Fällt mein Unternehmen unter die NIS‑2‑Richtlinie?

Prüfungsschritte für Unternehmen

Die NIS‑2‑Richtlinie ist das zentrale europäische Cybersicherheitsregelwerk und hat den Kreis der betroffenen Unternehmen erheblich erweitert. Viele Organisationen, die bisher nicht unter die alte NIS‑1‑Regelung fielen, werden durch NIS‑2 nun erstmals reguliert. Eine klare und strukturierte Prüfung ist daher essenziell, um festzustellen, ob Ihr Unternehmen betroffen ist.

Nachfolgend finden Sie eine praxisorientierte Darstellung der Prüfungsschritte – orientiert am Skriptum der Online‑Akademie für NIS‑2.

1. Rechtspersönlichkeit feststellen

Zunächst wird geprüft, ob das Unternehmen eine Rechtspersönlichkeit besitzt. Betroffen sein können:

• Juristische Personen wie GmbH, AG, Genossenschaft
• Körperschaften öffentlichen Rechts
• Vereine
• Einzelunternehmer mit eigener Rechtspersönlichkeit

Diese grundlegende Voraussetzung bestimmt, ob eine Einrichtung überhaupt unter NIS‑2 fallen kann.

2. Tätigkeit innerhalb der Europäischen Union

Die Richtlinie gilt für alle Unternehmen, die in der EU tätig sind oder Dienste in der EU anbieten – unabhängig vom Sitz der Muttergesellschaft.

3. Sektorenzugehörigkeit (Anhang I und II)

Eine der wichtigsten Prüfungen: Fällt das Unternehmen in einen der regulierten Sektoren?

Anhang I – Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Dazu gehören u.a.:

• Energie
• Transport
• Finanzmarkt-Infrastrukturen
• Gesundheitswesen
• Digitale Infrastruktur
• Trinkwasser & Abwasser

Anhang II – Weitere kritische Sektoren (wichtige Einrichtungen)

Dazu zählen z.B.:

• Post- & Kurierdienste
• Abfallwirtschaft
• Lebensmittelproduktion
• Chemische Industrie
• Forschung

4. Unternehmensgröße

Grundsätzlich erfasst die Richtlinie mittelgroße und große Unternehmen, also:

• mehr als 50 Beschäftigte ODER
• mehr als 10 Mio. EUR Jahresumsatz oder Bilanzsumme

Wichtig: Unternehmensverbünde sind konsolidiert zu betrachten. Ein Tochterunternehmen kann dadurch unter die Richtlinie fallen, obwohl es für sich allein kleiner wäre.

5. Größe‑unabhängige Betroffenheit (Sonderfälle)

Einige Unternehmen gelten immer als NIS‑2‑Einrichtung, unabhängig von Umsatz oder Mitarbeiterzahl – z. B.:

• Anbieter von Vertrauensdiensten
• DNS‑Dienstleister
• Monopolartige Unternehmen
• Einrichtungen mit erheblicher Bedeutung für öffentliche Sicherheit oder Gesundheit

Diese Ausnahme führt dazu, dass auch kleine Unternehmen NIS‑2‑pflichtig sein können.

6. Sektorspezifische Ausnahmen

Nicht betroffen sind etwa:

• Verteidigung
• Nationale Sicherheit
• Strafverfolgung
• Legislative und Judikative

Wesentliche vs. wichtige Einrichtungen

Nach Abschluss der Prüfung erfolgt die Klassifizierung:

Wesentliche Einrichtungen (Essential Entities)

• Große Unternehmen aus Anhang-I-Sektoren
• Unterliegen strengeren Aufsichtsmaßnahmen
• Höhere Sanktionen möglich

Wichtige Einrichtungen (Important Entities)

• Mittelgroße Unternehmen aus Anhang I
• Unternehmen aus Anhang II
• Aufsicht überwiegend anlassbezogen

Bedeutung für die Geschäftsleitung

Die Geschäftsführung trägt eine nicht delegierbare Verantwortung für:

• Umsetzung der Cybersicherheitsmaßnahmen
• Einhaltung der Meldepflichten
• Teilnahme an Cybersecurity‑Schulungen
• Bereitstellung notwendiger Ressourcen

Die Haftungsrisiken wurden mit NIS‑2 nochmals deutlich verschärft.

FAQ – Häufig gestellte Fragen zur Betroffenheit

Gilt NIS‑2 auch für kleine Unternehmen?

Ja – jedoch nur in Sonderfällen, etwa als Vertrauensdiensteanbieter oder wenn besondere kritische Bedeutung vorliegt.

Ich bin IT‑Dienstleister für kritische Unternehmen – bin ich betroffen?

Möglicherweise indirekt. Aufgrund der hohen Bedeutung der Lieferkettensicherheit werden viele Dienstleister vertraglich verpflichtet, NIS‑2‑Standards einzuhalten.

Was passiert, wenn ich die Pflichten ignoriere?

Es drohen empfindliche Sanktionen – bis zu mehrere Millionen Euro oder prozentuale Umsatzstrafen, abhängig von der Einstufung.

Wie schnell müssen Vorfälle gemeldet werden?

• Frühwarnung: 24 Stunden
• Erstbericht: 72 Stunden
• Abschlussbericht: spätestens 1 Monat

Wer ist verantwortlich?

Die Geschäftsleitung – persönliche Haftung ist ausdrücklich vorgesehen.

Fazit

Die NIS‑2‑Richtlinie betrifft deutlich mehr Unternehmen als bisher. Mit einer klaren Prüfung der Rechtspersönlichkeit, Sektorenzugehörigkeit, Unternehmensgröße und etwaigen Sonderfälle lässt sich rasch einschätzen, ob Ihr Unternehmen betroffen ist.

Eine frühzeitige Befassung mit Risikomanagement, Berichtspflichten und Governance‑Strukturen ist entscheidend, um regulatorische Risiken und Haftung zu vermeiden.

‍