Die NIS-2-Richtlinie bringt weitreichende Veränderungen für die Cybersicherheit von Unternehmen mit sich. Sie erweitert den Kreis der betroffenen Organisationen deutlich. Ob dein Unternehmen dazugehört, hängt im Wesentlichen von drei Faktoren ab: Branche, Unternehmensgröße und Tätigkeitsbereich innerhalb der EU.
1. Branche: Gehört dein Unternehmen zu einem NIS-2-Sektor?
NIS 2 unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Beide Gruppen müssen vergleichbare Sicherheitsanforderungen erfüllen, unterliegen jedoch unterschiedlichen Aufsichtsmechanismen.
Wesentliche Einrichtungen
Typischerweise große Unternehmen mit mehr als 250 Mitarbeitern und über 50 Millionen Euro Umsatz. Dazu zählen unter anderem Unternehmen aus folgenden Bereichen:
- Energie
- Verkehr
- Bankwesen und Finanzmarktinfrastruktur
- Gesundheitswesen
- Wasser- und Abwasser
- Digitale Infrastruktur
- Öffentliche Verwaltung
- IKT-Dienstleistungsmanagement (B2B)
- Raumfahrt
Wichtige Einrichtungen
In der Regel Unternehmen mit 50 bis 249 Mitarbeitern und über 10 Millionen Euro Umsatz. Dazu gehören unter anderem:
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemie
- Lebensmittelproduktion und Fertigung
- Digitale Dienste wie Online-Marktplätze, Suchmaschinen oder soziale Netzwerke
- Forschung
2. Standort: Wo werden die Leistungen erbracht?
NIS 2 gilt für Organisationen, die in der EU tätig sind und relevante Dienste anbieten, unabhängig vom Sitz des Unternehmens. Entscheidend ist, ob wesentliche oder wichtige Leistungen innerhalb der EU erbracht werden. Unternehmen, die ausschließlich national tätig sind, fallen in der Regel nicht unter die Richtlinie.
3. Unternehmensgröße: Welche Schwellenwerte gelten?
Die Richtlinie betrifft in der Regel Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz. Sehr große Unternehmen gelten meist als wesentliche Einrichtungen. Kleinere Organisationen können ebenfalls erfasst werden, wenn sie eine kritische Rolle für Versorgungssicherheit oder Lieferketten spielen.
Seit wann gilt NIS 2?
Die EU-Richtlinie trat am 16. Januar 2023 in Kraft. Die Umsetzung in nationales Recht erfolgt durch die Mitgliedstaaten.
In Deutschland gilt das NIS-2-Umsetzungsgesetz seit dem 6. Dezember 2025. Für betroffene Unternehmen bedeutet das, es gibt keine Übergangsfristen mehr. Pflichten müssen jetzt umgesetzt und nachgewiesen werden.
NIS-2-Check: Schnell Klarheit gewinnen
Ob dein Unternehmen betroffen ist, lässt sich nicht immer auf den ersten Blick erkennen. Eine strukturierte Prüfung hilft weiter. Offizielle Tools bieten eine erste Orientierung und zeigen, ob dein Unternehmen als wesentliche oder wichtige Einrichtung eingestuft werden könnte.
Zur BSI-NIS-2-Betroffenheitsprüfung: https://betroffenheitspruefung-nis-2.bsi.de/
Welche Pflichten gelten bei Betroffenheit?
Betroffene Unternehmen müssen geeignete technische und organisatorische Maßnahmen etablieren, darunter:
- Risikoanalyse und Sicherheitskonzept
- Maßnahmen zur Risikominderung
- Schulungen und Sensibilisierung der Mitarbeiter
- Etablierung klarer Meldeprozesse
- Regelmäßige Überprüfung und Dokumentation
Verstöße können zu erheblichen Sanktionen führen. Verantwortliche Personen, wie Geschäftsführung oder IT-Leitung, können unter Umständen persönlich haftbar gemacht werden.
Hinweis: Dieser Text stellt keine Rechtsberatung dar, sondern dient der allgemeinen Information.
Lade dir jetzt unseren NIS-2-Leitfaden herunter
Jetzt herunterladen
Willst du deine Mitarbeiter nachhaltig weiterbilden?
Unsere E-Learning-Experten beraten dich individuell und entwickeln gemeinsam mit dir ein maßgeschneidertes Schulungskonzept. Informiere dich jetzt kostenfrei in einem 20-minütigen Gespräch über die digitale Weiterbildung deiner Mitarbeiter.
FAQ: Häufige Fragen zu NIS 2
Sind auch Unternehmen betroffen, die bisher nicht unter KRITIS fielen?
Ja. NIS 2 erweitert den Anwendungsbereich deutlich und erfasst zusätzliche Branchen sowie bestimmte Lieferketten.
Was ist der Unterschied zwischen NIS 2 und DORA?
NIS 2 ist eine EU-Richtlinie zur Cybersicherheit in zahlreichen Sektoren. DORA ist eine EU-Verordnung speziell für den Finanzsektor. Unternehmen im Finanzbereich können daher von beiden Regelwerken betroffen sein.
