ISGroup Cybersicherheitsberatung

Welche spezifischen Sektoren und Arten von Einrichtungen fallen unter die NIS2-Richtlinie?

Hier ist eine Aufschlüsselung der spezifischen Sektoren und Arten von Einrichtungen, die von der NIS2-Richtlinie abgedeckt werden.

Sektoren und Einrichtungen unter der NIS2-Richtlinie

Die NIS2-Richtlinie unterteilt Einrichtungen in zwei Hauptgruppen: solche, die in Sektoren mit hoher Kritikalität tätig sind, und solche in anderen kritischen Sektoren. Wenn Sie verstehen möchten, was das Hauptziel der NIS2-Richtlinie ist, bevor Sie sich mit den Details des Anwendungsbereichs befassen, können Sie dort beginnen.

Sektoren mit hoher Kritikalität

Diese Sektoren gelten als essenziell für das Funktionieren von Wirtschaft und Gesellschaft und unterliegen daher strengeren Cybersicherheitsanforderungen. Die Sektoren mit hoher Kritikalität sowie deren Untersektoren und Beispiele für spezifische Arten von Einrichtungen sind in Anhang I des offiziellen Textes der NIS2-Richtlinie aufgeführt. Zu diesen Sektoren gehören:

  • Energie: Dieser Sektor umfasst Elektrizität, Fernwärme und Fernkälte, Erdöl, Erdgas und Wasserstoff. Beispiele für abgedeckte Einrichtungen sind Stromversorger, Übertragungsnetzbetreiber, Produzenten sowie Betreiber von Öl- und Gaspipelines und Speicheranlagen.
  • Verkehr: Dieser Sektor umfasst Luft-, Schienen-, See- und Straßenverkehr. Zu den abgedeckten Einrichtungen gehören Fluggesellschaften, Flughafenbetreiber, Eisenbahnunternehmen, Schifffahrtsgesellschaften, Hafenbehörden und Verkehrsmanagementbetreiber.
  • Bankwesen: Dieser Sektor umfasst Kreditinstitute gemäß der Definition in den Finanzvorschriften.
  • Infrastrukturen der Finanzmärkte: Beinhaltet Einrichtungen wie Handelsplätze und zentrale Gegenparteien, die für das Funktionieren der Finanzmärkte entscheidend sind.
  • Gesundheitswesen: Umfasst Anbieter von Gesundheitsdiensten und insbesondere Einrichtungen, die an der Herstellung von pharmazeutischen Produkten, einschließlich Impfstoffen, beteiligt sind.
  • Trinkwasser: Deckt Einrichtungen ab, die an der Bereitstellung und Verteilung von Trinkwasser beteiligt sind.
  • Abwasser: Beinhaltet Einrichtungen, die für die Sammlung, Behandlung und Entsorgung von Abwasser verantwortlich sind.
  • Digitale Infrastruktur: Dieser Sektor umfasst eine breite Palette von Einrichtungen, die entscheidende digitale Dienste bereitstellen, darunter Internet-Knotenpunkte, DNS-Dienstanbieter, TLD-Namensregister (Top-Level-Domain), Cloud-Computing-Dienstanbieter, Rechenzentren, Content-Delivery-Netzwerke (CDN), Vertrauensdiensteanbieter sowie Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste.
  • Verwaltung von IKT-Diensten: Umfasst Managed-Service-Provider und Managed-Security-Service-Provider, was die Bedeutung der Cybersicherheit für ausgelagerte IT-Dienste unterstreicht.
  • Öffentliche Verwaltung: Deckt Einrichtungen der öffentlichen Verwaltung sowohl auf zentraler als auch auf regionaler Ebene ab, wie von den einzelnen Mitgliedstaaten definiert.
  • Weltraum: Beinhaltet Betreiber von Bodeninfrastrukturen, die weltraumgestützte Dienste unterstützen, was die zunehmende Abhängigkeit von Weltraumressourcen unterstreicht.

[Callforaction-NIS2]

Andere kritische Sektoren

Obwohl sie als weniger kritisch als die oben genannten Sektoren eingestuft werden, unterliegen diese Sektoren dennoch den Cybersicherheitsanforderungen der NIS2-Richtlinie. Beispiele hierfür sind:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie
  • Lebensmittel
  • Herstellung verschiedener Produkte, darunter medizinische Geräte, Computer, Elektronik, Maschinen, Kraftfahrzeuge, Anhänger und sonstige Transportausrüstung
  • Digitale Anbieter, wie Online-Marktplätze, Online-Suchmaschinen und Social-Networking-Plattformen
  • Forschungseinrichtungen

Einrichtungen, die nicht ausdrücklich in Anhang I oder II aufgeführt sind

Zusätzlich zu den aufgeführten Sektoren deckt die NIS2-Richtlinie ab:

  • Einrichtungen, die Registrierungsdienste für Domainnamen erbringen: Diese Einrichtungen sind unabhängig von ihrer Größe abgedeckt.
  • Einrichtungen, die gemäß der Richtlinie (EU) 2022/2557 als kritisch eingestuft sind: Obwohl sie nicht explizit in Anhang I oder II aufgeführt sind, fallen diese Einrichtungen aufgrund ihrer durch andere Rechtsvorschriften festgelegten Kritikalität in den Anwendungsbereich der NIS2.

Größenschwellenwert

Die NIS2-Richtlinie führt einen Größenschwellenwert ein, um festzustellen, ob eine Einrichtung in einem abgedeckten Sektor den Anforderungen unterliegt. Im Allgemeinen gilt die Richtlinie für mittlere und große Unternehmen in den spezifizierten Sektoren. Die Mitgliedstaaten haben jedoch die Flexibilität, kleinere Einrichtungen mit hohem Sicherheitsrisikoprofil zu identifizieren und einzubeziehen.

Einrichtungen, die von bestimmten Bestimmungen ausgenommen sind

Es ist wichtig zu beachten, dass einige Einrichtungen von bestimmten, aber nicht allen Bestimmungen der NIS2-Richtlinie ausgenommen sind. Beispielsweise sind Finanzinstitute, die der Verordnung (EU) 2022/2554 unterliegen, von den Verpflichtungen zum Cybersicherheitsrisikomanagement und zur Meldepflicht der NIS2-Richtlinie befreit, da DORA diese Aspekte bereits abdeckt. Diese Finanzinstitute werden jedoch dennoch im Kontext von großflächigen Cybersicherheitsvorfällen und nationalen Reaktionsplänen berücksichtigt.

Die NIS2-Richtlinie zielt darauf ab, eine robustere und harmonisiertere Cybersicherheitslandschaft in der gesamten EU zu schaffen, indem sie einer breiten Palette von Einrichtungen in kritischen Sektoren Verpflichtungen auferlegt. Der umfassende Ansatz der Richtlinie erkennt die vernetzte Natur der heutigen digitalen Welt und das Potenzial für Kaskadeneffekte durch Cybersicherheitsvorfälle an. Wenn Ihr Unternehmen in einen der beschriebenen Sektoren fällt, ist der erste konkrete Schritt die Überprüfung des Anwendungsbereichs mit Unterstützung des NIS2-Compliance-Pfads von ISGroup.

Für Organisationen, die die Registrierung noch abschließen müssen, ist es zudem hilfreich, die Hinweise der ACN zur NIS2-Liste und den Fristen für verpflichtete Subjekte zu konsultieren.

Häufig gestellte Fragen zum NIS2-Anwendungsbereich

  • Woher weiß ich, ob mein Unternehmen in den NIS2-Anwendungsbereich fällt?
  • Sie müssen zwei Bedingungen prüfen: Ob der Sektor, in dem Sie tätig sind, in Anhang I oder II der Richtlinie enthalten ist und ob Ihr Unternehmen die vorgesehenen Größenschwellenwerte überschreitet (in der Regel mittlere und große Unternehmen). Die Mitgliedstaaten können die Verpflichtung jedoch auch auf kleinere Einrichtungen mit hohem Risikoprofil ausweiten, daher ist eine spezifische Bewertung ratsam.
  • Sind kleine Unternehmen immer von der NIS2 ausgenommen?
  • Nicht unbedingt. Die allgemeine Regel schließt Kleinst- und Kleinunternehmen aus, aber es gibt Ausnahmen: Zum Beispiel unterliegen Anbieter von Domainnamen-Registrierungsdiensten der Richtlinie unabhängig von ihrer Größe. Zudem kann jeder Mitgliedstaat kleinere Einrichtungen einbeziehen, die ein erhebliches Sicherheitsrisiko darstellen.
  • Was passiert, wenn mein Unternehmen in mehreren Sektoren tätig ist, von denen einige abgedeckt sind und andere nicht?
  • In diesem Fall gilt das Prinzip der Vorrangigkeit: Wenn ein relevanter Teil der Tätigkeit in einen von der NIS2 abgedeckten Sektor fällt, unterliegt tendenziell das gesamte Unternehmen den Verpflichtungen für diesen Teil. Es ist ratsam, die einzelnen operativen Einheiten zu analysieren und dies von Fall zu Fall zu prüfen, auch unter Berücksichtigung der Anweisungen der zuständigen nationalen Behörde.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *