NIS2: Welche Unternehmen sind betroffen und was müssen Sie bis wann tun?
Die NIS2-Richtlinie weitet den Kreis der betroffenen Unternehmen in Europa massiv aus. Neben der kritischen Infrastruktur sind nun Tausende weiterer Unternehmen aus dem mittleren und großen Sektor verpflichtet, ihre Cybersicherheit nach gesetzlichen Vorgaben zu erhöhen. Prüfen Sie jetzt, ob Sie betroffen sind, bevor die **Frist** abläuft.
Wie wird die Betroffenheit definiert (Größe und Sektor)?
Die Betroffenheit richtet sich primär nach der **Größenregel** (Mitarbeiterzahl und Umsatz) und sekundär nach dem **Sektor** (wesentlich oder wichtig).
Die Größenschwellen (Standard-Regel):
- Mittlere Unternehmen: 50 bis 249 Mitarbeiter ODER 10 Mio. bis 50 Mio. € Umsatz/Bilanzsumme.
- Große Unternehmen: Ab 250 Mitarbeiter ODER über 50 Mio. € Umsatz/Bilanzsumme.
Die zwei Betroffenheits-Kategorien (Sektoren):
Kategorie
Beispiele (Auszug)
Regulierungstiefe
Wesentliche Einrichtungen (Essential Entities)
Energie, Verkehr, **Gesundheitswesen (Krankenhäuser, Reha)**, Bankwesen, Cloud-Computing-Dienste, Wasser/Abwasser.
Höchste Anforderungen, strengere Aufsicht und Kontrollen.
Wichtige Einrichtungen (Important Entities)
Post- und Kurierdienste, Abfallwirtschaft, Chemieproduktion, Lebensmittelproduktion, verarbeitendes Gewerbe (bestimmte Größe).
Hohe Anforderungen, reaktive Aufsicht bei bekanntem Verstoß.
Kategorie:
Wesentliche Einrichtungen (Essential Entities)
Beispiele (Auszug):
Energie, Verkehr, **Gesundheitswesen (Krankenhäuser, Reha)**, Bankwesen, Cloud-Computing-Dienste, Wasser/Abwasser.
Regulierungstiefe:
Höchste Anforderungen, strengere Aufsicht und Kontrollen.
Kategorie:
Wichtige Einrichtungen (Important Entities)
Beispiele (Auszug):
Post- und Kurierdienste, Abfallwirtschaft, Chemieproduktion, Lebensmittelproduktion, verarbeitendes Gewerbe (bestimmte Größe).
Regulierungstiefe:
Hohe Anforderungen, reaktive Aufsicht bei bekanntem Verstoß.
Wichtig: Die Sektoren-Regel gilt auch für kleinere Unternehmen, wenn sie die alleinigen Anbieter ihrer Dienstleistung in einer Region sind oder die Nichteinhaltung erhebliche Auswirkungen auf die öffentliche Sicherheit hätte (Ausnahmen).
Der Fahrplan: Was muss wann umgesetzt werden?
Die Umsetzung der NIS2-Richtlinie in nationales Recht ist mit Veröffentlichung des Gesetzes am 5.12.2025 im Bundesanzeiger in Deutschland abgeschlossen.
Dies bedeutet, dass bis zu diesem Datum das nationale Gesetz (in Deutschland das B3S-IT-Sicherheitsgesetz) in Kraft getreten ist. Die Unternehmen müssen ihre Maßnahmen **spätestens ab Anfang 2026** umgesetzt und dokumentiert haben. Unternehmen, die jetzt noch nicht handeln, geraten in einen Compliance-Notstand.
Die 3 wichtigsten Sofortmaßnahmen:
- Betroffenheit prüfen: Führen Sie eine schnelle Analyse der Unternehmensgröße und des Sektors durch, um die Klassifizierung (wesentlich/wichtig) festzustellen.
- Risiko-Gap-Analyse starten: Vergleichen Sie Ihre aktuellen Cybersicherheitsmaßnahmen mit den 10 verpflichtenden Maßnahmenkatalogen der NIS2 (einschließlich Supply Chain Security).
- Governance anpassen: Schulen Sie die Geschäftsführung und klären Sie die Haftungsrisiken, um die Einhaltung der Aufsichtspflicht sofort zu dokumentieren.