ISGroup Cybersicherheitsberatung

NIS2-Richtlinie: Auf wen findet sie Anwendung?

Die NIS2-Richtlinie deckt ein breites Spektrum an Sektoren und Arten von Einrichtungen in der EU ab, mit dem Ziel, die Cybersicherheit in der gesamten Union zu stärken. Wenn Sie wissen möchten, ob Ihre Organisation in den Anwendungsbereich fällt, ist der erste Schritt die Überprüfung der Branchenzugehörigkeit und der Unternehmensgröße.

Hier ist ein Überblick über die Einrichtungen, die den Vorschriften der Richtlinie unterliegen:

Wesentliche und wichtige Einrichtungen

Die NIS2-Richtlinie klassifiziert Einrichtungen basierend auf ihren potenziellen Auswirkungen auf wesentliche Dienste und gesellschaftliche Funktionen. Es werden zwei Hauptkategorien definiert:

  • Wesentliche Einrichtungen: Dies sind Einrichtungen, deren Ausfall erhebliche Auswirkungen auf wesentliche Dienste und gesellschaftliche Funktionen hätte. Diese Kategorie umfasst große Einrichtungen, die in bestimmten Sektoren wie Energie, Verkehr, Gesundheit und Finanzmarktinfrastrukturen tätig sind.
  • Wichtige Einrichtungen: In diese Klassifizierung fallen Einrichtungen, die für bestimmte Sektoren als wichtig erachtet werden, deren Ausfall jedoch nicht die gleiche weitreichende Wirkung wie bei wesentlichen Einrichtungen hätte. Typischerweise umfasst diese Kategorie mittelständische Unternehmen, die in Sektoren wie Post- und Kurierdienste, Abfallwirtschaft und Anbieter digitaler Dienste tätig sind.

[Callforaction-NIS2]

Die NIS2-Richtlinie listet explizit die Sektoren und Teilsektoren auf, die ihren Cybersicherheitsvorschriften unterliegen. Diese sind in „Sektoren mit hoher Kritikalität“ und „andere kritische Sektoren“ unterteilt, basierend auf ihrer Bedeutung für das Funktionieren der EU insgesamt. Hier ist eine Zusammenfassung:

Sektoren mit hoher Kritikalität

  • Energie: Umfasst Elektrizität, Fernwärme und Fernkälte, Erdöl, Erdgas und Wasserstoff.
  • Verkehr: Deckt Luft-, Schienen-, See- und Straßenverkehr ab.
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen: Umfasst die Herstellung von pharmazeutischen Produkten, einschließlich Impfstoffen.
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur: Umfasst Internet-Knotenpunkte, DNS-Dienstanbieter, Top-Level-Domain-Register (TLD), Cloud-Computing-Dienstanbieter, Rechenzentrumsdienstanbieter, Content-Delivery-Netzwerke (CDN), Vertrauensdiensteanbieter sowie Anbieter öffentlicher elektronischer Kommunikationsnetze und öffentlich zugänglicher elektronischer Kommunikationsdienste.
  • Verwaltung von IKT-Diensten: Umfasst Managed-Service-Provider und Managed-Security-Service-Provider.
  • Öffentliche Verwaltung
  • Weltraum

Andere kritische Sektoren

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Industrie
  • Lebensmittel
  • Herstellung von medizinischen Geräten, Computern und Elektronik, Maschinen und Ausrüstungen, Kraftwagen, Anhängern und Aufliegern sowie sonstigen Fahrzeugen
  • Anbieter digitaler Dienste: Umfasst Online-Marktplätze, Online-Suchmaschinen und soziale Netzwerkplattformen.
  • Forschungseinrichtungen

Überlegungen zur Größenschwelle

Obwohl die spezifischen Größenschwellen in diesen Abschnitten der Quellen nicht detailliert aufgeführt sind, ist es wichtig zu beachten, dass alle mittleren und großen Unternehmen, die in den aufgeführten Sektoren tätig sind, im Allgemeinen den NIS2-Vorschriften unterliegen. Dies stellt eine bedeutende Änderung gegenüber der NIS1 dar, die sich auf eine begrenzte Anzahl benannter Betreiber konzentrierte. Wenn Ihre Organisation in einem dieser Sektoren tätig ist, sollten Sie Ihren Anwendungsbereich sorgfältig prüfen: Der Weg zur Anpassung an die NIS2-Richtlinie beginnt genau mit dieser ersten Bewertung.

Zusätzliche Überlegungen zur NIS2-Richtlinie

Die NIS2-Richtlinie räumt den Mitgliedstaaten eine gewisse Flexibilität bei der Identifizierung der Einrichtungen ein, die ihren Vorschriften unterliegen.

  • Einrichtungen mit hohem Risikoprofil: Die Mitgliedstaaten haben das Ermessen, kleinere Einrichtungen mit einem hohen Sicherheitsrisikoprofil zu identifizieren, die einbezogen werden sollten, auch wenn sie die typischen Größenvorgaben nicht erfüllen.
  • Einrichtungen, die Domain-Registrierungsdienste anbieten: Unabhängig von der Größe fallen Einrichtungen, die diese Dienste anbieten, in den Anwendungsbereich der NIS2-Richtlinie.

Ausnahmen von der NIS2-Richtlinie

Obwohl die NIS2-Richtlinie eine umfassende Abdeckung der Cybersicherheit anstrebt, sieht sie einige Ausnahmen vor.

  • Nationale Sicherheit und öffentliche Sicherheit: Einrichtungen, die in Sektoren wie nationaler Sicherheit, öffentlicher Sicherheit, Verteidigung und Strafverfolgung tätig sind, können von einigen Verpflichtungen der NIS2-Richtlinie ausgenommen werden.
  • Einrichtungen, die ausschließlich Dienstleistungen für die öffentliche Verwaltung erbringen: Einrichtungen, die Dienstleistungen ausschließlich für in der Richtlinie genannte öffentliche Verwaltungsstellen erbringen, können ebenfalls ausgenommen werden.
  • Einrichtungen, die gemäß der DORA-Verordnung ausgenommen sind: Einrichtungen, die bereits gemäß der Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) ausgenommen sind, unterliegen nicht den Anforderungen der NIS2-Richtlinie.

Angleichung an spezifische sektorspezifische Gesetzgebung

Die NIS2-Richtlinie betont die Angleichung an bestehende und zukünftige sektorspezifische Gesetzgebung der Union. In Fällen, in denen diese Gesetzgebung Maßnahmen zum Risikomanagement der Cybersicherheit oder Meldepflichten für Vorfälle mit gleichwertigen oder strengeren Auswirkungen als die NIS2-Richtlinie vorsieht, hat die spezifische sektorspezifische Gesetzgebung Vorrang. Ein relevantes Beispiel ist das Verhältnis zwischen der NIS2-Richtlinie und der DORA-Verordnung im Finanzsektor.

Um den vollständigen regulatorischen Rahmen zu vertiefen, können Sie das offizielle Dokument der NIS2-Richtlinie konsultieren oder nachlesen, was das Hauptziel der NIS2-Richtlinie ist. Wenn sich Ihre Organisation bereits in der Registrierungsphase befindet, finden Sie praktische Informationen dazu, wie die ACN-Liste funktioniert und welche Fristen für NIS2-Subjekte gelten.

Häufig gestellte Fragen zur Anwendung der NIS2-Richtlinie

  • Sind kleine Unternehmen immer von der NIS2-Richtlinie ausgeschlossen?
  • Im Allgemeinen ja: Die NIS2 gilt für mittlere und große Unternehmen, die in den abgedeckten Sektoren tätig sind. Die Mitgliedstaaten können jedoch kleinere Einrichtungen einbeziehen, wenn diese ein hohes Risikoprofil aufweisen, und einige Kategorien – wie Anbieter von Domain-Registrierungsdiensten – fallen unabhängig von ihrer Größe in den Anwendungsbereich.
  • Müssen sich auch Lieferanten und Subunternehmer einer NIS2-pflichtigen Einrichtung anpassen?
  • Die Richtlinie legt den Lieferanten der Lieferkette keine direkten Verpflichtungen auf, aber die betroffenen Einrichtungen sind verpflichtet, die Risiken im Zusammenhang mit ihren IKT-Lieferanten zu verwalten. In der Praxis führt dies oft zu vertraglichen Sicherheitsanforderungen, die Lieferanten erfüllen müssen, um weiterhin mit NIS2-Subjekten zusammenarbeiten zu können.
  • Wie überprüft man konkret, ob die eigene Organisation in den NIS2-Anwendungsbereich fällt?
  • Der erste Schritt besteht darin, zu prüfen, ob der Tätigkeitsbereich zu den in den Anhängen der Richtlinie aufgeführten Sektoren gehört, und dann zu kontrollieren, ob die vorgesehenen Größenschwellen (mindestens 50 Mitarbeiter oder 10 Millionen Euro Umsatz für mittlere Unternehmen) überschritten werden. In Italien verwaltet die ACN den Registrierungsprozess und bietet operative Anleitungen für die Selbsteinschätzung.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *