ISGroup Cybersicherheitsberatung

Was sind die Kriterien für die Einstufung als „wesentliche“ oder „wichtige“ Einrichtung gemäß der NIS2-Richtlinie?

Die NIS2-Richtlinie legt zwei Hauptkategorien von Unternehmen fest: wesentliche Einrichtungen und wichtige Einrichtungen. Die Klassifizierung basiert auf dem Sektor, in dem das Unternehmen tätig ist, seiner Größe und den potenziellen Auswirkungen der bereitgestellten wesentlichen Dienste auf die Gesellschaft.

  • Wesentliche Einrichtungen: Sie unterliegen einem strengeren Aufsichtsregime als wichtige Einrichtungen. Diese Unternehmen müssen sich häufigeren und strengeren Audits unterziehen, haben bei Nichteinhaltung potenziell höhere Sanktionen zu erwarten und es wird von ihnen ein höheres Maß an proaktiven Cybersicherheitsmaßnahmen erwartet.
  • Wichtige Einrichtungen: Obwohl sie dennoch die in der NIS2 vorgesehenen Verpflichtungen erfüllen müssen, unterliegen sie einem weniger strengen Aufsichtsregime als wesentliche Einrichtungen. Sie haben mehr Flexibilität bei der Umsetzung von Cybersicherheitsmaßnahmen und müssen bei Nichteinhaltung mit potenziell geringeren Sanktionen rechnen.

[Callforaction-NIS2]

Kriterien für wesentliche Einrichtungen:

Die NIS2-Richtlinie definiert wesentliche Einrichtungen anhand der folgenden Kriterien:

  • Sektor: Das Unternehmen ist in einem Sektor tätig, der als “hochkritisch” eingestuft wird. Anhang I der NIS2-Richtlinie listet diese Sektoren auf, darunter Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt. Innerhalb jedes Sektors spezifiziert der Anhang weitere Untersektoren und Arten von Einrichtungen.
  • Größe: Das Unternehmen überschreitet die Größenschwelle für mittlere Unternehmen und fällt somit in die Kategorie der Großunternehmen.
  • Spezifische Benennungen: Das Unternehmen fällt unter die folgenden spezifischen Benennungen:
    • Qualifizierte Vertrauensdiensteanbieter und Registrare von Top-Level-Domain-Namen sowie DNS-Diensteanbieter, unabhängig von ihrer Größe.
    • Einrichtungen der öffentlichen Verwaltung gemäß Artikel 2 Absatz 2 Buchstabe f Ziffer i.
    • Einrichtungen, die gemäß der Richtlinie (EU) 2022/2557 als “kritisch” eingestuft wurden, wie in Artikel 2 Absatz 3 angegeben.
    • Einrichtungen, die zuvor von den Mitgliedstaaten gemäß der Richtlinie (EU) 2016/1148 oder nationaler Gesetzgebung als Betreiber wesentlicher Dienste identifiziert wurden, sofern dies vom Mitgliedstaat vorgesehen ist.
  • Identifizierung durch den Mitgliedstaat: Darüber hinaus haben die Mitgliedstaaten die Befugnis, andere in Anhang I oder II genannte Einrichtungen auf der Grundlage der in Artikel 2 Absatz 2 Buchstaben b bis e genannten Kriterien als wesentlich einzustufen. Diese Kriterien betreffen:
    • Die Rolle der Einrichtung als einziger Anbieter eines wesentlichen Dienstes für die Aufrechterhaltung kritischer wirtschaftlicher oder gesellschaftlicher Aktivitäten in einem Mitgliedstaat.
    • Die potenziellen Auswirkungen auf die öffentliche Sicherheit, die nationale Sicherheit oder die öffentliche Gesundheit im Falle einer Dienstunterbrechung.
    • Die Fähigkeit, im Falle einer Dienstunterbrechung ein erhebliches systemisches Risiko zu verursachen, insbesondere mit grenzüberschreitenden Auswirkungen.

Kriterien für wichtige Einrichtungen:

Wichtige Einrichtungen sind wie folgt definiert:

  • Sektor und Größe: Das Unternehmen gehört zu einem Sektor, der in Anhang I oder II aufgeführt ist, erfüllt jedoch nicht die Kriterien für eine Einstufung als wesentliche Einrichtung. Dies umfasst typischerweise mittlere oder kleinere Unternehmen, die in den genannten Sektoren tätig sind.
  • Identifizierung durch den Mitgliedstaat: Ähnlich wie bei wesentlichen Einrichtungen können die Mitgliedstaaten in Anhang I oder II aufgeführte Einrichtungen auf der Grundlage der in Artikel 2 Absatz 2 Buchstaben b bis e genannten Kriterien als wichtig einstufen.

Wichtige Punkte:

  • Die Einstufung eines Unternehmens als wesentlich oder wichtig gemäß NIS2 hängt von einer Kombination von Faktoren ab, wobei der Sektor, die Größe und die potenziellen gesellschaftlichen Auswirkungen eine entscheidende Rolle spielen.
  • Wesentliche Einrichtungen unterliegen einem strengeren regulatorischen Umfeld mit strikteren Cybersicherheitsverpflichtungen und potenziell höheren Sanktionen bei Nichteinhaltung. Um einen strukturierten Prozess zur Anpassung an die NIS2-Richtlinie zu beginnen, ist es sinnvoll, mit einer Bewertung des eigenen Anwendungsbereichs und der geltenden Verpflichtungen zu starten.
  • Die Mitgliedstaaten behalten sich ein gewisses Maß an Flexibilität bei der Einstufung spezifischer Einrichtungen als wesentlich oder wichtig vor, basierend auf dem nationalen Kontext und Risikobewertungen. Für italienische Organisationen ist ein praktischer Referenzpunkt das Verfahren zur Eintragung in das ACN-Verzeichnis und die für NIS2-Subjekte vorgesehenen Fristen.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *