NIS-2 Geltungsbereich: Gilt die Richtlinie für mein Unternehmen?

Kategorie: IT-Recht, IT-Sicherheit

Die NIS-2-Richtlinie verpflichtet deutlich mehr Unternehmen zur Umsetzung von Cybersicherheitsmaßnahmen als bisher. Ob Ihr Unternehmen betroffen ist, hängt von Größe und Branche ab. Schon ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz kann NIS‑2 greifen – wenn Sie in einem der relevanten Sektoren tätig sind. Dieser Beitrag erklärt, wer in den Geltungsbereich fällt und was das konkret bedeutet.

NIS-2 Unternehmen: Auswirkungen und Maßnahmen.

1. Hintergrund: Was regelt die NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist Teil der europäischen Cybersicherheitsstrategie. Sie soll Unternehmen verpflichten, technische und organisatorische Maßnahmen zu treffen, um digitale Angriffe zu erkennen, abzuwehren und zu melden. Anders als die Datenschutz-Grundverordnung ist NIS‑2 keine Verordnung, sondern eine Richtlinie – sie muss also durch nationale Gesetze umgesetzt werden. In Deutschland erfolgt dies mit dem neuen NIS‑2-Umsetzungsgesetz.

2. Der erweiterte Geltungsbereich – wer fällt unter NIS‑2?

Während die bisherige NIS‑1 lediglich rund 5.000 bis 6.000 sehr große Betreiber kritischer Infrastrukturen erfasste, weitet NIS‑2 den Anwendungsbereich massiv aus. Künftig können über 30.000 Unternehmen betroffen sein. Entscheidend sind zwei Kriterien: Unternehmensgröße und Branche.

2.1 Unternehmensgröße

Ihr Unternehmen fällt grundsätzlich in den Anwendungsbereich von NIS‑2, wenn mindestens eines der folgenden Kriterien erfüllt ist:

  • mehr als 50 Mitarbeiter und/oder
  • mehr als 10 Millionen € Jahresumsatz

Diese Schwelle ist bewusst niedrig angesetzt – betroffen sind also nicht nur Konzerne, sondern auch viele mittelständische Unternehmen.

2.2 Relevante Sektoren

Darüber hinaus muss Ihr Unternehmen in einem der in der Richtlinie genannten Sektoren tätig sein. Diese finden sich im Anhang I und II der NIS‑2‑Richtlinie. Beispiele für betroffene Sektoren sind:

  • Energie, Wasser- und Gesundheitswesen
  • Transport und Verkehr
  • Informationstechnik und Telekommunikation
  • Herstellendes Gewerbe, chemische Industrie, Lebensmittelverarbeitung
  • Online‑Marktplätze, Plattformen, Cloud‑ und Hosting‑Anbieter

Damit können auch SaaS‑Plattformen, Online‑Portale oder Hosting‑Dienstleister unter NIS‑2 fallen – selbst dann, wenn sie keine „klassische“ kritische Infrastruktur betreiben.

3. NIS‑2 Kategorien: „Wichtige“ und „besonders wichtige“ Einrichtungen

Je nach Größe und Bedeutung unterscheidet NIS‑2 zwischen zwei Hauptkategorien:

  • Wichtige Einrichtungen – ab 50 Mitarbeitern oder 10 Mio. € Umsatz
  • Besonders wichtige Einrichtungen – ab 250 Mitarbeitern oder 50 Mio. € Umsatz

Je nach Einordnung unterscheiden sich die Pflichten leicht – insbesondere in Bezug auf Bußgeldrahmen und Anforderungen an das Risikomanagement.

IT-Recht für Ihr Unternehmen

Erhalten Sie fundierte Unterstützung im IT-Recht – abgestimmt auf Ihr Unternehmen und Ihre konkreten digitalen Herausforderungen.

4. Pflichten nach NIS‑2

Wenn Ihr Unternehmen in den Geltungsbereich fällt, müssen Sie ein umfassendes Sicherheits- und Risikomanagement aufbauen. Dazu zählen insbesondere:

  • technische und organisatorische Sicherheitsmaßnahmen nach Stand der Technik
  • regelmäßige Mitarbeiterschulungen zu IT‑Sicherheitsrisiken
  • Dokumentation von Sicherheitsprozessen und Notfallplänen
  • Einrichtung eines Meldeprozesses bei Sicherheitsvorfällen (u.a. innerhalb von 24 Stunden an das BSI)
  • Überprüfung und Anpassung eingesetzter Hard‑ und Software

Viele Anforderungen überschneiden sich mit Vorgaben aus dem Datenschutzrecht. Wenn Sie bereits ein Datenschutzmanagementsystem etabliert haben, sind häufig schon wesentliche Grundlagen geschaffen. Ergänzend kann Ihnen eine externe Beratung helfen, den Compliance‑Status effizient zu bewerten – etwa über unseren Datenschutz Check mit kostenfreier anwaltlicher Ersteinschätzung.

5. Wann sollten Sie handeln?

Die Umsetzungsfrist der NIS‑2‑Richtlinie läuft in Kürze aus. Unternehmen, die in einem relevanten Sektor tätig sind und die genannten Schwellen überschreiten, sollten jetzt prüfen, ob sie betroffen sind. Ein strukturierter Einstieg kann z. B. durch die Bestellung eines externen Datenschutzbeauftragten oder IT‑Compliance‑Beraters erfolgen, der Erfahrung mit NIS‑2‑Anforderungen mitbringt.

6. Fazit: NIS‑2 betrifft auch den Mittelstand

Die Zeiten, in denen nur Konzerne unter die EU‑Cybersicherheitsrichtlinien fielen, sind vorbei. Schon mittelgroße und digitale Unternehmen müssen künftig umfangreiche Sicherheitsvorgaben erfüllen. Prüfen Sie daher frühzeitig, ob Ihr Unternehmen im Sinne der NIS‑2‑Richtlinie eine „wichtige Einrichtung“ ist. Ein proaktives Vorgehen spart Kosten, reduziert Risiken und stellt sicher, dass Sie Ihre Melde‑ und Sicherheits‑pflichten rechtzeitig einhalten.

Wenn Ihr Unternehmen in den Anwendungsbereich fällt, sollten Sie als Nächstes die konkreten NIS-2-Pflichten sowie die Meldepflichten bei einem Sicherheitsvorfall kennen.

Individuelle Fragen zum Thema oder sonstige Anliegen?