Anwendbarkeit NIS2

Datenschutz Verstehen – Anwendbarkeit der NIS2-Richtlinie für Unternehmen.

Einleitung

Die Digitalisierung hat unsere Welt revolutioniert und Unternehmen in beispiellose Dimensionen der Vernetzung und Datenverarbeitung geführt. Mit diesem Wandel sind jedoch auch neue Herausforderungen und Risiken entstanden, insbesondere in Bezug auf die Sicherheit digitaler Infrastrukturen. In Reaktion darauf hat die Europäische Union die Richtlinie über Netz- und Informationssicherheit (NIS) eingeführt, die den Schutz kritischer Infrastrukturen und digitaler Dienste gewährleisten soll. Mit der Einführung der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) wurden die Regelungen verschärft und erweitert, um den aktuellen Bedrohungen gerecht zu werden.

Im Gegensatz zu einer Verordnung (z.B. der DSGVO) gilt die NIS2-Richtlinie – wie jede Richtlinie – nicht unmittelbar, sondern muss zuerst national umgesetzt werden. Das heißt, jeder Mitgliedstaat der EU muss die Richtlinie in die eigene Gesetzgebung implementieren. Auch in Deutschland gibt es aktuell ein Gesetzgebungsverfahren zur Umsetzung der NIS2. Neue Gesetze sind damit abzuwarten, erst danach gibt es verbindliche Regelungen für betroffene Unternehmen. Trotzdem ist es sinnvoll, sich schon jetzt für die kommende Gesetzesänderung bereitzumachen. Die Anhaltspunkte dafür kann man aus der Richtlinie ableiten.

Da die NIS2 Richtlinie in Unternehmen bis zum 17. Oktober 2024 umgesetzt werden muss, ist es jetzt an der Zeit die nötigen Schritte einzuleiten. Doch dafür muss vorerst geklärt werden, ob Ihr Unternehmen überhaupt von der NIS2 Richtlinie betroffen ist.

Datenschutz Preis berechnen
Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

 

Wann ist NIS2 anwendbar?

In Deutschland sind wahrscheinlich von der NIS2 Richtlinie ca. 30.000 Unternehmen betroffen. Zu beachten ist, dass Ihnen die Behörden nicht mitteilen, dass sie von der NIS2 Richtlinie betroffen sind. Ihr Unternehmen muss sich selbst anhand der Kriterien beurteilen. Die Verpflichtung von Unternehmen gemäß der NIS2-Richtlinie hängt davon ab, ob sie einem der Sektoren angehören und variiert je nach Größe. Unternehmen sind erst betroffen, wenn sie mindestens 50 Mitarbeitende und einen Umsatz von 10 Mio. € haben.

Anwendbarkeit nach Sektoren

Das Unternehmen gehört zu einem der Unternehmenssektoren. Es gibt folgende Sektoren:

  • Sektoren mit hoher Kritikalität
    • Energie: Lieferung, Übertragung, Verkauf und Verteilung von Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas, Wasserstoff, Betreiber von Ladestationen für Elektrofahrzeuge
    • Gesundheitswesen: Gesundheitsdienstleister, Forschungslabors, Pharmazeutika, Herstellung medizinischer Geräte
    • Verkehr: Luftverkehr, Schienenverkehr, Schifffahrt, Hafenanlagen, Straßenverkehr
    • Banken und Finanzwesen: Kredit, Handel, Infrastruktur und Markt sowie Versicherungswesen
    • Trinkwasser: Lieferanten von und Unternehmen der Versorgung mit Trinkwasser, es sei denn, Lieferung von Trinkwasser ist ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der anderen Rohstoffe oder Güter
    • Abwasser: Unternehmen, die kommunales, häusliches oder industrielles Abwasser sammeln, entsorgen oder behandeln, es sei denn, dies ist ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit
    • Digitale Infrastruktur: Bereitstellung von DNS und TLD-Registern
    • Raumfahrt: Betreiber von Bodeninfrastrukturen, die die Erbringung von weltraumgestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze
    • Öffentliche Verwaltung: Stellen des Bundes, Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, Vereinigungen, öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und IT-Dienstleistungen für die Bundesverwaltung erbringen
    • Verwaltung von IKT-Diensten (B2B): Anbieter verwalteter (Sicherheits-)Dienste
  • Sonstige kritische Sektoren, sog. wichtige Einrichtungen
    • Post- und Kurierdienste
    • Abfallwirtschaft, ausgenommen Unternehmen, für die die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist
    • Chemische Erzeugnisse: Produktion, Herstellung und Handel
    • Lebensmittel: Produktion, Verarbeitung und Vertrieb
    • Verarbeitende/Herstellende Industrie: Herstellung von Medizinprodukte und In-vitro-Diagnostika, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen; Herstellung von elektronischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteilen, sonstiger Fahrzeugbau
    • Digitale Dienste: Anbieter von Online-Marktplätzen, Online-Suchmaschinen, Plattformen für Dienste sozialer Netzwerke
    • Forschungseinrichtungen: Produktion und Vertrieb

Die NACE Rev2 definiert und beschreibt die einzelnen Sektoren und Wirtschaftszweige noch einmal genauer. Welche Anforderungen die NIC2-Richtlinie an die betroffenen Unternehmen stellt, können Sie auch in unserem weiteren Beitrag zu diesem Thema nachlesen.

Ausnahmen der Anwendbarkeit

Es gibt auch spezifische Ausnahmen, die unabhängig von der Unternehmensgröße und dem Umsatz gelten. Zum Beispiel können Unternehmen, die kritische Tätigkeiten ausführen oder Auswirkungen auf die öffentliche Ordnung haben, sowie solche, die Systemrisiken oder grenzüberschreitende Auswirkungen haben könnten, unter den Anwendungsbereich der NIS2-Richtlinie fallen. Dies gilt selbst dann, wenn sie weniger als 50 Mitarbeiter haben oder ihr Jahresumsatz unter 10 Millionen Euro liegt.

Dazu gehören qualifizierte Vertrauensdienste, TLD-Register und DNS-Dienste.

Ebenso kann es aber auch sein, dass ein Unternehmen gänzlich von der NIS2 Richtlichtlinie ausgeschlossen wird. So gilt sie nicht für Einrichtungen, die Tätigkeiten in Bereichen wie Verteidigung oder Sicherheit, öffentliche Sicherheit und Strafverfolgung ausüben. Genauso sind auch Justiz, Zentralbanken und Parlamente ausgeschlossen. Allerdings können die Mitgliedstaaten beschließen, dass die NIS2 Richtlinie trotzdem für die genannten Einrichtungen auf nationaler Ebene gilt.

 

Fazit

Die NIS2-Richtlinie ist ein wichtiger Schritt der EU, um die Sicherheit digitaler Infrastrukturen zu gewährleisten und die Resilienz gegenüber Cyberbedrohungen zu stärken. Unternehmen, die als Anbieter wesentlicher Dienste oder digitale Dienstleister eingestuft werden, müssen die Anforderungen der Richtlinie erfüllen, um die Kontinuität ihrer Dienste zu gewährleisten und das Vertrauen der Öffentlichkeit in die digitale Wirtschaft zu erhalten. Sobald geklärt ist, ob Ihr Unternehmen von der NIS2-Richtlinie betroffen ist, ist der erste und entscheidende Schritt getan, um die Anforderungen zu erfüllen und mit deren Umsetzung zu beginnen.

Menü