Störung des von der Einrichtung erbrachten Dienstes zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte;
    • (e) die Einrichtung aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist;”
  • Wenn ein Mitgliedstaat diese Einrichtung als „kritische Einrichtung“ gemäß der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (CER) definiert hat.

Was ist bei wesentlichen und wichtigen Einrichtungen in der NIS-2 anders?

Hier sind die wichtigsten Unterschiede im Umgang mit wesentlichen und wichtigen Einrichtungen in der NIS 2:

  • In Artikel 32 sind für wesentliche Einrichtungen strengere Aufsichts- und Durchsetzungsmaßnahmen vorgesehen als in Artikel 33 für wichtige Einrichtungen.
  • Artikel 34 sieht höhere Geldbußen für wesentliche Einrichtungen vor:
    • Für wesentliche Einrichtungen – die Geldbußen betragen bis zu 10 Millionen Euro oder 2 % des gesamten Jahresumsatzes.
    • Für wichtige Einrichtungen – die Geldbußen betragen bis zu 7 Millionen Euro oder 1,4 % des gesamten Jahresumsatzes.

Viel größere Reichweite als die alte NIS-Richtlinie

Es wird geschätzt, dass mindestens 100 000 Unternehmen die NIS 2 einhalten müssen – das ist eine viel größere Zahl als in der alten NIS-Richtlinie gefordert. Darüber hinaus gilt die NIS 2 auch für wichtige und wesentliche Einrichtungen, die in den EU-Ländern Dienstleistungen erbringen, selbst wenn diese Unternehmen ihren Sitz außerhalb der Europäischen Union haben.

Es wird also viel Arbeit für Cybersicherheitsexperten geben.

Für weitere Informationen über NIS-2 laden Sie dieses kostenlose Whitepaper herunter: Umfassender Leitfaden zur NIS-2-Richtlinie.

Advisera Dejan Kosutic

Dejan Kosutic

Führender Experte für Cybersicherheit und Informationssicherheit und Autor mehrerer Bücher, Artikel, Webinare und Kurse. Als führender Experte gründete Dejan Advisera, um kleinen und mittleren Unternehmen die Ressourcen an die Hand zu geben, die sie benötigen, um die EU-Vorschriften und ISO-Normen einzuhalten. Er ist der Überzeugung, dass die Erstellung leicht verständlicher und einfach zu verwendender Rahmen aus komplexen Rahmenwerken einen Wettbewerbsvorteil für die Kunden von Advisera darstellt und dass die KI-Technologie hierfür entscheidend ist.

Als Experte für ISO 27001 und NIS 2 hilft Dejan Unternehmen, den besten Weg zur Konformität zu finden, indem er den Mehraufwand eliminiert und die Implementierung an die Größe des Unternehmens und die Branchenspezifika anpasst.

Lesen Sie mehr Artikel von Dejan Kosutic