Die NIS 2-Richtlinie enthält eine klare Liste aller Sektoren und Teilsektoren (Branchen), die diese europäische Cybersicherheitsrichtlinie einhalten müssen. Allerdings gibt es viele Ausnahmen und die Abgrenzung zwischen wesentlichen und wichtigen Einrichtungen ist nicht ganz einfach zu verstehen – in diesem Artikel gebe ich eine klare Erläuterung, wer in welchem Status konform sein muss.
Mittlere und große Unternehmen aus den folgenden Sektoren müssen die NIS-2 einhalten: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (Business-to-Business), öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung.
Kriterien, die bestimmen, welche Unternehmen die NIS-2 einhalten müssen
Es gibt drei allgemeine Kriterien, die festlegen, welche Organisationen die NIS 2 einhalten müssen:
- 1) Standort – wenn sie in einem beliebigen Land der Europäischen Union Dienstleistungen erbringen oder Tätigkeiten ausüben (unabhängig davon, ob sie ihren Sitz in der EU haben oder nicht) und
- 2) Größe – wenn sie als mittelgroße oder große Organisationen eingestuft werden (siehe die Kriterien im folgenden Abschnitt) und
- 3) Branche – wenn sie in einem in der nachstehenden Tabelle aufgeführten 18 Sektoren tätig sind.
Es gibt jedoch einige Ausnahmen von diesen Regeln – siehe Tabelle im nachstehenden Abschnitt für weitere Erläuterungen.
Was sind wesentliche und wichtige Einrichtungen?
„Wesentliche Einrichtungen“ und „wichtige Einrichtungen“ – so werden in der NIS 2 Unternehmen und andere Organisationen bezeichnet, die die NIS 2 einhalten müssen.
Die NIS 2 definiert wesentliche Unternehmen wie folgt:
- Unternehmen, die als Großunternehmen eingestuft werden (siehe die Kriterien im nächsten Abschnitt) und zu einem der 11 kritischen Sektoren gehören (siehe Tabelle unten)
- Anbieter von Vertrauensdiensten
- Anbieter von DNS-Diensten
- Öffentliche elektronische Kommunikationsnetze
- Einrichtungen der öffentlichen Verwaltung
- Alle kritischen Einrichtungen gemäß der Richtlinie über die Resilienz kritischer Einrichtungen (CER) (EU) 2022/2557
- Andere von den Mitgliedstaaten festgelegte Einrichtungen.
Wichtige Einrichtungen sind alle anderen Organisationen, die nicht als wesentliche Einrichtungen eingestuft sind, aber unter die drei im vorherigen Abschnitt genannten Kriterien fallen.
Aufschlüsselung der Sektoren und wesentlichen und wichtigen Einrichtungen
Da die obige Erklärung aus der NIS 2 etwas verwirrend ist, habe ich die folgende Tabelle erstellt, um zu zeigen, welche Organisationen die NIS 2 einhalten müssen und ob sie als wesentliche oder wichtige Einrichtungen eingestuft werden.
Zur Verdeutlichung wird hier aufgeführt, wie die EU Unternehmen nach ihrer Größe einstuft:
- Kleinst- und kleine Organisationen – wenn sie weniger als 50 Mitarbeiter und weniger als 10 Millionen Euro Jahresumsatz haben,
- mittelgroße Unternehmen – mit 50 bis 250 Mitarbeitern und einem Jahresumsatz von 10 bis 50 Millionen Euro,
- große Unternehmen – mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mehr als 50 Millionen Euro.
Sektor | Teilsektor | Art der Einrichtung | Kleinst- und kleine Organisationen* | Mittelgroße Organisationen | Große Organisationen |
Sektoren mit hoher Kritikalität | |||||
1. Energie | (a) Elektrizität | Elektrizitäts- unternehmen, die die Funktion der „Versorgung“ wahrnehmen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
Betreiber von Verteilernetzen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Betreiber von Übertragungs- netzen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Erzeuger | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Nominierte Strommarkt- betreiber Marktteilnehmer Betreiber von Ladepunkten |
(NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
(b) Fernwärme und -kälte | Betreiber von Fernwärme und -kälte | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | |
(c) Erdöl | Betreiber von Erdölfern- leitungen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | |
Betreiber von Erdölförder-, Raffinerie- und Aufbereitungs- anlagen sowie von Anlagen zur Lagerung und Übertragung von Öl | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Zentrale Lagerein- richtungen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
(d) Erdgas | Versorgungs- unternehmen |
(NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | |
Betreiber von Verteilernetzen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Betreiber von Übertragungs- netzen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Betreiber von Speicheranlagen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Betreiber von LNG-Anlagen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Erdgas- unternehmen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Betreiber von Erdgasraffinerien und -aufbereitungs- anlagen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
(e) Wasserstoff | Betreiber von Anlagen zur Erzeugung, Speicherung und Übertragung von Wasserstoff | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | |
2.Verkehr | (a) Luftverkehr | Gewerblich genutzte Luftfahrt- unternehmen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
Flughafen -leitungsorgane, Flughäfen, einschließlich der Kernflughäfen und Stellen, die Nebenanlagen von Flughäfen betreiben |
(NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Betreiber von Verkehrs- management- kontrolldiensten, die Flugverkehrs- kontrolldienste (ATC) erbringen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
(b) Schienenverkehr | Infrastruktur- betreiber | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | |
Eisenbahn- unternehmen, einschließlich Betreiber von Serviceein- richtungen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
(c) Schifffahrt | Binnen-, See- und Küstenschiff- fahrts- unternehmen für den Personen- und Güterverkehr, ohne die von diesen Unternehmen betriebenen Einzelschiffe | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | |
Leitungsorgane von Häfen, einschließlich ihrer Hafenanlagen, und Stellen, die in den Häfen befindliche Bauwerke und Ausrüstungen betreiben | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Betreiber von Schiffsverkehrs- diensten (VTS) | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
(d) Straßenverkehr | Straßenverkehrs- behörden, die für die Kontrolle des Verkehrs- managements zuständig sind, mit Ausnahme öffentlicher Einrichtungen, für die das Verkehrs- management oder der Betrieb intelligenter Verkehrs- systeme einen nicht wesentlichen Teil ihrer allgemeinen Tätigkeit ausmacht | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | |
Betreiber von intelligenten Verkehrs- systemen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
3. Bankwesen | (Teilsektor nicht angegeben) | Kreditinstitute | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
4. Finanzmarkt- infrastrukturen |
(Teilsektor nicht angegeben) | Betreiber von Handelsplätzen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
Zentrale Gegenparteien | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
5. Gesundheits- wesen |
(Teilsektor nicht angegeben) | Dienstleister im Gesundheits- wesen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
EU-Referenz- laboratorien | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Einrichtungen, die Forschung und Entwicklung von Arzneimitteln betreiben Einrichtungen, die pharmazeutische Grundstoffe und pharmazeutische Zubereitungen herstellen Einrichtungen, die Medizinprodukte herstellen, die bei Notlagen im Bereich der öffentlichen Gesundheit als kritisch gelten (Liste der kritischen Produkte für Notlagen im Bereich der öffentlichen Gesundheit) | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
6. Trinkwasser | (Teilsektor nicht angegeben) | Lieferanten und Unternehmen zur Versorgung von Wasser für den menschlichen Gebrauch, mit Ausnahme von Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit des Vertriebs anderer Rohstoffe und Güter ist | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
7. Abwasser | (Teilsektor nicht angegeben) | Unternehmen, die kommunales, häusliches oder industrielles Abwasser sammeln, entsorgen oder behandeln, mit Ausnahme von Unternehmen, für die das Sammeln, Entsorgung oder Behandeln von kommunalem, häuslichem oder industriellem Abwasser ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
8. Digitale Infrastruktur | (Teilsektor nicht angegeben) | Betreiber von Internet-Knoten | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
Anbieter von DNS-Diensten, ausgenommen Betreiber von Root-Namenservern | Wesentliche Einrichtung | Wesentliche Einrichtung | Wesentliche Einrichtung | ||
TLD- Namenregister | Wesentliche Einrichtung | Wesentliche Einrichtung | Wesentliche Einrichtung | ||
Dienstleistungen zur Registrierung von Domänennamen | Wichtige Einrichtung | Wichtige Einrichtung | Wichtige Einrichtung | ||
Anbieter von Cloud-Computing-Diensten | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Anbieter von Rechenzentrums- diensten | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Betreiber von Inhalts- zustellnetzen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung | ||
Vertrauens- diensteanbieter | Wesentliche Einrichtung | Wesentliche Einrichtung | Wesentliche Einrichtung | ||
Anbieter von öffentlichen elektronischen Kommunikations- netzen | Wichtige Einrichtung | Wesentliche Einrichtung | Wesentliche Einrichtung | ||
Anbieter von öffentlich zugänglichen elektronischen Kommunikations- diensten | Wichtige Einrichtung | Wesentliche Einrichtung | Wesentliche Einrichtung | ||
9. Verwaltung von IKT-Diensten (Business-to-Business) | (Teilsektor nicht angegeben) | Anbieter verwalteter Dienste Anbieter verwalteter Sicherheits- dienste | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
10. Öffentliche Verwaltung | (Teilsektor nicht angegeben) | Einrichtungen der öffentlichen Verwaltung von Zentral- regierungen entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht | Wesentliche Einrichtung | Wesentliche Einrichtung | Wesentliche Einrichtung |
Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene entsprechend der Definition eines Mitgliedstaats gemäß nationalem Recht | Wesentliche Einrichtung | Wesentliche Einrichtung | Wesentliche Einrichtung | ||
Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene | (falls ein Mitgliedstaat dies beschließt) | (falls ein Mitgliedstaat dies beschließt) | (falls ein Mitgliedstaat dies beschließt) | ||
11. Weltraum | (Teilsektor nicht angegeben) | Betreiber von Boden- infrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraum- gestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikations- netze | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wesentliche Einrichtung |
Sonstige kritische Sektoren | |||||
1. Post- und Kurierdienste | (Teilsektor nicht angegeben) | Anbieter von Postdiensten, einschließlich Anbieter von Kurierdiensten | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung |
2. Abfall- bewirtschaftung |
(Teilsektor nicht angegeben) | Unternehmen der Abfallbewirt- schaftung, ausgenommen Unternehmen, für die Abfallbewirt- schaftung nicht ihre Hauptwirtschafts- tätigkeit ist | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung |
3. Produktion, Herstellung und Handel mit chemischen Stoffen | (Teilsektor nicht angegeben) | Unternehmen, die Stoffe herstellen und mit Stoffen oder Gemischen handeln und Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen produzieren | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung |
4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln | (Teilsektor nicht angegeben) | Lebensmittel- unternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung |
5. Verarbeitendes Gewerbe | (a) Herstellung von Medizinprodukten und In-vitro-Diagnostika | Einrichtungen, die Medizinprodukte und Einrichtungen, die In-vitro-Diagnostika herstellen, mit Ausnahme von Einrichtungen, die Medizinprodukte herstellen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung |
(b) Herstellung von Datenverarbeitungs- geräten, elektronischen und optischen Erzeugnissen |
Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung | |
(c) Herstellung von elektrischen Ausrüstungen | Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung | |
(d) Maschinenbau | Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung | |
(e) Herstellung von Kraftwagen und Kraftwagenteilen | Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung | |
(f) sonstiger Fahrzeugbau | Unternehmen, die eine der Wirtschafts- tätigkeiten ausüben | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung | |
6. Anbieter digitaler Dienste | (Teilsektor nicht angegeben) | Anbieter von Online-Marktplätzen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung |
Anbieter von Online-Suchmaschinen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung | ||
Anbieter von Plattformen für Dienste sozialer Netzwerke | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung | ||
7. Forschung | (Teilsektor nicht angegeben) | Forschungs- einrichtungen | (NIS 2-Konformität nicht erforderlich) | Wichtige Einrichtung | Wichtige Einrichtung |
Bildungs- einrichtungen, insbesondere wenn sie kritische Forschungs- tätigkeiten durchführen | (falls ein Mitgliedstaat dies beschließt) | (falls ein Mitgliedstaat dies beschließt) | (falls ein Mitgliedstaat dies beschließt) |
*Kleinst- und Kleinunternehmen unterliegen in den folgenden Fällen auch der Einhaltung von NIS 2:
- Wenn gemäß NIS-2 Artikel 2 Absatz 2:
- “(b) es sich bei der Einrichtung in einem Mitgliedstaat um den einzigen Anbieter eines Dienstes handelt, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist;
- (c) sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;
- (d) eine Störung des von der Einrichtung erbrachten Dienstes zu einem wesentlichen Systemrisiko führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte;
- (e) die Einrichtung aufgrund der besonderen Bedeutung, die sie auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat hat, kritisch ist;”
- Wenn ein Mitgliedstaat diese Einrichtung als „kritische Einrichtung“ gemäß der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (CER) definiert hat.
Was ist bei wesentlichen und wichtigen Einrichtungen in der NIS-2 anders?
Hier sind die wichtigsten Unterschiede im Umgang mit wesentlichen und wichtigen Einrichtungen in der NIS 2:
- In Artikel 32 sind für wesentliche Einrichtungen strengere Aufsichts- und Durchsetzungsmaßnahmen vorgesehen als in Artikel 33 für wichtige Einrichtungen.
- Artikel 34 sieht höhere Geldbußen für wesentliche Einrichtungen vor:
- Für wesentliche Einrichtungen – die Geldbußen betragen bis zu 10 Millionen Euro oder 2 % des gesamten Jahresumsatzes.
- Für wichtige Einrichtungen – die Geldbußen betragen bis zu 7 Millionen Euro oder 1,4 % des gesamten Jahresumsatzes.
Viel größere Reichweite als die alte NIS-Richtlinie
Es wird geschätzt, dass mindestens 100 000 Unternehmen die NIS 2 einhalten müssen – das ist eine viel größere Zahl als in der alten NIS-Richtlinie gefordert. Darüber hinaus gilt die NIS 2 auch für wichtige und wesentliche Einrichtungen, die in den EU-Ländern Dienstleistungen erbringen, selbst wenn diese Unternehmen ihren Sitz außerhalb der Europäischen Union haben.
Es wird also viel Arbeit für Cybersicherheitsexperten geben.
Alle Dokumente, die für die Einhaltung der NIS 2-Richtlinie erforderlich sind, finden Sie in diesem NIS 2-Dokumentations-Toolkit, das alle Politiken, Verfahren, Pläne und andere Vorlagen enthält.