NIS2-Betroffenheit: Checkliste zur Ermittlung, ob Ihr Unternehmen unter die NIS2-Regulierung fällt

Die NIS2-Regulierung stellt europaweit verbindliche Anforderungen an die Cybersicherheit. Doch nicht jedes Unternehmen ist automatisch betroffen. Mit der Einführung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) und den Regelungen in §28 BSIG sowie dem Annex wird detailliert definiert, welche Unternehmen den Anforderungen unterliegen. Dieser Artikel liefert einen strukturierten Leitfaden, um die NIS2-Betroffenheit systematisch zu prüfen.

Die Prüfung der NIS2-Betroffenheit ist der erste Schritt zur Einhaltung der neuen Cybersicherheitsvorschriften. Unternehmen, die die Anforderungen nicht erfüllen, riskieren hohe Bußgelder und Reputationsverluste. Gleichzeitig gibt die Prüfung Klarheit darüber, ob und in welchem Umfang Maßnahmen erforderlich sind.

Die folgenden Schritte basieren auf §28 BSIG (neu) sowie den Vorgaben des Annex zum NIS2UmsuCG. Sie bieten eine einfache und systematische Methode, um festzustellen, ob Ihr Unternehmen den Anforderungen der NIS2-Regulierung unterliegt.

Die NIS2-Richtlinie differenziert zwischen zwei Hauptkategorien: wichtige Einrichtungen und besonders wichtige Einrichtungen. Die Schwellenwerte hierfür sind im §28 Abs. 1 BSIG (neu) und im Annex klar festgelegt:

• Wichtige Einrichtungen:
  • Mindestens 50 Mitarbeiter.
  • Jahresumsatz und Bilanzsumme von jeweils über 10 Millionen Euro.
• Besonders wichtige Einrichtungen:
  • Mindestens 250 Mitarbeiter.
  • Jahresumsatz von mehr als 50 Millionen Euro und Bilanzsumme über 43 Millionen Euroder Größe gelten die Anforderungen auch für Unternehmen, die in Sektoren tätig sind, die im Anhang I und II der NIS2 definiert werden.

Unternehmen in spezifischen Sektoren werden von der NIS2-Regulierung unabhängig von ihrer Größe oder Finanzkennzahlen erfasst. Diese Sektoren umfassen unter anderem:

• Energie, Wasser- und Abwasserversorgung.
• Gesundheitswesen, einschließlich medizinischer Referenzlabore.
• Digitale Infrastruktur, z. B. Anbieter von Rechenzentrumsdiensten oder Cloud-Computing.
• Transport und Verkehr, z. B. Schienen- und Straßenverkehr.
• Post- und Kurierdienste .

Beispiel: Einitarbeitern, das kritische IT-Dienste für Energieversorger bereitstellt, kann als wichtig eingestuft werden.

Auch Unternehmen, die indirekt an kritischen Dienstleistungen beteiligt sind, können betroffen sein. Entscheidend ist die Frage, ob ihre Produkte oder Dienstleistungen in kritischen Bereichen eingesetzt werden. Hier spielen insbesondere Zulieferer und Dienstleister für kritische Sektoren eine Rolle.

Beispiel: Ein Hersteller von IT-Komponenten, der Router für Krankenhäuser liefert, unterliegt der NIS2-Regulierung.

Betroffene Unternehmen müssen sich nach §33 BSIG beim BSI registrieren lassen.
Dazu gehört auch die Angabe von Kontaktdaten, unter denen sie 7/24 erreichbar sind.

Unternehmen, die unter die NIS2-Betroffenheit fallen, müssen sich bei der zuständigen Aufsichtsbehörde registrieren und klare Meldewege einrichten. Dies ist geregelt in Art. 23 NIS2-Richtlinie und §32 BSIG.

Diese Meldepflichten umfassen:

• Meldung erheblicher Vorfälle innerhalb von 24 Stunden.
• Aktualisierte Bewertungen innerhalb von 72 Stunden.
• Abschlussberichte innerhalb eines Monats .

1. Mittelständische Unternehmen (KMU): Ein IT-Dienstleister mit 70 Mitarbeitern und einem Umsatz von 12 Millionen Euro könnte betroffen sein, wenn er kritische Dienste für andere Unternehmen bereitstellt.
2. Konzernstrukturen: Wenn ein Teil eines Unternehmens unter die KRITIS-Regelungen fällt, ist nur dieser spezifische Teil betroffen .
3. Nicht direkt KRITIS-relevante Unternehmen: Einnbieter, der Tools für kritische Einrichtungen entwickelt, könnte ebenfalls als relevant eingestuft werden.

1. Analyse der Unternehmensgröße und Finanzkennzahlen: Erfassen Sie Mitarbeiteranzahl, Umsatz und Bilanzsumme.
2. Prüfung der Sektorzugehörigkeit: Überprüfen Sie, ob Ihr Unternehmen zu den im Annex I und II definierten kritischen Sektoren gehört.
3. Identifikation kritischer Dienste: Analysieren Sie, ob Ihre Produkte oder Dienstleistungen für kritische Infrastrukturen essenziell sind.
4. Überprüfung von Lieferkettenverpflichtungen: Stellen Sie fest, ob Sie als Zulieferer in kritischen Bereichen tätig sind.
5. Einrichtung eines Meldesystems: Entwickeln Sie Prozesse, um Sicherheitsvorfälle innerhalb der vorgegebenen Fristen zu melden.

Die NIS2-Betroffenheit erfordert eine gründliche Analyse, um sicherzustellen, dass alle relevanten Kriterien erfüllt werden.
Unternehmen sollten frühzeitig prüfen, ob sie unter die Regelungen fallen, um rechtzeitig Maßnahmen zur Compliance umzusetzen. Die detaillierten Vorgaben des §28 BSIG und des NIS2UmsuCG bieten einen klaren Rahmen, der durch Checklisten und strukturierte Prozesse ergänzt werden kann.

Die Seite zur Betroffenheitsanalyse gibt weitere Hinweise, u.a. auf Tools die vom BSI oder anderen Playern im Markt bereitgestellt werden.