ISGroup Cybersicherheitsberatung

Sind kleine und mittlere Unternehmen (KMU) von der NIS2-Richtlinie betroffen?

Die Anwendung der NIS2-Richtlinie auf KMU ist nicht universell und hängt von verschiedenen Faktoren ab, darunter der Sektor, die Unternehmensgröße und das Risikoprofil.

Allgemeine Regel: Die Richtlinie gilt hauptsächlich für mittlere und große Unternehmen in den in den Anhängen I und II aufgeführten Sektoren. Dies bedeutet, dass kleine Unternehmen im Allgemeinen nicht in den Anwendungsbereich fallen, sofern keine der unten genannten spezifischen Ausnahmen vorliegt.

  • Größenschwelle: Die Richtlinie gilt für Unternehmen, die als „mittlere Unternehmen“ gemäß der Empfehlung 2003/361/EG definiert sind, oder für größere Unternehmen.
  • Sektorale Einbeziehung: KMU, die in bestimmten Sektoren tätig sind, fallen immer unter die NIS2-Richtlinie, unabhängig von ihrer Größe. Zu diesen Sektoren gehören:
    • Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste;
    • Anbieter von Vertrauensdiensten;
    • Einrichtungen, die Registrierungsdienste für Domainnamen bereitstellen.
  • Kritische Infrastrukturen: KMU, die gemäß der CER-Richtlinie (Critical Entities Resilience) als „kritische Einrichtungen“ identifiziert wurden, fallen ebenfalls unter die NIS2, unabhängig von ihrer Größe. Dies unterstreicht die Verflechtung von physischer und cyber-Resilienz bei kritischen Infrastrukturen.
  • KMU mit hohem Risiko: Die Mitgliedstaaten haben die Befugnis, kleinere Unternehmen mit einem hohen Risikoprofil zu identifizieren, die den Verpflichtungen der Richtlinie unterliegen müssen. Diese Bestimmung erkennt an, dass die Größe nicht der einzige entscheidende Faktor für das Cybersicherheitsrisiko ist.

Wichtiger Hinweis: Auch wenn KMU möglicherweise nicht direkt in den Anwendungsbereich der NIS2 fallen, ermutigt die Richtlinie sie dazu, robuste Cybersicherheitspraktiken einzuführen. Beispielsweise müssen größere Unternehmen, die der NIS2 unterliegen, Cybersicherheitsrisiken innerhalb ihrer Lieferketten angehen, was indirekt die Cybersicherheitshaltung ihrer KMU-Zulieferer beeinflusst. Wenn sich Ihr Unternehmen in einer Grauzone befindet oder Sie Ihren Geltungsbereich genau überprüfen möchten, kann es hilfreich sein, einen strukturierten NIS2-Compliance-Prozess mit Unterstützung von Experten zu starten.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *