Sind Sie betroffen? Ein praktischer Leitfaden zu NIS2 „Besonders wichtigen“ vs. „Wichtigen“ Einrichtungen

Die NIS2-Richtlinie erweitert den Anwendungsbereich der europäischen Einrichtungen, die ihre Cybersicherheitsposition stärken müssen, erheblich. Für CISOs, IT-Leiter und Compliance Officer ist die definitive Feststellung, ob Ihre Organisation unter NIS2 fällt – und insbesondere welcher Kategorie – der entscheidende erste Schritt zur Compliance. Eine Fehlinterpretation Ihres Status kann zu schwerwiegenden Strafen, operativen Störungen und Reputationsschäden führen.

Dieser Leitfaden durchbricht die Komplexität der NIS2-Richtlinie und bietet einen klaren, umsetzbaren Rahmen für die Selbstbewertung. NIS2 geht über den traditionellen Fokus auf Betreiber wesentlicher Dienste (OES) der ursprünglichen NIS-Richtlinie hinaus. Sie umfasst nun ein breiteres Spektrum von Sektoren und digitalen Dienstanbietern mit expliziten Kriterien für die Klassifizierung. Das Verständnis dieser Unterscheidungen dient nicht nur der Vermeidung von Bußgeldern; es geht darum, Ihre Cyberresilienz in einer zunehmend vernetzten und bedrohten digitalen Landschaft proaktiv zu stärken.

Das Kernprinzip: Proportionalität in der Cybersicherheit

Im Kern wendet NIS2 das Prinzip der Proportionalität auf Cybersicherheitsverpflichtungen an. Während alle betroffenen Einrichtungen robuste Maßnahmen für das Cybersicherheits-Risikomanagement implementieren müssen, unterscheidet sich das Niveau der Aufsicht und die potenziellen Strafen je nach Kritikalität einer Organisation für Wirtschaft und Gesellschaft. Die Richtlinie kategorisiert Einrichtungen in zwei Haupttypen: „Besonders wichtige Einrichtungen“ und „Wichtige Einrichtungen“.

Es ist von entscheidender Bedeutung zu verstehen, dass diese Unterscheidung primär die Aufsicht und Durchsetzung betrifft, nicht aber den Inhalt der erforderlichen Sicherheitsmaßnahmen. Sowohl besonders wichtige als auch wichtige Einrichtungen müssen einen umfassenden Satz von Maßnahmen für das Cybersicherheits-Risikomanagement ergreifen. Dazu gehören unter anderem Richtlinien zur Risikoanalyse und Informationssystemsicherheit, Vorfallsbewältigung, Geschäftskontinuität, Sicherheit der Lieferkette und die Nutzung von Multi-Faktor-Authentifizierung.

Die Hauptunterschiede liegen in:

  • Aufsicht: Besonders wichtige Einrichtungen unterliegen einer strengeren, proaktiven Aufsicht durch nationale Behörden, einschließlich regelmäßiger Audits und Inspektionen. Wichtige Einrichtungen unterliegen einer leichteren, reaktiven Aufsicht, bei der die Behörden primär nach einem Vorfall oder bei Nachweisen von Nichteinhaltung eingreifen.
  • Strafen: Obwohl beide mit erheblichen Strafen bei Nichteinhaltung rechnen müssen, sind die Höchstbußgelder für besonders wichtige Einrichtungen höher.

Definition von „Besonders wichtigen Einrichtungen“ (Anhang I) mit Sektorbeispielen

Besonders wichtige Einrichtungen sind Organisationen, die in hochkritischen Sektoren tätig sind, bei denen eine Dienstunterbrechung erhebliche grenzüberschreitende oder gesellschaftliche Auswirkungen hätte. Diese Einrichtungen sind in Anhang I der NIS2-Richtlinie aufgeführt und unterliegen dem strengsten Aufsichtsregime. Es handelt sich in der Regel um größere Organisationen, aber spezifische Kriterien können auch kleinere Einrichtungen nach nationalem Recht in diese Kategorie einordnen.

Zu den Hauptmerkmalen besonders wichtiger Einrichtungen gehören:

  • Hohe Abhängigkeit anderer kritischer Sektoren von ihren Diensten.
  • Potenzial für weitreichende Störungen, die die öffentliche Sicherheit, Ordnung oder wirtschaftliche Stabilität beeinträchtigen.
  • Proaktive und umfassende Aufsichtsbefugnisse durch nationale zuständige Behörden (in Deutschland das BSI).

Sektoren, die unter Anhang I (Besonders wichtige Einrichtungen) klassifiziert sind, umfassen:

  • Energie: Elektrizität, Fernwärme und -kühlung, Öl, Gas, Wasserstoff.
    • Beispiele: Stromerzeuger, Übertragungsnetzbetreiber, Gasanbieter, Öl- und Gasexplorations- und -produktionsunternehmen.
  • Verkehr: Luft-, Schienen-, Wasser-, Straßenverkehr.
    • Beispiele: Fluggesellschaften, Flughafenbetreiber, Eisenbahnunternehmen, Hafenbehörden, Seeverkehrsdienste, Verkehrsmanagementbehörden.
  • Bankwesen: Kreditinstitute.
    • Beispiele: Retailbanken, Investmentbanken.
  • Finanzmarktinfrastrukturen: Handelsplätze, zentrale Gegenparteien.
    • Beispiele: Börsen, Clearingstellen.
  • Gesundheit: Gesundheitsdienstleister.
    • Beispiele: Krankenhäuser, Kliniken, Pharmahersteller, EU-Referenzlabore.
  • Trinkwasser: Lieferanten und Vertreiber von Trinkwasser.
    • Beispiele: Öffentliche und private Wasserversorgungsunternehmen.
  • Abwasser: Sammler und Vertreiber von kommunalem Abwasser.
    • Beispiele: Kläranlagen, Betreiber von Abwassersystemen.
  • Digitale Infrastruktur: DNS-Dienstanbieter, TLD-Namensregister, Cloud-Computing-Dienstanbieter, Rechenzentrumsdienstanbieter, Content-Delivery-Netzwerke, Vertrauensdiensteanbieter, elektronische Kommunikationsnetze und elektronisch bereitgestellte öffentliche Kommunikationsdienste.
    • Beispiele: Große Internetdienstanbieter (ISPs), Cloud-Hyperscaler, große Rechenzentrumsbetreiber, Domainnamen-Registrierstellen.
  • IKT-Dienstleistungsmanagement (B2B): Managed Service Provider (MSPs), Managed Security Service Provider (MSSPs).
    • Beispiele: Unternehmen, die ausgelagertes IT-Infrastrukturmanagement und Cybersicherheitsüberwachungsdienste anbieten.
  • Öffentliche Verwaltung: Zentrale öffentliche Verwaltung, regionale öffentliche Verwaltung.
    • Beispiele: Ministerien, regionale Verwaltungsbehörden. (Ausgenommen sind Justiz, Legislative und Zentralbanken).
  • Weltraum: Betreiber bodengestützter Infrastruktur.
    • Beispiele: Satellitenbetreiber, Bodenkontrollzentren.

Eine Nichteinhaltung durch besonders wichtige Einrichtungen kann zu Verwaltungsstrafen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist.

Definition von „Wichtigen Einrichtungen“ (Anhang II) mit Sektorbeispielen

Wichtige Einrichtungen sind in anderen kritischen Sektoren tätig, bei denen eine Störung, obwohl signifikant, möglicherweise nicht die gleiche unmittelbare, weitreichende oder grenzüberschreitende Auswirkung hat wie die von besonders wichtigen Einrichtungen erbrachten Dienste. Diese sind in Anhang II der NIS2-Richtlinie aufgeführt. Sie unterliegen denselben Cybersicherheits-Risikomanagementpflichten wie besonders wichtige Einrichtungen, jedoch mit einem eher reaktiven Aufsichtsansatz.

Zu den Hauptmerkmalen wichtiger Einrichtungen gehören:

  • Dienste, die für bestimmte Segmente der Wirtschaft oder Gesellschaft von entscheidender Bedeutung sind, jedoch möglicherweise über leicht verfügbare Alternativen oder eine stärker lokalisierte Auswirkung verfügen.
  • Reaktiver Aufsichtsansatz, der oft durch Vorfälle oder Beschwerden ausgelöst wird.

Sektoren, die unter Anhang II (Wichtige Einrichtungen) klassifiziert sind, umfassen:

  • Post- und Kurierdienste: Postdienstanbieter.
    • Beispiele: Nationale Postdienste, große private Kurierunternehmen.
  • Abfallwirtschaft: Abfallwirtschaftsunternehmen.
    • Beispiele: Große Unternehmen für Abfallsammlung, -behandlung und -entsorgung.
  • Herstellung bestimmter kritischer Produkte: Medizinprodukte, Computer, Elektronik, optische Produkte, elektrische Geräte, Maschinen, Kraftfahrzeuge, sonstige Transportmittel.
    • Beispiele: Hersteller kritischer medizinischer Geräte, Automobilteile, fortschrittliche Elektronik.
  • Erzeugung, Verarbeitung und Vertrieb von Lebensmitteln: Lebensmittelunternehmen.
    • Beispiele: Groß angelegte Lebensmittelverarbeitungsbetriebe, große Lebensmittelhändler.
  • Digitale Anbieter: Online-Marktplätze, Online-Suchmaschinen, Plattformen für soziale Netzwerke.
    • Beispiele: Große E-Commerce-Plattformen, prominente Suchmaschinen, große soziale Medienplattformen. (Hinweis: Diese unterscheiden sich von der Kategorie „Digitale Infrastruktur“).
  • Forschung: Forschungseinrichtungen.
    • Beispiele: Universitäten, die kritische Forschung betreiben, spezialisierte Forschungsinstitute.

Eine Nichteinhaltung durch wichtige Einrichtungen kann zu Verwaltungsstrafen von bis zu 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist.

Die Größenregeln: Sind Sie ein mittleres oder großes Unternehmen?

Über die sektorspezifischen Klassifizierungen hinaus gilt NIS2 primär für Einrichtungen, die nach EU-Recht als „mittlere“ oder „große“ Unternehmen gelten. Diese Größenregel ist ein entscheidender Filter zur Bestimmung des Geltungsbereichs.

Nach der EU-Definition gilt:

  • Mittleres Unternehmen: Hat weniger als 250 Beschäftigte UND einen Jahresumsatz von höchstens 50 Millionen Euro ODER eine Jahresbilanzsumme von höchstens 43 Millionen Euro.
  • Großes Unternehmen: Hat 250 oder mehr Beschäftigte ODER einen Jahresumsatz von über 50 Millionen Euro UND eine Jahresbilanzsumme von über 43 Millionen Euro.

Wichtige Ausnahmen von der Größenregel:

Selbst wenn eine Einrichtung als „Mikro-“ oder „kleines“ Unternehmen gilt (weniger als 50 Beschäftigte UND Jahresumsatz oder Bilanzsumme von höchstens 10 Millionen Euro), kann sie dennoch in den Anwendungsbereich der NIS2-Richtlinie fallen, wenn sie spezifische Kriterien erfüllt. Dies umfasst:

  • Der einzige Anbieter eines Dienstes in einem Mitgliedstaat zu sein, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten wesentlich ist.
  • Betrieb eines kritischen Dienstes, bei dessen Störung eine erhebliche systemische Auswirkung auftreten könnte.
  • Eine öffentliche Verwaltungseinrichtung (auf zentraler oder regionaler Ebene) zu sein.
  • Eine Einrichtung zu sein, deren Dienste aufgrund ihrer spezifischen Natur kritisch sind, unabhängig von ihrer Größe (z.B. Vertrauensdiensteanbieter, DNS-Dienstanbieter).
  • Einrichtungen, die Teil einer kritischen Lieferkette einer besonders wichtigen oder wichtigen Einrichtung sind.

Nationale Behörden in jedem Mitgliedstaat (in Deutschland das BSI) haben das Ermessen, bestimmte Einrichtungen unabhängig von ihrer Größe als in den Geltungsbereich fallend zu identifizieren und zu benennen, wenn ihre Dienste als wesentlich erachtet werden. Es ist daher entscheidend, die nationalen Umsetzungsgesetze und Leitlinien der nationalen Cybersicherheitsbehörden in Ihren Tätigkeitsländern zu überwachen.

Eine gründliche Selbstbewertung, die sowohl Ihren Sektor als auch Ihre Organisationsgröße sowie eventuelle spezifische nationale Benennungen berücksichtigt, ist für eine genaue Bestimmung des NIS2-Geltungsbereichs unerlässlich.

Wie Nistra Ihnen hilft, Ihren Geltungsbereich zu bestimmen

Die genaue NIS2-Klassifizierung zu bestimmen, kann komplex sein und erfordert eine detaillierte Analyse Ihres Sektors, Ihrer Größe, Ihrer operativen Abhängigkeiten und nationaler Besonderheiten. Fehler bei dieser anfänglichen Bewertung können zu fehlgeleiteten Anstrengungen, Compliance-Lücken oder unnötigem Overhead führen.

Nistras KI-gestützte Plattform vereinfacht diesen kritischen ersten Schritt. Unser NIS2 Compliance Assessment führt Sie durch einen strukturierten Fragebogen, der die neuesten Definitionen der Sektoren in Anhang I und Anhang II, die EU-Größenregeln und wichtige Ausnahmen berücksichtigt. Es nutzt aktuelle Informationen über nationale Umsetzungen, wo verfügbar, und bietet eine klare, evidenzbasierte Bestimmung, ob Ihre Organisation unter NIS2 fällt und ob sie als besonders wichtige oder wichtige Einrichtung klassifiziert ist.

Mit Nistra können Sie:

  • Ein definitives Verständnis Ihres NIS2-Geltungsbereichs und Einrichtungstyps erlangen.
  • Spezifische Kriterien identifizieren, die Ihre Organisation in den Geltungsbereich fallen lassen.
  • Einen maßgeschneiderten Überblick über die anfänglichen Compliance-Anforderungen erhalten, die für Ihre Klassifizierung relevant sind.

Eliminieren Sie Rätselraten und schaffen Sie eine solide Grundlage für Ihre NIS2-Reise.

Kostenloses NIS2-Compliance-Assessment anfordern.

Zitationen:

Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie). Amtsblatt der Europäischen Union. L 333/80. (Zugänglich über EUR-Lex: https://eur-lex.europa.eu/eli/dir/2022/2555/oj)

Bundesamt für Sicherheit in der Informationstechnik (BSI). “Informationen zum NIS2-Umsetzungsgesetz.” (Siehe offizielle BSI-Website für Updates: https://www.bsi.bund.de/)

Europäische Kommission. “Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (2003/361/EG).” (Zugänglich über EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32003H0361)

Agentur der Europäischen Union für Cybersicherheit (ENISA). Offizielle Website und Publikationen. (Siehe www.enisa.europa.eu für relevante Leitlinien.)

Related Posts