Die Richtlinie NIS2 (EU 2022/2555) reguliert Unternehmen ab einer bestimmten Größe und vordefinierter Branchen. Sie müssen Risikoanalysen und Schutzmaßnahmen gegen Cyberbedrohungen ergreifen. Die Richtlinie soll durch das Umsetzungsgesetz (NIS2UmsuCG) bis Oktober 2024 in deutsches Recht übertragen werden. Im folgenden wird aus dem Gesetzesentwurf vom Mai 2024 zitiert.
Unternehmen nach Anlage 1
Nach dem NIS-2-Umsetzungsgesetz unterliegen Unternehmen
- mit mindestens 250 Beschäftigten
- oder einem Jahresumsatz von über 50 Mill. Euro und einer Jahresbilanzsumme von über 43 Millionen Euro
den Regelungen des NIS2UmsCG, wenn sie einer der unten aufgelisteten Einrichtungsarten zuzuordnen sind.
Entspricht ihre wirtschaftliche Tätigkeit einer der Einrichtungsarten und sind sie nach den oben genannten Kriterien große Unternehmen, sind sie sogenannte besonders wichtige Einrichtungen. Folge: Sie müssen unter anderem ein Risikomanagement einführen und wirksame technische und organisatorische Maßnahmen gegen Cyberbedrohungen ergreifen.
Unternehmen mit
- mindestens 50 Beschäftigten
- oder einen Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro
gelten als wichtige Einrichtungen, wenn sie einer der unten aufgelisteten Einrichtungsart zuzuordnen sind.
Eigen- oder Landesbetriebe nach Anlage 1
Die Regelungen gelten analog für „rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft“, die „entgeltlich Waren oder Dienstleistungen anbieten“ (§ 28 Abs. 1 Nr. 4 NIS2UmsuCG).
Das heißt, ein Eigenbetrieb oder Landesbetrieb mit mehr als 250 Beschäftigten oder einem Jahresumsatz von über 50 Mill. Euro und einer Jahresbilanzsumme von über 43 Mill. Euro ist eine besonders wichtige Einrichtung, sofern sie zu einer der unten aufgeführten Einrichtungsarten zu zählen ist.
Entsprechend ist ein Eigen-oder Landesbetrieb mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mill. Euro eine wichtige Einrichtung, sofern ihre wirtschaftliche Tätigkeit eine der in der Tabelle aufgeführten Einrichtungsarten ist.
Sektoren, Branchen und Einrichtungsarten nach NIS-2-Umsetzungsgesetz
Stand: Mai 2024
| Sektor | Branche | Einrichtungsart |
|---|---|---|
| Energie | ||
| Stromversorgung | Stromlieferanten gemäß § 3 Nr. 31a EnWG, Betreiber von Elektrizitätsverteilernetzen gemäß § 3 Nr. 3 EnWG, Betreiber von Übertragungsnetzen gemäß § 3 Nr. 10 EnWG, Betreiber von Erzeugungsanlagen gemäß § 3 Nr. 18d EnWG, Nominierte Strommarktbetreiber nach Artikel 2 Nummer 8 der Verordnung (EU) 2019/943 Aggregatoren gemäß § 3 Nr. 1a EnWG Betreiber von Energiespeicheranlagen gemäß § 3 Nr. 15d EnWG Anbieter von Ausgleichsleistungen im Sinne von § 3 Nr. 1b EnWG Ladepunktbetreiber gemäß § 2 Nr. 8 LSV | |
| Fernwärme und -kälteversorgung | Betreiber von Fernwärme- bzw. Fernkälteversorgung im Sinne § 3 Nr. 19 und 20 GEG | |
| Kraftstoff- und Heizölversorgung | Betreiber von Erdöl-Fernleitungen Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen Zentrale Bevorratungsstellen nach Artikel 2 Buchstabe f der Richtlinie 2009/119/EG | |
| Gasversorgung | Betreiber von Gasverteilnetzen gemäß § 3 Nr. 8 EnWG Betreiber von Fernleitungsnetzen gemäß § 3 Nr. 5 EnWG Betreiber von Gasspeicheranlagen gemäß § 3 Nr. 6 EnWG Betreiber von LNG-Anlagen gemäß § 3 Nr. 9 EnWG Gaslieferanten gemäß § 3 Nr. 19b EnWG Betreiber von Anlagen zur Gewinnung von Erdgas Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung | |
| Transport und Verkehr | ||
| Luftverkehr | Luftfahrtunternehmen nach Artikel 3 Nummer 4 der Verordnung (EG) Nr. 300/2008, die für gewerbliche Zwecke genutzt werden Flughafenleitungsorgane nach Artikel 2 Nummer 2 der Richtlinie 2009/12/EG, Flughäfen nach Artikel 2 Nummer 1 jener Richtlinie, einschließlich der in Anhang II Abschnitt 2 der Verordnung (EU) Nr. 1315/2013 des Europäischen Parlaments und des Rates aufgeführten Flughäfen des Kernnetzes, und Einrichtungen, die innerhalb von Flughäfen befindliche zugehörige Einrichtungen betreiben Anbieter von Flugsicherungsdiensten im Sinne von § 27c Abs. 2 Nr. 1 lit. a) und Nr. 2-6 LuftVG | |
