ISGroup Cybersicherheitsberatung

Was sind die Größenschwellenwerte für den Anwendungsbereich der NIS2?

Die NIS2-Richtlinie führt eine bedeutende Änderung gegenüber ihrer Vorgängerversion ein, indem sie Größenschwellenwerte als zentrales Kriterium für die Bestimmung des Anwendungsbereichs festlegt. Die Quellen weisen auf einen zweistufigen Ansatz hin: einen allgemeinen Schwellenwert, der auf der Unternehmensgröße basiert, sowie einen flexibleren Ansatz, der Faktoren jenseits der Größe berücksichtigt.

[Callforaction-NIS2]

  • Allgemeiner Größenschwellenwert: Artikel 2 der NIS2-Richtlinie legt die allgemeine Regel für die Einbeziehung auf Basis der Größe fest. Unternehmen fallen im Allgemeinen in den Anwendungsbereich der Richtlinie, wenn sie eines der folgenden Kriterien erfüllen:
    • Mittleres Unternehmen: Klassifizierung als mittleres Unternehmen gemäß Artikel 2 Absatz 1 des Anhangs zur Empfehlung 2003/361/EG.
    • Überschreiten der Schwellenwerte für mittlere Unternehmen: Überschreiten der Höchstgrenzen für mittlere Unternehmen, wie in Artikel 2 Absatz 1 des Anhangs zur Empfehlung 2003/361/EG festgelegt.
  • Jenseits der Größe: Flexibilität für die Mitgliedstaaten: Obwohl die Größe ein primärer Faktor ist, erkennt die NIS2-Richtlinie an, dass auch kleinere Unternehmen ein erhebliches Cybersicherheitsrisiko darstellen können. Sie räumt den Mitgliedstaaten das Ermessen ein, Unternehmen, die nicht unter den allgemeinen Größenschwellenwert fallen, auf der Grundlage spezifischer Kriterien einzubeziehen:
    • Hohes Risikoprofil: Die Mitgliedstaaten können kleinere Unternehmen mit einem hohen Risikoprofil identifizieren und sie den Verpflichtungen der NIS2-Richtlinie unterwerfen. Die Kriterien zur Bestimmung eines hohen Risikoprofils sind in den vorliegenden Texten nicht explizit definiert, was darauf hindeutet, dass die Mitgliedstaaten einen gewissen Spielraum bei der Festlegung dieser Kriterien haben.
    • Wesentliche Einrichtungen: Artikel 2 Absatz 2(b)-(e) erlaubt es den Mitgliedstaaten, bestimmte Unternehmen als „wesentliche Einrichtungen“ zu benennen, auch wenn sie die allgemeinen Größenschwellenwerte nicht erfüllen. Diese Benennung hängt davon ab, ob Störungen der von der Einrichtung angebotenen Dienste erhebliche Auswirkungen auf die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten haben könnten. Zu den Faktoren für diese Feststellung gehören:
      • Das Unternehmen ist der einzige Anbieter in einem Mitgliedstaat für einen Dienst, der für die Aufrechterhaltung lebenswichtiger gesellschaftlicher oder wirtschaftlicher Funktionen als wesentlich erachtet wird.
      • Die Möglichkeit, dass Störungen der von der Einrichtung angebotenen Dienste erhebliche Auswirkungen auf die öffentliche Sicherheit, die öffentliche Gesundheit oder die nationale Sicherheit haben könnten.
      • Die Möglichkeit, dass Störungen der von der Einrichtung angebotenen Dienste zu einem erheblichen systemischen Risiko führen könnten, insbesondere in Sektoren, in denen solche Störungen grenzüberschreitende Auswirkungen haben könnten.
  • Spezifische Fälle unabhängig von der Größe: Einige Unternehmen fallen unabhängig von ihrer Größe automatisch in den Anwendungsbereich der NIS2:
    • Kritische Einrichtungen: Artikel 2 Absatz 3 legt fest, dass die Richtlinie für alle Einrichtungen gilt, die gemäß der Richtlinie (EU) 2022/2557 als „kritische Einrichtungen“ benannt wurden. Dies bedeutet, dass kritische Infrastrukturen und für die nationale Sicherheit oder wesentliche Dienste unverzichtbare Einrichtungen unabhängig von ihrer Größe unter die NIS2 fallen.
    • Domain-Name-Registrierungsdienste: Artikel 2 Absatz 4 schreibt vor, dass die Richtlinie für alle Unternehmen gilt, die Domain-Name-Registrierungsdienste erbringen, unabhängig von ihrer Größe. Dies unterstreicht die kritische Rolle der Domain-Registrierung für die Cybersicherheit und die Bedeutung der Sicherstellung, dass diese Unternehmen robuste Sicherheitsstandards einhalten.

Zusammenfassend lässt sich sagen: Obwohl die NIS2 einen allgemeinen Größenschwellenwert auf Basis der Definition für mittlere Unternehmen einführt, lässt sie den Mitgliedstaaten Flexibilität, um kleinere Unternehmen aufgrund von Risikoprofilen einzubeziehen oder wenn sie als Anbieter wesentlicher Dienste gelten. Darüber hinaus sind bestimmte kritische Einrichtungen und Anbieter von Domain-Name-Registrierungsdiensten unabhängig von ihrer Größe abgedeckt. Wenn Ihr Unternehmen in einen dieser Bereiche fällt, hilft ein strukturierter Weg zur Anpassung an die NIS2-Richtlinie dabei, die geltenden Verpflichtungen zu identifizieren und die notwendigen Maßnahmen zu planen – einschließlich der Fristen für die Registrierung im ACN-Verzeichnis, die NIS2-pflichtige Subjekte einhalten müssen.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *