Wer ist von NIS-2 betroffen?
Die NIS-2-Richtlinie der EU erweitert die Cybersicherheitsanforderungen erheblich. Viele Unternehmen fragen sich daher: Fällt mein Unternehmen unter NIS-2?
Die Antwort hängt nicht nur von der Branche, sondern auch von Größe und Bedeutung für kritische Infrastruktur ab.
Welche Unternehmen betroffen sind
NIS-2 unterscheidet zwei Gruppen:
1. „Essential Entities“ (besonders wichtige Einrichtungen)
Dazu gehören u. a.:
- Energieversorger
- Gesundheitswesen
- Banken
- Trinkwasserversorger
- digitale Infrastruktur
- Transport & Logistik
2. „Important Entities“ (wichtige Einrichtungen)
Dazu gehören u. a.:
- IT-Dienstleister
- Cloud-Anbieter
- Produktionsunternehmen
- Lebensmittelindustrie
- Forschungseinrichtungen
- größere Mittelständler in kritischen Lieferketten
Größenkriterien
In der Regel gilt NIS-2 für Unternehmen mit:
- mehr als 50 Mitarbeitern
oder - mehr als 10 Mio. € Jahresumsatz
Warum auch der Mittelstand betroffen ist
Viele mittelständische Unternehmen fallen indirekt unter NIS-2, wenn sie:
- Teil einer Lieferkette sind
- IT-Dienstleistungen erbringen
- kritische Prozesse für andere Unternehmen steuern
Fazit
NIS-2 betrifft deutlich mehr Unternehmen als die frühere KRITIS-Regelung. Besonders der Mittelstand sollte früh prüfen, ob er unter die Richtlinie fällt.
Wenn Sie sich tiefer informieren möchten, finden Sie hier die wichtigsten Themenbereiche:
