Diese Frage wird uns häufig von unseren Kunden gestellt. Der Wortlaut der NIS2-Richtlinie ist nicht immer sehr eindeutig. NIS2 ist ein Rahmen, den die Länder umsetzen müssen. Da es sich um eine Richtlinie und nicht um eine Verordnung handelt, hat jedes EU-Land die Autonomie, sie nach seiner eigenen Auslegung einzuführen.
Der Wortlaut von NIS2 ist weit gefasst, so dass es schwierig ist, sich einen Überblick zu verschaffen, vor allem, bis die Länder ihre spezifischen Bestimmungen veröffentlichen. Wir werden jedoch so klar wie möglich beantworten, welche Unternehmen derzeit von NIS2 betroffen sind.
Aikidosschneller NIS2-Selbsttest, um zu sehen, ob du im Geltungsbereich bist
Wir möchten, dass die Dinge praktisch und unkompliziert sind. Um Ihnen die Arbeit zu erleichtern, finden Sie hier einen schnellen 5-Schritte-Selbsttest, um festzustellen, ob Sie in den Anwendungsbereich der NIS2 fallen:
- Ist Ihr Unternehmen in einer "wesentlichen" oder "wichtigen" Branche tätig?
- Prüfen Sie, ob Sie zu einer Teilbranche gehören.
- Erfüllen Sie die Größenanforderungen?
- Wenn Sie die Fragen 1, 2 und 3 mit "Nein" beantworten, sollten Sie sich vergewissern, dass Sie keine Ausnahme sind (Profi-Tipp: Um auf Nummer sicher zu gehen, sollten Sie einen Rechtsbeistand hinzuziehen).
- Und wenn Sie alle diese Fragen mit "Nein" beantworten, prüfen Sie, ob Ihre Kunden in den Geltungsbereich fallen oder nicht.
Für wen gilt die NIS2?
Es gibt zwei wichtige Parameter, die überprüft werden müssen, um festzustellen, ob NIS2 Auswirkungen auf Ihr Unternehmen hat:
- Industrie: Wenn Sie zu einer Branche gehören, die "wesentlich" oder "wichtig" ist.
- Größe: Wenn die Größe Ihres Unternehmens bestimmte "wesentliche" oder "wichtige" Schwellenwerte erfüllt, d. h. mehr als X Beschäftigte, X € Umsatz oder X € Bilanzsumme.
Schauen wir uns beide genauer an.
Für welche Sektoren gilt die NIS2?
Alles beginnt hier. Bei NIS2 geht es darum, wesentliche und wichtige Branchen sicher zu machen. Mit NIS2 wird die Zahl der Branchen, die im Mittelpunkt der ersten NIS-Richtlinie standen, ausgeweitet. Sie unterscheidet zwischen wesentlichen und wichtigen Industrien, aber beide Kategorien sind in ihrem Anwendungsbereich enthalten.
Wesentliche Wirtschaftszweige: Energie, Trinkwasser, Abwasser, Verkehr, Banken, Finanzmärkte, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Gesundheitswesen und Raumfahrt.
Wichtige Branchen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe (z. B. medizinische Geräte, Computer/Elektronik, Maschinen/Anlagen, Kraftfahrzeuge, Anhänger/Sattelanhänger/sonstige Transportmittel), digitale Anbieter (z. B. Online-Marktplätze) und Forschungseinrichtungen.
Einige Sektoren sind sofort betroffen, egal wie. Einige Beispiele sind Domänennamen-Registrierungsstellen, Anbieter von Vertrauensdiensten, DNS-Dienstleister, TLD-Namen-Register und Telekommunikationsanbieter.
Darüber hinaus werden die nationalen Behörden befugt sein, einzelne Unternehmen zu benennen, die nicht in die Kategorien wesentlicher oder wichtiger Sektor fallen. Sie können dies tun, wenn sie der Ansicht sind, dass das Unternehmen eine einzige Dienstleistung erbringt, eine bedeutende Auswirkung hat und/oder für die Gesellschaft wesentlich ist.
NIS2-Unternehmensgrößenkriterien
Für die NIS2 gelten Obergrenzen. Das bedeutet, dass Sie die Richtlinie einhalten müssen, wenn Sie bestimmte Schwellenwerte überschreiten.
Was sind wesentliche und wichtige Unternehmen für die Größenkriterien?
- Wesentliche Unternehmen: 250+ Beschäftigte ODER 50 Mio. € Jahresumsatz ODER 43 Mio. € Bilanzsumme
Hinweis: Ein wesentliches Unternehmen, das die Schwellenwerte für die wesentliche Größe (oben) nicht erreicht, aber dennoch die Schwellenwerte für die Größe wichtiger Unternehmen (unten) erfüllt, wird als wichtiges Unternehmen betrachtet. Es fällt daher weiterhin in den Anwendungsbereich. - Wichtige Unternehmen: 50+ Mitarbeiter ODER 10 Mio. € Jahresumsatz ODER 10 Mio. € Bilanzsumme
Oberflächlich betrachtet gilt die NIS2 also für mittlere Unternehmen und große Konzerne. Kleine und Kleinstunternehmen bleiben außen vor. Aber es wird Ausnahmen geben. Wenn beispielsweise ein Unternehmen die Größenschwellen nicht erreicht, kann eine nationale Behörde ihr Benennungsrecht wie bei den sektoralen Kriterien ausüben.
Woher weiß ich, welches Land für mein Unternehmen zuständig ist?
Die Europäische Kommission sagt: "In der Regel gelten wesentliche und wichtige Einrichtungen als der Gerichtsbarkeit des Mitgliedstaats unterworfen, in dem sie niedergelassen sind. Ist die Einrichtung in mehr als einem Mitgliedstaat niedergelassen, sollte sie der Gerichtsbarkeit jedes dieser Mitgliedstaaten unterliegen.
Es gibt Ausnahmen. In einigen Fällen ist der Ort entscheidend, an dem das Unternehmen den Dienst anbietet (z. B. DNS-Dienstleister). In anderen Fällen kommt es darauf an, wo sich die Hauptniederlassung befindet (z. B. Anbieter von Cloud-Computing-Diensten).
Gibt es weitere Ausnahmen von den Regeln?
Natürlich gibt es einige, die mit den Vorschriften für die Branche und die Größe zusammenhängen. Darüber hinaus wird es bei der Umsetzung der Richtlinie in den einzelnen Ländern Unterschiede geben, die zu beachten sind, wenn die lokalisierten Regeln in Kraft treten (alle bis zum 17. Oktober 2024).
Wenn Sie zum Beispiel die Größenanforderungen nicht erfüllen, aber der einzige Anbieter eines kritischen Dienstes für gesellschaftliche oder wirtschaftliche Aktivitäten in einem Mitgliedstaat sind, müssen Sie möglicherweise trotzdem NIS2 implementieren.
Hinweis: Wenn Sie in der Finanzbranche tätig sind, sind Sie wahrscheinlich bereits mit dem Digital Operational Resilience Act (DORA) vertraut. DORA ist eine Rechtsvorschrift - keine Richtlinie wie NIS2 - und hat daher Vorrang vor NIS2. Wir empfehlen Ihnen, Ihre Bemühungen zunächst darauf zu konzentrieren, aber informieren Sie sich, wenn NIS2 von Ihrem EU-Mitgliedstaat in lokales Recht umgesetzt wird.
Vergessen Sie auch nicht den Cyber Resilience Act (CRA). Die CRA legt die Cybersicherheitsanforderungen für eine Reihe von Hardware- und Softwareprodukten fest, die auf den EU-Markt gebracht werden. Dazu gehören intelligente Lautsprecher, Spiele, Betriebssysteme usw.
Wünschen Sie sich mehr Details?
Das Centre for Cyber Security Belgium bietet einen guten Überblick über die betroffenen Personen:
Wenn Ihre Kunden betroffen sind, wird sich NIS2 wahrscheinlich auf Sie auswirken
Wussten Sie, dass die NIS2 auch die Mitnahmeeffekte für Dritte beinhaltet? Das heißt, selbst wenn Sie nicht direkt betroffen sind, Ihre Kunden aber schon, müssen Sie wahrscheinlich die NIS2 einhalten.
Unternehmen, die NIS2 umsetzen müssen, müssen die mit ihren "Drittanbietern" verbundenen Risiken "verwalten und bewerten". Dazu gehören beispielsweise die Durchführung regelmäßiger Sicherheitsbewertungen, die Sicherstellung angemessener Cybersicherheitsmaßnahmen und die Umsetzung von Verträgen/Vereinbarungen, die Sie zur Einhaltung der NIS2-Anforderungen verpflichten.
Wenn Sie also ein B2B-Unternehmen sind und dachten, dass Sie aufgrund von Branche und Größe nicht in den Anwendungsbereich fallen, Ihre Kunden aber in den Anwendungsbereich von NIS2 fallen, sollten Sie sich vorbereiten!
Aikido liefert NIS2-Bericht
Aikido Security hat eine NIS2-Berichtsfunktion entwickelt, die in unserer App verfügbar ist. Wir haben diesen Bericht entwickelt, um Unternehmen zu helfen, die die Richtlinie einhalten müssen.
Sind Sie wahrscheinlich von NIS2 betroffen?
Finden Sie heraus, wo Sie mit Ihrer Anwendung in Bezug auf NIS2 stehen.
Obwohl unser Bericht nicht erschöpfend ist (und nur Ihre technische Einrichtung abdeckt), wird er Sie auf den richtigen Weg bringen.
Registrieren Sie sich für Aikido und erhalten Sie Ihren NIS2-Bericht kostenlos!
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)