Cybersecurity, Datensicherheit

NIS-2-Richtlinie: Sind Sie betroffen? Erfahren Sie, was wichtig ist für Ihr Unternehmen.

NIS2 Directive: Who Needs to Comply?

Nicht sicher, ob Ihr Unternehmen unter NIS-2 fällt? Sie sind nicht allein!

In diesem Artikel erfahren Sie, welche Sektoren betroffen sind, wie Sie feststellen können, ob Ihr Unternehmen betroffen ist und was der Unterschied zwischen „wesentlichen“ und „wichtigen“ Sektoren ist.

NIS-2 legt genau fest, welche Sektoren die Vorschriften einhalten müssen, aber es gibt auch einige Ausnahmen, die es schwierig machen festzustellen, ob Ihr Unternehmen in den von der Richtlinie abgedeckten Bereich fällt. Die größte Herausforderung? Zu wissen, ob man in die Kategorie „wesentlich“ oder „wichtig“ fällt.

Welche Sektoren sind von der NIS-2 betroffen?

In der NIS-2-Richtlinie sind 18 kritische Sektoren definiert, die weiter in die Kategorien „wesentlich“ und „wichtig“ eingeteilt sind.

Wesentliche Sektoren

Diese 11 Sektoren bilden das Rückgrat unserer Gesellschaft. Eine Störung in einem dieser Sektoren könnte schwerwiegende Folgen haben, weshalb sich die NIS-2 auf die Cybersicherheit in diesen Sektoren konzentriert.

  1. Energie
  2. Verkehr
  3. Bankwesen
  4. Finanzmarktinfrastruktur
  5. Gesundheitswesen
  6. Trinkwasserversorgung
  7. digitale Infrastruktur
  8. Abwasser (neu)
  9. IKT-Dienste Management (Business-to-Business) (neu)
  10. öffentliche Verwaltung (neu)
  11. Luft- und Raumfahrt (neu)

Wichtige Sektoren:

Auch wenn diese Sektoren nicht als „essentiell “ angesehen werden, sind sie von entscheidender Bedeutung für die Wirtschaft und die öffentliche Sicherheit. Die NIS-2 stellt daher sicher, dass auch sie abgedeckt sind.

  1. Post- und Kurierdienste (neu)
  2. Abfallwirtschaft (neu)
  3. Herstellung, Produktion und Vertrieb von Chemikalien (neu)
  4. Herstellung, Verarbeitung und Vertrieb von Lebensmitteln (neu)
  5. Verarbeitendes Gewerbe (neu)
  6. Digitale Anbieter (neu)
  7. Forschung (neu)

Welche Kriterien bestimmen, ob ein Unternehmen NIS-2-konform sein muss?

Um herauszufinden, ob NIS-2 für Sie gilt, müssen Sie drei Dinge beachten:

  • wo Ihr Unternehmen tätig ist
  • die Größe Ihres Unternehmens,
  • und die Branche, in der Sie tätig sind.

1. Standort des Unternehmens:

Die NIS-2 gilt nicht nur für Unternehmen mit Sitz in der EU. Wenn Sie in einem beliebigen EU-Land Dienstleistungen erbringen oder ein Unternehmen betreiben, könnte diese Richtlinie auch für Sie gelten, unabhängig davon, wo sich Ihr Hauptsitz befindet.

2. Größe des Unternehmens:

Ob groß oder klein, die NIS-2 könnte sich auf Ihr Unternehmen auswirken. Während sich die Richtlinie auf große und mittlere Unternehmen konzentriert, gibt es bestimmte Fälle, in denen auch kleine Unternehmen in den Anwendungsbereich der neuen Richtlinie fallen.

Große Unternehmen

Wenn wir von Großunternehmen sprechen, meinen wir Unternehmen mit mehr als 250 Mitarbeitern und einem Umsatz von über 50 Millionen Euro. Wenn dies auf Sie zutrifft, sollten Sie sich unbedingt mit NIS-2 befassen.

Mittelgroße Unternehmen

Wenn Ihr Unternehmen zwischen 50 und 250 Mitarbeiter und einen Jahresumsatz zwischen 10 und 50 Millionen Euro hat, sollten Sie sich ernsthaft mit NIS-2 befassen.

Kleine und Kleinstunternehmen

Auch wenn Ihr Unternehmen klein ist, kann die NIS-2 gelten. Es gibt bestimmte Fälle, in denen dies der Fall ist, zum Beispiel wenn Sie der einzige Anbieter einer wichtigen Dienstleistung sind. (Siehe unten.)

3. Wirtschaftssektor:

Unternehmen, die in einem der 1′ kritischen Sektoren tätig sind, die als „bedeutend“ oder „wichtig“ definiert sind (wie oben aufgeführt).

Es gibt besondere Fälle, in denen auch Klein- und Kleinstunternehmen der NIS-2 unterliegen können.

  • Wenn das Unternehmen der einzige Erbringer einer Dienstleistung ist, die als wesentlich für den Betrieb wichtiger sozialer oder finanzieller Aktivitäten angesehen wird;
  • wenn ein Mitgliedstaat die betreffende Einrichtung als „kritische Einrichtung“ gemäß der Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER) (EU) 2022/2557 bezeichnet hat.
  • Darüber hinaus müssen einige Anbieter digitaler Dienste die NIS-2 unabhängig von ihrer Größe einhalten.

Was ist der Unterschied zwischen einer „wesentlichen“ und einer „wichtigen“ Einrichtung?

Wesentliche Einrichtungen

Hierbei handelt es sich um große Unternehmen, die in einem der 11 kritischen Sektoren tätig sind, z. B. Energie, Verkehr oder Gesundheitswesen. Wenn dies auf Ihre Organisation zutrifft, stehen Sie im Rampenlicht der NIS-2.

Wesentliche Einrichtungen sind nach der NIS-2:

  • Unternehmen, die als Großunternehmen eingestuft werden und in einem der 11 kritischen Sektoren (wie oben aufgeführt) tätig sind.
  • Vertrauens Diensteanbieter
  • NS-Dienstleister
  • Öffentliche elektronische Kommunikationsnetze
  • Organisationen der öffentlichen Verwaltung
  • Alle kritischen Einrichtungen im Sinne der Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER) (EU) 2022/2557
  • Andere von den Mitgliedstaaten benannte Stellen

Wichtige Einrichtungen

Wenn Ihr Unternehmen nicht in die Kategorie „bedeutend“ fällt, können Sie dennoch als „wichtige“ Einrichtung im Rahmen der NIS-2 eingestuft werden. Dies bedeutet, dass Ihr Unternehmen bestimmte Kriterien in Bezug auf Standort, Größe und Sektor erfüllt. Auch wenn Sie also nicht als „bedeutend“ eingestuft sind, gelten die Regeln dennoch.

Wie wirkt sich die NIS-2 auf „wesentliche“ und „wichtige“ Einrichtungen aus?

Hier sind die Hauptunterschiede:

  • Wenn Ihr Unternehmen als „wesentlich“ eingestuft wird, können Sie mit strengeren Vorschriften und mehr Überwachung rechnen als bei „wichtigen“ Unternehmen. Der Unterschied liegt darin, wie bedeutend Ihre Dienstleistungen für die Gesellschaft sind.
  • Höhere Geldbußen für „wichtige“ Unternehmen:
    • Die Geldbußen für „wichtige“ Unternehmen sind hoch: Sie können bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes betragen.
    • Auch „wichtige“ Unternehmen kommen nicht ungeschoren davon: Die Geldbußen können bis zu 7 Millionen Euro oder 1,4 % des Umsatzes betragen.

Sie wissen nicht, wo Sie mit der Einhaltung der NIS 2 beginnen sollen?

Lassen Sie uns darüber sprechen! Wir helfen Ihnen, herauszufinden, was zu tun ist, damit Ihr Unternehmen sicher ist. Fordern Sie eine kostenlose Beratung an und wir führen Sie durch den Prozess.

Veranlassen Sie noch heute unser IT-Audit und machen Sie den ersten Schritt zu einer stabileren IT-Infrastruktur. Nutzen Sie unser Kontaktformular oder rufen Sie uns unter +43 1 22 66 22 66 an, um einen Termin für ein Audit zu vereinbaren.

Möchten Sie mehr über NIS-2 erfahren?

Lesen Sie unseren Hauptartikel über NIS-2:

NIS-2: Was jedes Unternehmen wissen muss.

Weitere Ressourcen:

Um informiert und geschützt zu bleiben, lesen Sie unsere weiteren Artikel über Trends und bewährte Verfahren im Bereich Cybersicherheit.

Mauro Caprioli