NIS2: Ist mein Unternehmen betroffen?

Die Umsetzungspflichten der bevorstehenden NIS2-Richtlinie rücken näher und bereitet vielen Unternehmen Sorge, denn die Richtlinie bedeutet für mindestens 30.000 Betriebe nicht nur, dass bisherige, mit viel Mühe implementierte Sicherheitskonzepte nochmal genauer betrachtet werden müssen, sondern auch, dass es aktuell zu Ungewissheit darüber kommt, ob man selbst betroffen ist. Deshalb verdient alleine das Thema „Anwendungsbereich NIS2“ unserer Ansicht nach einen eigenen Artikel.

Und keine Sorge, wir sind auch nach dem Lesen dieses Artikels für Sie da …

… und stehen Ihnen zur Seite, wenn Sie vor weiteren Fragen oder Bedenken stehen. Unser Artikel bietet Ihnen hierzu einen Einblick in unseren Beratungsansatz bei CLPdigital, mit dem wir Sie bei der Navigation durch die komplexen Anforderungen der Informationssicherheit begleiten werden.

🔍 Bin ich betroffen?

Die Grundlage für unsere Einschätzung stellt der neueste, 189-seitige Referentenentwurf des Bundesministerium des Innern und für Heimat dar (direkter Link zur PDF), da dieser die letztendliche Umsetzung der Richtlinie in ein nationales Gesetz inklusive der betroffenen Unternehmen beschreibt und somit hierfür die größte Relevanz besitzt, zumal im Gegensatz zur ursprünglichen EU-Richtlinie der Referentenentwurf inhaltlich mehr als doppelt so lang wurde.

Zur Beantwortung der Frage nach der Betroffenheit ist unbedingt zu berücksichtigen, dass eine Zusammenfassung des gesamten 143-seitigen Entwurfes mit der Vielzahl an genannten Kategorien, Summen, Kennzahlen und Fakten es erschwert, eine Antwort zu liefern die als Schablone auf alle oder gar einen großen Teil der Unternehmen gelegt werden kann, weshalb eine individuelle Beratung in diesem Fall der empfohlene Weg ist.

🏢 Unternehmensgruppen in NIS2

Um nun aber einzusteigen, ist zunächst ein Blick in die Begriffsbestimmungen des Entwurfes nötig, wo genau definiert wird, was hinter einigen wiederkehrenden Begriffen für Eigenschaften stecken, darunter:

§2 Absatz 1 Satz 12. – „Großunternehmen“:

  • sind Unternehmen, die MINDESTENS 250 Mitarbeiter beschäftigen ODER
  • einen Jahresumsatz von MINDESTENS 50 Mio. € und ZUDEM eine Jahresbilanzsumme von MINDESTENS 43 Mio. € aufweist.

§2 Absatz 1 Satz 19. – „kritische Anlagen“:

  • sind Anlagen von hoher Bedeutung für die Funktion des Gemeinwesens, da durch deren Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen eintreten würden – konkret geregelt in § 28 Absatz 3 und KRITIS

§2 Absatz 1 Satz 23. – „mittlere Unternehmen“:

  • sind Unternehmen, die MINDESTENS 50 Mitarbeiter UND zudem einen Jahresumsatz von WENIGER als 50 Mio. € ODER eine Jahresbilanzsumme von WENIGER als 43 Mio. € aufweist ODER
  • WENIGER als 50 Mitarbeiter beschäftigt UND einen Jahresumsatz UND eine Jahresbilanzsumme von JEWEILS MINDESTENS 10 Mio. € aufweist.

🌐 Anwendungsbereich

Nachdem wir diese Begrifflichkeiten zugeordnet haben, können wir uns nun mit dem Anwendungsbereich im Entwurf (§ 28) befassen, der regeln soll, wer konkret betroffen sein wird. Allerdings geht es auch dort mit Begriffsdefinitionen weiter, die mit denen zuvor verschachtelt werden, was man nicht aus dem Blick verlieren darf, darunter:

  • Besonders wichtige Einrichtungen sind u.a.
  1. sowohl „Großunternehmen“, die den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Business) oder Weltraum zuzuordnen sind, als auch
  2. unabhängig der Größe Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter, als auch
  3. „mittlere Unternehmen“, die Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen ist.
  • Kritische Anlagen sind u.a.
  1. Anlagen, die den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung angehören ODER
  2. Anlagen, die Schwellenwerte gemäß § 57 Absatz 1 überschreiten – sprich Unternehmen, für die die KRITIS-Verordnung gilt.
  • Wichtige Einrichtungen sind u.a.
  1. sowohl „mittlere Unternehmen“, die den Sektoren Energie, Transport und Verkehr, Finanz und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten (Business-to-Business) oder Weltraum zuzuordnen sind, ODER
  2. „mittlere Unternehmen“ oder „Großunternehmen“, die den Sektoren Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung zuzuordnen sind ODER
  3. Vertrauensdiensteanbieter

🏭 Die Sektoren

Die in der Definition der Einrichtungen genannten Sektoren werden in der Anlage 1 (Sektoren besonders wichtiger und wichtiger Einrichtungen) noch weiter im Detail beschrieben und in Teilsektoren aufgeschlüsselt.

Für „Besonders wichtige Einrichtungen“ sind dies folgende:

  • ⚡️ Energie (Betrifft „Großunternehmen“): Stromversorgung, Fernwärme/-kälte ,Kraftstoff/Heizöl, Gas
  • 🚆✈️🚢🚗 Transport und Verkehr (Betrifft „Großunternehmen“): Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
  • 💰🏦 Finanzen und Versicherung (Betrifft „Großunternehmen“): Banken, Finanzmärkte
  • 🏥💊🧬 Gesundheit (Betrifft „Großunternehmen“): Dienstleistungen, Referenzlabore, F&E, Pharma, Medizinprodukte
  • 🚰💧 Trinkwasser & Abwasser (Betrifft „Großunternehmen“)
  • 💻📡 IT & TK (Betrifft „Großunternehmen“): IXPs, Cloud Provider, RZ-Dienste, CDNs, e-Kommunikation, Managed Services, Security Services
  • Größenunabhängig: Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
  • 🛰️ Weltraum (Betrifft „Großunternehmen“): Betreiber von Bodeninfrastrukturen

Für „Wichtige Einrichtungen“ sind die Teilsektoren:

  • ⚡️ Energie (Betrifft „mittlere Unternehmen“): Stromversorgung, Fernwärme/-kälte ,Kraftstoff/Heizöl, Gas
  • 🚆✈️🚢🚗 Transport und Verkehr (Betrifft „mittlere Unternehmen“): Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
  • 📦 Post und Kurier (Betrifft „mittlere Unternehmen“ und „Großunternehmen“)
  • 💰🏦 Finanzen und Versicherung (Betrifft „mittlere Unternehmen“): Banken, Finanzmärkte
  • 💊🧬 Gesundheit (Betrifft „mittlere Unternehmen“): Dienstleistungen, Referenzlabore, F&E, Pharma, Medizinprodukte
  • 🚰💧 Trinkwasser & Abwasser (Betrifft „mittlere Unternehmen“)
  • 💻📡 IT & TK (Betrifft „mittlere Unternehmen“): IXPs, Cloud Provider, RZ-Dienste, CDNs, e-Kommunikation, Managed Services, Security Services
  • Größenunabhängig: Vertrauensdienste
  • 🛒📱 Digitale Dienste (Betrifft „mittlere Unternehmen“ und „Großunternehmen“): Marktplätze, Suchmaschinen, soziale Netzwerke
  • 🍎🥫 Lebensmittel (Betrifft „mittlere Unternehmen“ und „Großunternehmen“): Großhandel, Produktion, Verarbeitung
  • ♻️🗑️ Entsorgung (Betrifft „mittlere Unternehmen“ und „Großunternehmen“): Abfallbewirtschaftung
  • 🔧💡 Verarbeitende Gewerbe (Betrifft „mittlere Unternehmen“ und „Großunternehmen“): Medizin/Diagnostika, Maschinenbau, Kraftfahrzeugteilehersteller, Fahrzeugbau
  • ⚗️🏭 Chemie (Betrifft „mittlere Unternehmen“ und „Großunternehmen“): Handel und Produktion
  • 🔬🧪 Forschung (Betrifft „mittlere Unternehmen“ und „Großunternehmen“): Forschungseinrichtungen

Aus den oben beschriebenen Eigenschaften lässt sich maßgeblich ableiten, welche Kombination aus Mitarbeiterzahl, Jahresumsatz, Bilanzsumme sowie Sektor bzw. Teilsektor die Einstufung eines Unternehmens in welche Einrichtungsart bedeuten.

Auf Basis der passenden Einstufung lassen sich nun konkrete Maßnahmen oder Pflichten ermitteln, die für die jeweiligen Einrichtungen gelten (z.B. § 32 Absatz 1 – Meldepflichten für „besonders wichtige Einrichtungen„).

Einstufung von Unternehmen anhand von Beispielen

High Tech Solutions AG

Unternehmensbeschreibung: High Tech Solutions AG ist ein IT-Dienstleister, der Managed Services und Cloud-Hosting-Lösungen anbietet. Das Unternehmen hat:

  • 300 Mitarbeiter
  • Einen Jahresumsatz von 60 Mio. €
  • Eine Jahresbilanzsumme von 50 Mio. €

⚠️ Einstufung gemäß NIS2 Entwurf:

  • Größe: Großunternehmen (da es mindestens 250 Mitarbeiter beschäftigt und die finanziellen Kriterien erfüllt).
  • Sektor: Informationstechnik und Telekommunikation (IT & TK), da es Managed Services und Cloud-Hosting-Lösungen anbietet.

Bewertung: High Tech Solutions AG fällt unter die Kategorie der „besonders wichtigen Einrichtungen“, da es ein Großunternehmen ist, das in den IT & TK-Sektor fällt.

WaterSafe GmbH

Unternehmensbeschreibung: WaterSafe GmbH ist ein regionaler Anbieter für Trinkwasseraufbereitung und -versorgung. Das Unternehmen hat:

  • 60 Mitarbeiter
  • Einen Jahresumsatz von 8 Mio. €
  • Eine Jahresbilanzsumme von 6 Mio. €

⚠️ Einstufung gemäß NIS2 Entwurf:

  • Größe: Mittleres Unternehmen (da es mindestens 50 Mitarbeiter hat, aber einen Jahresumsatz von weniger als 50 Mio. € und eine Jahresbilanzsumme von weniger als 43 Mio. €).
  • Sektor: Trinkwasser, da es in der Trinkwasserversorgung tätig ist.

Bewertung: WaterSafe GmbH fällt unter die Kategorie der „wichtigen Einrichtungen“, da es ein mittleres Unternehmen im Trinkwassersektor ist.

✅ Fazit

Wir kennen Ihre Bedenken hinsichtlich der neuen Regelung und möchten Sie auf Ihrem Weg begleiten – Sie sind nicht alleine.

Nehmen Sie deshalb noch heute mit unseren Informationssicherheitsspezialisten Kontakt unter [email protected] auf, sodass wir genau diese Aspekte gemeinsam mit Ihnen durchleuchten, Ihre Infrastruktur analysieren, Ihre konkreten Anforderungen ermitteln und daraus ein Konzept erstellen, mit dem Sie bestmöglich auf NIS2 vorbereitet sind.