| Schienenverkehr | Eisenbahninfrastrukturbetreiber nach § 2 Nummer 6 und 6a des Allgemeinen Eisenbahngesetz (AEG) einschließlich zentraler Einrichtungen, die den Zugbetrieb vorausschauend und bei unerwartet eintretenden Ereignissen disponiert Eisenbahnverkehrsunternehmen nach § 2 Nummer 3 AEG, einschließlich Betreiber einer Serviceeinrichtung nach § 2 Nummer 9 AEG | |
| Schifffahrt | Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt, wie sie in Anhang I der Verordnung (EG) Nr. 725/2004 für die Schifffahrt definiert sind, ausschließlich der einzelnen von diesen Unternehmen betriebenen Schiffe. Leitungsorgane von Häfen nach Artikel 3 Nummer 1 der Richtlinie 2005/65/EG, einschließlich ihrer Hafenanlagen nach Artikel 2 Nummer 11 der Verordnung (EG) Nr. 725/2004, sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben Betreiber einer Anlage oder eines Systems zum sicheren Betrieb einer Wasserstraße nach § 1 Absatz 6 Nummer 1 des Bundeswasserstraßengesetzes. | |
| Straßenverkehr | Betreiber einer Anlage oder eines System zur Verkehrsbeeinflussung im Straßenverkehr einschließlich der in § 1 Absatz 4 Nummer 1, 3 und 4 des Bundesfernstraßengesetzes genannten Einrichtungen, zum Beispiel Verkehrs-, Betriebs- und Tunnelleitzentralen, Entwässerungsanlagen, intelligente Verkehrssysteme und Fachstellen für Informationstechnik und -sicherheit im Straßenbau, sowie der Telekommunikationsnetze der Bundesautobahnen. Betreiber eines intelligentes Verkehrssystem nach § 2 Nummer 1 des Intelligente Verkehrssysteme Gesetz. | |
| Finanz und Versicherungswesen | ||
| Bankwesen | Kreditinstitute: Einrichtungen deren Tätigkeit darin besteht, Einlagen oder andere rückzahlbare Gelder des Publikums entgegenzunehmen und Kredite für eigene Rechnung zu gewähren | |
| Finanzmarktinfrastrukturen | Handelsplätze im Sinne von § 2 Abs. 22 WpHG Zentrale Gegenparteien, die zwischen die Gegenparteien der auf einem oder mehreren Märkten gehandelten Kontrakte tritt und somit als Käufer für jeden Verkäufer bzw. als Verkäufer für jeden Käufer fungiert | |
| Gesundheit | ||
| Erbringer von Gesundheitsdienstleistungen im Sinne der Richtlinie (EU) 2011/24 EU-Referenzlaboratorien nach Artikel 15 der Verordnung (EU) 2022/2371 Unternehmen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel nach § 2 AMG ausüben. Unternehmen, die pharmazeutische Erzeugnisse nach Abschnitt C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch nach Artikel 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden | ||
| Wasser | ||
| Trinkwasserversorgung | Betreiber von Wasserversorgunsanlagen nach § 2 Nr. 3 TrinkwV, jedoch unter Ausschluss der Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist. | |
| Abwasserbeseitigung | Unternehmen, die Abwasser nach § 2 Abs. 1 AbwAG sammeln, entsorgen oder behandeln, jedoch unter Ausschluss der Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist. | |
| Informationstechnik und Telekommunikation | ||
| Betreiber von Internet Exchange Points DNS-Dienstanbieter, ausgenommen Betreiber von Root-Nameservern Top Level Domain Name Registry Anbieter von Cloud-Computing-Diensten Anbieter von Rechenzentrumsdiensten Betreiber von Content Delivery Networks Vertrauensdienstanbieter Anbieter öffentlicher elektronischer Kommunikationsnetze Anbieter öffentlich zugänglicher elektronsicher Kommunikationsdienste Managed Services Provider Managed Security Services Provider | ||
| Weltraum | ||
| Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze | ||