NIS2: Welche Unternehmen in Europa betroffen sind und was sie tun müssen

Die NIS2-Richtlinie (2022/2555) weitet den Anwendungsbereich der Cybersicherheitsregulierung in der EU erheblich aus. In Deutschland ist das BSI (Bundesamt für Sicherheit in der Informationstechnik) die zuständige nationale Behörde.

Die 18 erfassten Sektoren

Hochkritische Sektoren (Anhang I) umfassen Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleister, öffentliche Verwaltung und Weltraum. Kritische Sektoren (Anhang II) umfassen Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter und Forschung.

Größenkriterien

Einrichtungen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz über 10 Millionen Euro, die in einem erfassten Sektor tätig sind, unterliegen NIS2. Wesentliche Einrichtungen sind große Organisationen in hochkritischen Sektoren; wichtige Einrichtungen sind mittlere Organisationen aller erfassten Sektoren.

Erste Pflichten

Die Konformität beruht auf Cybersicherheits-Governance, Risikomanagement, Lieferkettensicherheit und Vorfallsmeldung an das BSI — Erstmeldung innerhalb von 24 Stunden, vollständiger Bericht innerhalb von 72 Stunden.

*Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar.*