Wer ist von NIS 2 betroffen? - Diese Unternehmen müssen handeln

Die NIS 2-Richtlinie der EU erweitert den Kreis der Unternehmen, die Cybersicherheits-Pflichten erfüllen müssen, erheblich.

Aber wer ist von NIS 2 betroffen? Kurz gesagt: vor allem mittelgroße und große Unternehmen aus kritischen Branchen („kritische Infrastrukturen“ und weiteren Sektoren), darunter Energieversorgung, Verkehr, Gesundheitswesen, Finanz- und Digitalwirtschaft.

In Deutschland rechnet man mit rund 30.000 betroffenen Unternehmen - deutlich mehr als die etwa 2.000 KRITIS-Betreiber, die bisher dem IT-Sicherheitsgesetz unterfielen. Im Folgenden geben wir einen Überblick darüber, welche Branchen von NIS 2 konkret erfasst sind und nach welchen Kriterien ein Unternehmen unter den Anwendungsbereich fällt. Außerdem klären wir die Begriffe „wesentliche“ und „wichtige“ Einrichtungen und welche neuen Verpflichtungen diese Unternehmen nun betreffen.

Branchen, die von NIS 2 betroffen sind

Die NIS 2-Richtlinie nennt insgesamt 18 Wirtschaftssektoren, die unter ihren Anwendungsbereich fallen. Die erfassten Branchen unter NIS 2 decken alle klassischen kritischen Infrastrukturen sowie zusätzliche wichtige Industriezweige ab. Kritische Infrastruktur (KRITIS) bezeichnet dabei Einrichtungen, die bei Ausfall „nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen [herbeiführen] würden“ (Bundesinnenministerium, https://www.bmi.bund.de/DE/themen/bevoelkerungsschutz/schutz-kritischer-infrastrukturen/schutz-kritischer-infrastrukturen-node.html, zuletzt aufgerufen am 23.06.2025).

NIS 2 unterteilt die Sektoren in zwei Gruppen: Sektoren von hoher Kritikalität und weitere kritische Sektoren. Erstere entsprechen größtenteils den bisherigen KRITIS-Branchen und werden als „wesentliche Einrichtungen“ eingestuft, während die übrigen Sektoren als „wichtige Einrichtungen“ gelten.

 

Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Zur kritischen Infrastruktur unter NIS 2 zählen insbesondere:

  • Energie - z.B. Elektrizitäts-, Gas-, Öl- und Wärmeversorgung (einschließlich Wasserstoff)
  • Transport und Verkehr - Luftfahrt, Schienenverkehr, Schifffahrt und Straßenverkehr
  • Banken und Finanzmarkt-Infrastrukturen - Kreditinstitute sowie Handelsplätze und Clearingstellen
  • Gesundheitswesen - Versorgungseinrichtungen (Krankenhäuser, Labore), Pharmazeutik, medizinische Forschung und Geräte
  • Trinkwasser - öffentliche Wasserversorgung (Trinkwasseraufbereitung und -Verteilung)
  • Abwasserentsorgung - Abwasserbeseitigung und Kläranlagen
  • Digitale Infrastruktur - z.B. Internet-Knoten (IXP), DNS-Dienste, Register von Top-Level-Domains, Cloud- und Rechenzentrumsanbieter, Content-Delivery-Netzwerke, Anbieter elektronischer Kommunikationsnetze
  • IKT-Dienstleistungsmanagement - IT-Dienstleister im B2B-Bereich, z.B. Managed Service Provider und Managed Security Service Provider
  • Öffentliche Verwaltungen - Zentral- und obere Landesbehörden (staatliche Verwaltung auf zentraler/regionaler Ebene) 1
  • Weltraum-Infrastruktur - Bodengestützte Infrastruktur der Raumfahrt (z.B. Satellitenkontrollzentren)

Hinweis: Für Banken und Versicherungen gilt als branchenspezifischer Sonderfall die parallel erlassene DORA-Verordnung mit noch strengeren Anforderungen, anstelle der direkten Anwendung der NIS 2-Maßnahmen.

Weitere kritische Sektoren (wichtige Einrichtungen)

Daneben definiert NIS 2 weitere kritische Sektoren, die für Wirtschaft und Gesellschaft strategische Bedeutung haben:

  • Post- und Kurierdienste - Post-, Paket- und Lieferdienste (Logistik-Netzwerke)
  • Abfallwirtschaft - Entsorgung und Recycling von Abfällen
  • Chemische Industrie - Herstellung, Produktion und Vertrieb von Chemikalien und Grundstoffen
  • Ernährungs- und Lebensmittelwirtschaft - Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Lebensmittelindustrie und -lieferketten)
  • Herstellendes Gewerbe - große Industrieunternehmen des verarbeitenden Gewerbes, z.B. Maschinen- und Anlagenbau, Fahrzeugbau, Elektronik- und Geräteproduktion
  • Digitale Online-Anbieter - Betreiber von Online-Marktplätzen, Suchmaschinen und sozialen Netzwerken (digitale Plattformdienste)
  • Forschungseinrichtungen - Große Forschungsinstitute außerhalb des Verteidigungsbereichs

Nicht unter NIS 2 fallen ausdrücklich Einrichtungen in den Bereichen Verteidigung, nationale und öffentliche Sicherheit, Strafverfolgung sowie Justiz, Parlamente und Zentralbanken. Öffentliche Verwaltungen auf kommunaler Ebene können von den Mitgliedstaaten optional einbezogen werden.

Kriterien zur Einstufung betroffener Unternehmen

Nicht jedes Unternehmen in den oben genannten Branchen ist automatisch betroffen. Die Betroffenheit von NIS 2 hängt im Wesentlichen von zwei Kriterien ab:

  1. Unternehmensgröße: Die Richtlinie zielt auf mittlere und große Unternehmen ab. Konkret gilt NIS 2 in der Regel für Unternehmen ab 50 Mitarbeitenden oder über 10 Mio. Euro Jahresumsatz und Bilanzsumme. Unternehmen, die diese Schwellen unterschreiten (Kleinst- und Kleinunternehmen), sind überwiegend ausgenommen, um übermäßige Belastungen zu vermeiden. Dieses Prinzip wird als „size-cap-Regel" bezeichnet und entspricht der Definition mittelständischer Unternehmen nach EU-Recht.



  1. Branchensektor: Ein Unternehmen muss einem der 18 relevanten Sektoren (siehe oben) angehören, um unter NIS 2 zu fallen. Ist Ihr Unternehmen im Anwendungsbereich NIS 2 - sprich: gehört es zu einem dieser Sektoren und überschreitet es die Größenschwellen - so wird es als betroffene Einrichtung gelten. Andernfalls fällt es nicht unter den Anwendungsbereich von NIS 2.

 

Alle betroffenen Unternehmen unter NIS 2 werden in eine dieser zwei Kategorien eingeteilt.

Wesentliche Einrichtungen (essential entities) sind die Betreiber in den hochkritischen Sektoren sowie allgemein größere Unternehmen mit hoher gesellschaftlicher oder wirtschaftlicher Relevanz.

Wichtige Einrichtungen (important entities) sind die übrigen erfassten Unternehmen, oft mittelständische Betriebe und wichtige Dienstleister in den kritischen Sektoren.

In der deutschen Umsetzung (NIS 2UmsuCG-Entwurf) wird zur Klarstellung von „wesentlichen Einrichtungen“ auch als „besonders wichtige Einrichtungen“ gesprochen. Beide Kategorien unterliegen Cybersecurity-Pflichten, jedoch in unterschiedlich strengem Ausmaß (siehe unten). So werden z.B. wesentliche Einrichtungen intensiver behördlich überwacht, während wichtige nur anlassbezogen kontrolliert werden.

Jenseits der regulären Grenzwerte kennt NIS 2 Sonderfälle: Einerseits werden bestimmte IT-Dienstleister – etwa Anbieter öffentlicher elektronischer Kommunikationsdienste, Vertrauensdienste für digitale Signaturen oder DNS-Dienste – automatisch als kritische digitale Infrastruktur eingestuft.

Andererseits kann ein kleines Unternehmen auch unter die Richtlinie fallen, wenn es als Alleinanbieter einer kritischen Dienstleistung (z. B. ein kommunaler Fernwärmeversorger) für die Versorgung einer Region essenziell ist – Stichwort „Monopolstellung“.

Unternehmen sollten daher unbedingt ihre NIS 2-Betroffenheit prüfen; das BSI stellt hierfür ein Online-Tool bereit, mit dem sich unverbindlich ermitteln lässt, ob man voraussichtlich in den Anwendungsbereich von NIS 2 fällt.

Haben wir Ihr Interesse geweckt? Holen Sie sich jetzt ein Angebot ein! (Kopie) (Kopie) (Kopie) (Kopie) (Kopie) (Kopie)

Wir unterstützen Sie bei der Analyse und der Entwicklung einer durchgehend sicheren IT-Infrastruktur und sorgen dank modernster Sicherheitstechnik für ein Höchstmaß an Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten.

Kontakt

Konsequenzen für betroffene Unternehmen

Für die als wesentlich oder wichtig eingestuften - und damit betroffenen Unternehmen unter NIS 2 - ergeben sich neue, gesetzlich verpflichtende Maßnahmen im Bereich der IT- und Cyber-Sicherheit. BSI-Präsidentin Claudia Plattner betont, dass künftig rund 29.000 Unternehmen verpflichtet sein werden, sich strukturiert um ihre Cybersicherheit zu kümmern und dies auch nachzuweisen. Konkret müssen betroffene Unternehmen mit Inkrafttreten des NIS 2-Umsetzungsgesetzes unter anderem folgende Pflichten erfüllen:

Zentrale IT-Sicherheits-Pflichten nach NIS 2

Unternehmen, die unter den Anwendungsbereich von NIS 2 fallen, müssen ein umfassendes Cyber-Risikomanagement etablieren, das sowohl technische als auch organisatorische Maßnahmen umfasst. Dazu gehören der konsequente Einsatz starker Kryptografie und Verschlüsselung, Multi-Faktor-Authentifizierung, regelmäßige Sicherheitsupdates sowie belastbare Backup- und Notfallkonzepte; außerdem ist die gesamte Lieferkette einzubeziehen, um Drittanbieter-Risiken proaktiv zu adressieren (Supply-Chain Risk Management (SCRM)). Ergänzend schreibt die Richtlinie strenge Meldepflichten vor: Erhebliche IT-Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung an das BSI bzw. das zuständige Computer Security Incident Response Team (CSIRT) gemeldet werden; spätestens nach weiteren 72 Stunden ist ein ausführlicher Erstbericht nachzureichen, gefolgt von fortlaufenden Status-Updates sowie einem abschließenden Bericht – insgesamt eine deutliche Ausweitung gegenüber den bisherigen KRITIS-Pflichten.

Darüber hinaus verlangt NIS 2 die Registrierung aller wesentlichen und wichtigen Einrichtungen bei der zuständigen Behörde und verpflichtet Sie, regelmäßig Nachweise über die Umsetzung ihrer Sicherheitsmaßnahmen vorzulegen; insbesondere wesentliche Einrichtungen müssen sich auf behördliche Audits einstellen. Eine zentrale Rolle spielt dabei die Management-Verantwortung: Die Geschäftsleitung muss Cyber-Risiken überwachen, Sicherheitsstrategien billigen, deren Umsetzung kontrollieren und sich kontinuierlich fortbilden – die Richtlinie verankert somit einen klaren „Tone from the top“.

Aufsicht und Sanktionen bei Verstößen

Die Einhaltung der NIS 2-Vorgaben wird künftig durch Behörden überwacht. Wichtig ist dabei der Unterschied zwischen wesentlichen und wichtigen Einrichtungen:

Wesentliche Einrichtungen unterliegen einer proaktiven, regelmäßigen Aufsicht durch die zuständige Behörde (in Deutschland: BSI),

während wichtige Einrichtungen nur reaktiv, also anlassbezogen, bei Verdacht oder nach Vorfällen geprüft werden.

Kommt ein Unternehmen seinen Pflichten nicht nach, drohen empfindliche Sanktionen. Erstmals führt NIS 2 EU-weit einheitliche Bußgelder für Cybersecurity-Verstöße ein, ähnlich dem Prinzip der DSGVO. Sowohl Verstöße gegen die Sicherheitsmaßnahmen (Art. 21) als auch gegen die Meldepflichten (Art. 23) können geahndet werden. Die maximale Bußgeldhöhe bemisst sich nach der Kritikalität der Einrichtung:

  • Wesentliche Einrichtungen: bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist).
  • Wichtige Einrichtungen: etwas geringerer Rahmen, z.B. bis zu 7 Mio. Euro oder 1,4% des Jahresumsatzes (laut EU-Richtlinie).

Besonders schwere Verstöße - etwa beharrliches Ignorieren behördlicher Anordnungen, Behinderung von Kontrollen oder grob falsche Berichterstattung - werden entsprechend schärfer geahndet. Sollte ein Sicherheitsvorfall auch eine Verletzung des Datenschutzes bedeuten (z.B. Datenpannen), greift zusätzlich die DSGVO mit ihren Bußgeldregelungen, mindestens aber in Höhe des NIS 2-Rahmens.

Unternehmen, die unter NIS 2 fallen, sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen: Dazu gehören die Klärung, ob sie als „wesentlich“ oder „wichtig“ eingestuft werden, der Aufbau beziehungsweise die Erweiterung eines robusten Informationssicherheits-Managementsystems (ISMS) und eine gründliche Vorbereitung auf Melde- und Nachweispflichten. Zwar bedeuten die erweiterten Vorgaben für zahlreiche Branchen und Firmen zusätzlichen Aufwand, sowie mehr Verantwortung, sie stärken jedoch zugleich das Sicherheitsniveau und die Resilienz unserer digitalen Gesellschaft.

Wer jetzt handelt und geeignete Vorkehrungen trifft, vermeidet nicht nur potenzielle Sanktionen, sondern schützt vor allem das eigene Unternehmen wirksam vor Cyberbedrohungen.

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Was ist die Summe aus 3 und 6?

Copyright 2025. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung