Die NIS2 Richtlinie – welche Unternehmen sind betroffen?
Von Thomas Faß | Feb 11, 2024 | Blog
Key Takeaways
- Die NIS 2 Richtlinie betrifft verschiedene Arten von Unternehmen. Dazu gehören KRITIS-Betreiber, sogenannte besonders wichtige Einrichtungen und wichtige Einrichtungen unterschiedlicher Branchen.
- Die Definitionen der Branchen wurden vereinfacht und basieren auf Unternehmensgröße und Branchenzugehörigkeit. Es gibt auch Sonderfälle wie qualifizierte Vertrauensdienstanbieter und Telekommunikationsanbieter. Bundesbehörden haben ebenfalls besondere Pflichten im Rahmen von NIS2.
- Die Anzahl der betroffenen Unternehmen in Deutschland wird auf etwa 30.000 geschätzt, von denen bisher nur 40 Prozent angemessene Maßnahmen ergriffen haben.
- Die Umsetzungskosten für die deutsche Wirtschaft werden auf ca. 1,65 Mrd. Euro geschätzt.
Betroffene Unternehmen
Im vorliegenden Gesetzesentwurf wurden die betroffenen Unternehmen von NIS2 genauer definiert und die Definitionen vereinfacht. Der Entwurf fasst verschiedene Arten von Einrichtungen und Unternehmensgrößen zusammen:
- KRITIS-Betreiber, also Betreiber kritischer Anlagen, ermitteln mithilfe der KRITIS-Methodik die Auswirkungen auf einzelne Anlagen gemäß der KRITIS-Verordnung.
- Besonders wichtige Einrichtungen werden nach Unternehmensgröße und Branchenzugehörigkeit im Gesetzesentwurf wie folgt festgelegt: a) Unternehmen mit mindestens 250 Mitarbeitern oder b) Unternehmen mit einem Umsatz ab 50 Millionen Euro und einer Bilanzsumme ab 43 Millionen Euro.
- wichtige Einrichtungen, deren Einstufung sich nach Unternehmensgröße und Branchenzugehörigkeit richtet:
- Unternehmen mit mindestens 50 Mitarbeitern oder
- Unternehmen mit einem Umsatz ab 10 Millionen Euro und einer Bilanzsumme ab 10 Millionen Euro.
- Diese Kategorie beinhaltet auch Vertrauensdienste.
- Sonderfälle umfassen qTSP (qualifizierte Vertrauensdienstanbieter), TLD (Top-Level-Domain)-Anbieter, DNS-Anbieter, TK-Anbieter (Telekommunikationsanbieter), kritische Anlagen sowie die Zentralregierung (Ministerien und das Bundeskanzleramt).
Neben den bereits erwähnten kritischen Betreibern und Einrichtungen unterliegen auch Bundesbehörden bestimmten Pflichten durch Regulierungsmaßnahmen.
In diesem Artikel erklären wir Ihnen:
- Welche Unternehmen von NIS2 tatsächlich betroffen sind
- Welche Branchen im Rahmen von NIS2 relevant sind
- Welche Auswirkungen NIS2 auf die deutsche Wirtschaft hat
Betreiber kritischer Anlagen (KRITIS)
Im Zuge von NIS2 werden die bisherigen Betreiber der Kritischen Infrastrukturen zu Betreibern kritischer Anlagen umgewandelt. Die grundlegende Logik der KRITIS-Bereiche, kritischen Dienstleistungen und KRITIS-Anlagen mit Schwellenwerten bleibt dabei erhalten. Gleichzeitig werden diese Betreiber als besonders wichtige Einrichtungen eingestuft.
| Betreiber | Größe | Relevante Sektoren |
| Kritische Anlagen | Anlagen mit Schwellenwert (KRITIS) | Energie, Transport und Verkehr, Finaz-/Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik, Telekommunikation, Weltraum, Siedlungsabfallentsorgung |
Besonders wichtige und wichtige Einrichtungen
Die neu eingeführten, besonders wichtigen Einrichtungen umfassen Großunternehmen in spezifischen Branchen, sowie Unternehmen unabhängig von ihrer Größe und KRITIS-Betreiber. Die wichtigen Einrichtungen setzen sich aus Groß- und mittelständischen Unternehmen verschiedener Sektoren zusammen.
| Betreiber | Größe | Relevante Sektoren |
| Besonders wichtig | Großunternehmen | Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Telekommunikation, Weltraum |
| Unabhängig | Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste | |
| Mittlere Unternehmen | Anbieter öffentlicher TK-Netze und TK-Dienste | |
| Unabhängig | Betreiber kritischer Anlagen (KRITIS-Betreiber) | |
| Unabhängig | Zentralregierung (Bundesministerien und Bundeskanzleramt) | |
| Wichtig | Mittlere Unternehmen | Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Telekommunikation, Weltraum |
| Großunternehmen, mittlere Unternehmen | Post/Kurier, Siedlungsabfallentsorgung, Produktion, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienst | |
| Unabhängig | Vertrauensdienste |
Unternehmen im besonderen öffentlichen Interesse
Die Unternehmen, die unter das besondere öffentliche Interesse fallen (UBI), werden nicht mehr als separate Kategorie betrachtet und gehen größtenteils in den Einrichtungen auf.
Unternehmensgröße
Die Einrichtungen variieren je nach Größe des Unternehmens in Bezug auf die Anzahl der Mitarbeiter und den Umsatz. Dies gilt insbesondere für besonders wichtige Einrichtungen sowie wichtige Einrichtungen.
| Einrichtung | Größe | Mitarbeitende | Umsatz | Bilanz |
| Besonders wichtig | Großunternehmen | ≥ 250 | ||
| Großunternehmen | ≥ 50 Mio. EUR | ≥ 43 Mio. EUR | ||
| Wichtig | Ab mittlere Unternehmen | ≥ 50 | ||
| Ab mittlere Unternehmen | ≥ 10 Mio. EUR | ≥ 10 Mio. EUR |
Sektoren
Die relevanten Branchen bzw. Sektoren wurden neu definiert und weichen leicht von früheren Definitionen und auch EU NIS2 ab. Die KRITIS-Branchen sind separat festgelegt worden.
| KRITIS | Besonders wichtig | Wichtig |
| Energie | Energie Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas |
|
| Transport/Verkehr | Transport/Verkehr Luftverkehr Schienenverkehr, Schifffahrt, Straßenverkehr |
Transport/Verkehr Post und Kurier |
| Finanz/Versicherung | Finanz/Versicherung Banken, Finanzmarkt-Infrastruktur |
Chemie Herstellung, Handel, Produktion |
| Gesundheit | Gesundheit Dienstleistungen, Referenzlabore, F&E, Pharma, Medizinprodukte |
Forschung Forschungseinrichtungen |
| Wasser/Abwasser | Wasser/Abwasser Trinkwasser, Abwasser |
Verarbeitendes Gewerbe Medizin/Diagnostika, DV, Elektro, Optik, Maschinenbau, Kfz/Teile, Fahrzeugbau |
| IT und TK | IT und TK IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services |
Digitale Dienste Marktplätze, Suchmaschinen, soziale Netzwerke |
| Weltraum | Weltraum Bodeninfrastrukturen |
|
| Ernährung | Lebensmittel Großhandel, Produktion, Verarbeitung |
|
| Entsorgung | Entsorgung Abfallbewirtschaftung |
Auswirkungen
In Deutschland wird geschätzt, dass etwa 30.000 Unternehmen von den neuen Vorschriften betroffen sind. Allerdings haben bisher nur 40 Prozent dieser Unternehmen angemessene Maßnahmen ergriffen. Gemäß der Prognose gibt es noch über 14.500 Unternehmen, die Handlungsbedarf haben.
Die betroffenen Unternehmen werden wie folgt prognostiziert:
- Es gibt insgesamt 8.100 besonders wichtige Einrichtungen, darunter 4.693 digitale Dienste und Betreiber kritischer Infrastrukturen (KRITIS) sowie rund 3.400 neue besonders wichtige Einrichtungen.
- Des Weiteren gibt es noch 20.900 weitere wichtige Einrichtungen.
Der Entwurf des NIS2-Umsetzungsgesetzes schätzt die Kosten für die Umsetzung von NIS2 in Wirtschaft und Verwaltung ein, basierend auf einer Kostenschätzung des statistischen Bundesamts.
Für die Wirtschaft ergeben sich folgende Aufwände:
- Jährliche Erfüllungskosten erhöhen sich um ca. 1,65 Mrd. EUR
- Einmaliger Aufwand von ca. 1,37 Mrd. EUR
- Diese Kosten entstehen hauptsächlich durch Einführung oder Anpassung digitaler Prozesse.
- Davon entfallen Bürokratiekosten für Informationspflichten in Höhe von ca. 121 Mio. EUR
Für die Bundesverwaltung sind Planstellen noch nicht bekanntgegeben worden.
Die Unterteilung der Betreiber und Einrichtungen sowie das Beibehalten der regulierten kritischen Anlagen (KRITIS) wird durch die Angleichung an das KRITIS-Dachgesetz begründet. Andererseits hat die Evaluierung ergeben, dass NIS2 zu einer starken Ausweitung der Betroffenheit führt, weshalb weiterhin eine differenzierte Bestimmung mit Fokus auf Versorgungsrelevanz erfolgen soll.
Sie benötigen Unterstützung beim NIS2 Umsetzungsgesetz?
Unsere Expert:innen helfen Ihnen!
