Diese Frage bekommen wir oft von unseren Kunden. Der Wortlaut der NIS2-Richtlinie ist nicht immer sehr explizit. NIS2 ist ein Rahmenwerk, das Länder implementieren müssen. Da es sich um eine Richtlinie und nicht um eine Verordnung handelt, hat jedes EU-Land die Autonomie, sie nach eigener Auslegung umzusetzen.
Die Sprache von NIS2 ist weit gefasst, was das Verständnis erschwert, insbesondere solange die Länder ihre spezifischen Details noch nicht veröffentlicht haben. Wir werden jedoch so klar wie möglich beantworten, welche Unternehmen NIS2 derzeit betrifft.
Aikidos quicker NIS2-Selbst-Check, um zu sehen, ob Sie betroffen sind
Wir mögen es praktisch und unkompliziert. Um es Ihnen einfacher zu machen, finden Sie hier unseren schnellen 5-Schritte-Selbstcheck, um zu sehen, ob Sie in den Geltungsbereich von NIS2 fallen:
- Ist Ihr Unternehmen in einer „essenziellen“ oder „wichtigen“ Branche tätig?
- Prüfen Sie, ob Sie Teil einer Unterbranche sind.
- Erfüllen Sie die Größenanforderungen?
- Wenn „nein“ zu 1, 2 und 3, überprüfen Sie nochmals, ob Sie keine Ausnahme sind (Profi-Tipp: Sie sollten möglicherweise rechtlichen Rat einholen, um auf der sicheren Seite zu sein).
- Und, falls 'nein' zu allem oben Genannten, prüfen Sie, ob Ihre Kunden im Geltungsbereich sind oder nicht.
Für wen gilt NIS2?
Es gibt zwei Schlüsselparameter, die Sie überprüfen sollten, um festzustellen, ob NIS2 Ihr Unternehmen betrifft:
- Branche: Wenn Sie Teil einer Branche sind, die als „essenziell“ oder „wichtig“ eingestuft wird.
- Größe: Wenn die Größe Ihres Unternehmens bestimmte „wesentliche“ oder „wichtige“ Schwellenwerte erfüllt, d.h. über X Mitarbeitenden, X € Umsatz oder X € Bilanzsumme.
Schauen wir uns beides genauer an.
Für welche Sektoren gilt NIS2?
Alles beginnt hier. Bei NIS2 geht es darum, wesentliche und wichtige Industrien sicher zu machen. NIS2 erweitert die Anzahl der Industrien, die im Fokus der ersten NIS-Richtlinie standen. Es wird zwischen wesentlich und wichtig unterschieden, aber beide Kategorien sind in ihrem Geltungsbereich enthalten.
Wesentliche Sektoren: Energie, Trinkwasser, Abwasser, Verkehr, Bankwesen, Finanzmärkte, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Gesundheitswesen und Raumfahrt.
Wichtige Branchen: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung (z. B. medizinische Geräte, Computer/Elektronik, Maschinen/Ausrüstung, Kraftfahrzeuge, Anhänger/Sattelauflieger/sonstige Transportmittel), digitale Anbieter (z. B. Online-Marktplätze) und Forschungseinrichtungen.
Einige Sektoren fallen sofort in den Geltungsbereich, egal was passiert. Beispiele hierfür sind Domain-Name-Registrare, Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Namensregister und Telekommunikationsanbieter.
Darüber hinaus werden nationale Behörden die Befugnis haben, einzelne Unternehmen zu benennen, die nicht eindeutig in die Kategorien der wesentlichen oder wichtigen Sektoren fallen. Dies können sie tun, wenn sie das Unternehmen als alleinigen Dienstleister, mit erheblichen Auswirkungen und/oder als wesentlich für die Gesellschaft erachten.
NIS2-Kriterien für Unternehmensgröße
NIS2 enthält Regeln zu Größenbeschränkungen. Das bedeutet, dass Sie die Richtlinie einhalten müssen, wenn Sie bestimmte Schwellenwerte überschreiten.
Was sind wesentliche und wichtige Unternehmen für die Größenkriterien?
- Wesentliche Unternehmen: 250+ Mitarbeitende ODER >50 Mio. € Jahresumsatz ODER >43 Mio. € Bilanzsumme
Hinweis: Ein wesentliches Unternehmen, das die wesentlichen Größenkriterien (oben) nicht erfüllt, aber dennoch die Größenkriterien für wichtige Unternehmen (unten) erfüllt, wird als wichtiges Unternehmen betrachtet und fällt somit weiterhin in den Geltungsbereich. - Wichtige Unternehmen: 50+ Mitarbeiter ODER 10 Mio. €+ Jahresumsatz ODER 10 Mio. €+ Bilanzsumme
Oberflächlich betrachtet gilt NIS2 also für mittlere und große Unternehmen. Kleine und Kleinstunternehmen sind davon ausgenommen. Es wird jedoch Ausnahmen geben. Wenn ein Unternehmen beispielsweise die Größenkriterien nicht erfüllt, kann eine nationale Behörde ihr Benennungsrecht ausüben, wie es bei den Sektorkriterien der Fall ist.
Woher weiß ich, welches Land die Gerichtsbarkeit über mein Unternehmen hat?
Die Europäische Kommission sagt: „Grundsätzlich gelten wesentliche und wichtige Einrichtungen als der Gerichtsbarkeit des Mitgliedstaats unterliegend, in dem sie niedergelassen sind. Ist die Einrichtung in mehr als einem Mitgliedstaat niedergelassen, sollte sie der Gerichtsbarkeit jedes dieser Mitgliedstaaten unterliegen.“
Es gibt Ausnahmen. In einigen Fällen bedeutet dies, zu berücksichtigen, wo das Unternehmen den Dienst anbietet (z. B. DNS-Dienstanbieter). In anderen Fällen ist entscheidend, wo sich ihre Hauptniederlassung befindet (z. B. Cloud-Computing-Dienstanbieter).
Gibt es weitere Ausnahmen von den Regeln?
Natürlich gibt es einige branchen- und größenbezogene Regeln. Darüber hinaus wird es, wenn die Länder die Richtlinie umsetzen, länderspezifische Unterschiede geben, die zu beachten sind, sobald die lokalisierten Regeln in Kraft treten (alle bis zum 17. Oktober 2024).
Wenn Sie beispielsweise die Größenanforderungen nicht erfüllen, ABER der einzige Anbieter eines kritischen Dienstes für gesellschaftliche oder wirtschaftliche Aktivitäten in einem Mitgliedstaat sind, müssen Sie möglicherweise dennoch NIS2 implementieren.
Hinweis: Wenn Sie in der Finanzbranche tätig sind, sind Sie wahrscheinlich bereits mit dem Digital Operational Resilience Act (DORA) vertraut. DORA ist ein Gesetz – keine Richtlinie wie NIS2 – daher hat es Vorrang vor NIS2. Wir empfehlen, Ihre Bemühungen zuerst darauf zu konzentrieren, aber stellen Sie sicher, dass Sie sich informieren, wenn NIS2 von Ihrem EU-Mitgliedstaat in nationales Recht umgesetzt wird.
Vergessen Sie auch den Cyber Resilience Act (CRA) nicht. Der CRA legt Cybersicherheitsanforderungen für eine Reihe von Hardware- und Softwareprodukten fest, die auf dem EU-Markt platziert werden. Dazu gehören Smart Speaker, Spiele, Betriebssysteme usw.
Suchen Sie etwas mehr Details?
Hier ist eine hervorragende Übersicht darüber, wer in den Geltungsbereich fällt, entwickelt vom Centre for Cyber Security Belgium:
Wenn Ihre Kunden im Geltungsbereich sind, wird NIS2 Sie wahrscheinlich betreffen.
Wussten Sie, dass NIS2 den Drittanbieter-Kaskadeneffekt beinhaltet? Das bedeutet, selbst wenn Sie nicht direkt betroffen sind, aber Ihre Kunden es sind, müssen Sie wahrscheinlich NIS2 einhalten.
Unternehmen, die NIS2 implementieren müssen, werden die mit ihren „Drittanbietern“ verbundenen „Risiken managen und bewerten“ müssen. Dazu gehören beispielsweise die Durchführung regelmäßiger Sicherheitsbewertungen, die Sicherstellung angemessener Cybersicherheitsmaßnahmen und die Implementierung von Verträgen/Vereinbarungen, die die Einhaltung der NIS2-Anforderungen vorschreiben.
Wenn Sie also ein B2B-Unternehmen sind und dachten, Sie wären aufgrund von Branche und Größe nicht betroffen, Ihre Kunden aber in den Geltungsbereich von NIS2 fallen, sollten Sie mit den Vorbereitungen beginnen!
Aikido bietet NIS2-Bericht
Aikido Security hat eine NIS2-Berichtsfunktion in unserer App entwickelt. Wir haben diesen Bericht entworfen, um Unternehmen zu helfen, die die Richtlinie einhalten müssen.
Sind Sie wahrscheinlich von NIS2 betroffen?
Finden Sie heraus, wo Sie mit Ihrer Anwendung in Bezug auf NIS2 stehen.
Obwohl unser Bericht nicht erschöpfend ist (und nur Ihr technisches Setup abdeckt), bringt er Sie auf den richtigen Weg.
Registrieren Sie sich für Aikido und erhalten Sie Ihren NIS2-Bericht kostenlos!
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
