norppa.io
Leitfäden

NIS2-Leitfaden · 8 Min.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

NIS2 gilt weit umfassender als die ursprüngliche NIS-Richtlinie — aber nicht für alle. Ob Ihre Organisation in den Anwendungsbereich fällt, hängt von drei Dingen ab: Ihrem Sektor, Ihrer Größe und einigen größenunabhängigen Ausnahmen. Dieser Leitfaden geht jeden Test durch, damit Sie Ihren Status bestimmen können — und erklärt, warum die Benennung nicht der einzige Weg ist, auf dem die Richtlinie Sie erreicht. Die Umsetzungsfrist (17. Oktober 2024) ist verstrichen, und die Mitgliedstaaten setzen sie durch, während sie das nationale Recht finalisieren.

Zwei Kategorien: wesentliche und wichtige Einrichtungen

NIS2 teilt die erfassten Organisationen in zwei Stufen ein. Beide müssen dieselben grundlegenden Sicherheits- und Meldepflichten erfüllen; der Unterschied liegt in der Aufsichtsintensität und den maximalen Sanktionen.

Wesentliche Einrichtungen

Große Organisationen in den Sektoren höchster Kritikalität (Anhang I) sowie bestimmte größenunabhängig benannte Einrichtungen. Unterliegen einer proaktiven (Ex-ante-)Aufsicht: Audits, Inspektionen und Auskunftsersuchen sind auch ohne vorherigen Vorfall möglich.

Wichtige Einrichtungen

Die meisten anderen erfassten Organisationen, die die Größenschwelle erreichen, einschließlich der Sektoren aus Anhang II. Unterliegen einer reaktiven (Ex-post-)Aufsicht: Behörden werden tätig, wenn Hinweise auf Verstöße vorliegen.

Welche Sektoren sind erfasst?

NIS2 listet die erfassten Sektoren in zwei Anhängen auf. Anhang I umfasst Sektoren hoher Kritikalität; Anhang II weitere kritische Sektoren. Fällt Ihre Kerntätigkeit in eine der Listen und erreichen Sie die Größenschwelle, sind Sie wahrscheinlich erfasst.

Anhang I — Sektoren hoher Kritikalität

  • Energie (Strom, Öl, Gas, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheit (Anbieter, EU-Referenzlabore, Arzneimittel, Medizinprodukte)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD-Registries, Rechenzentren, Cloud, CDNs, Vertrauensdienste, elektronische Kommunikation)
  • Verwaltung von IKT-Diensten, B2B (Managed-Service- und Managed-Security-Anbieter)
  • Öffentliche Verwaltung (zentral und regional)
  • Weltraum

Anhang II — weitere kritische Sektoren

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe (Medizinprodukte, Computer und Elektronik, Maschinen, Kraftfahrzeuge, sonstige Fahrzeuge)
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Die Größenschwelle

Innerhalb eines erfassten Sektors gilt NIS2 in der Regel erst ab einer Mindestgröße — die sogenannte Size-Cap-Regel. Sowohl die Beschäftigtenzahl als auch die Finanzkennzahlen werden berücksichtigt.

Groß — in der Regel 'wesentlich' (Anhang I)

Mindestens 250 Beschäftigte oder Umsatz über 50 Mio. € und Bilanzsumme über 43 Mio. €. Große Einrichtungen in Anhang-I-Sektoren werden typischerweise als wesentlich eingestuft. Große Einrichtungen in Anhang-II-Sektoren bleiben wichtig, nicht wesentlich.

Mittelgroß — in der Regel 'wichtig'

Mindestens 50 Beschäftigte oder Jahresumsatz und Bilanzsumme über 10 Mio. €. Das Erreichen der mittleren Größenschwelle in einem erfassten Sektor bringt Sie typischerweise als wichtige Einrichtung in den Anwendungsbereich.

Unterhalb der mittleren Schwelle sind Kleinst- und Kleinorganisationen in der Regel nicht erfasst — es sei denn, eine größenunabhängige Ausnahme greift.

Größenunabhängige Ausnahmen — erfasst unabhängig von der Größe

Manche Einrichtungen sind aufgrund ihrer Rolle unabhängig von ihrer Größe erfasst. Dazu zählen qualifizierte Vertrauensdiensteanbieter, Register für Top-Level-Domain-Namen und DNS-Diensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste sowie Einrichtungen, die alleiniger Anbieter eines für die gesellschaftliche oder wirtschaftliche Tätigkeit eines Mitgliedstaats wesentlichen Dienstes sind.

Auch Einrichtungen der öffentlichen Verwaltung und nach der CER-Richtlinie (Resilienz kritischer Einrichtungen) als kritisch eingestufte Organisationen können größenunabhängig erfasst sein, und Mitgliedstaaten können einzelne Einrichtungen gesondert benennen. Wenn Sie kritische Infrastruktur oder einen Dienst ohne Ersatz betreiben, prüfen Sie die Benennungsliste Ihrer nationalen Behörde, statt sich allein auf den Größentest zu verlassen.

Nicht benannt? Über die Lieferkette kann es Sie dennoch treffen

Selbst wenn Sie nicht direkt erfasst sind, erreicht Sie NIS2 indirekt. Erfasste Organisationen müssen das Cybersicherheitsrisiko ihrer Lieferanten und Dienstleister steuern (Art. 21 Abs. 2 Buchst. d). In der Praxis bedeutet das: Ihre Kunden — Banken, Krankenhäuser, Energieunternehmen, öffentliche Stellen — werden zunehmend Nachweise zu Ihrem Sicherheitsniveau als Geschäftsbedingung verlangen.

Die praktische Frage lautet daher selten nur 'Bin ich benannt?' Sondern auch 'Fallen meine Kunden unter NIS2?' Wenn ja, fließen deren Pflichten über Verträge, Fragebögen und kontinuierliches Monitoring zu Ihnen — unabhängig davon, ob Sie formal eine wesentliche oder wichtige Einrichtung sind.

Was es in der Praxis bedeutet, erfasst zu sein

Wenn Sie erfasst sind, sind die Kernpflichten:

  • Risikomanagementmaßnahmen — die Grundanforderungen aus Art. 21: Risikoanalyse, Vorfallbehandlung, Geschäftskontinuität, Lieferkettensicherheit, Verschlüsselung, Zugangskontrolle und mehr.
  • Vorfallmeldung — eine Frühwarnung an Ihr nationales CSIRT innerhalb von 24 Stunden nach einem erheblichen Vorfall, eine ausführlichere Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats (Art. 23).
  • Governance und Verantwortlichkeit — Leitungsorgane müssen die Maßnahmen billigen und überwachen und können haftbar gemacht werden; Schulungen des Personals werden erwartet.
  • Registrierung — viele Einrichtungen müssen sich bei ihrer nationalen Behörde registrieren und Kontakt- und Sektordaten angeben.

Wesentliche und wichtige Einrichtungen erfüllen dieselben Grundanforderungen; die Stufe beeinflusst vor allem die Art der Aufsicht und die maximalen Sanktionen.

Quelle: Richtlinie (EU) 2022/2555 (NIS2), Artikel 2–3 und Anhänge I–II — die verbindlichen Details für Ihr Land entnehmen Sie Ihrem nationalen Umsetzungsgesetz und Ihrer Aufsichtsbehörde.

Wie norppa.io hilft

Sobald Sie wissen, dass Ihre Lieferanten erfasst sind — oder dass Ihre Kunden Sicherheit auf NIS2-Niveau erwarten — liefert norppa.io die kontinuierlichen Nachweise, die beide Richtungen benötigen. Jede überwachte Lieferanten-Domain wird täglich an 100+ Kontrollpunkten geprüft, kritische Ereignisse alle sechs Stunden, mit automatischer Zuordnung der Befunde zu NIS2-Artikeln.

Selbstauskunftsfragebögen (SAQ) gehen direkt aus norppa.io an die Lieferanten und werden mit dem technischen Risikoprofil kombiniert, sodass Prozess- und technische Nachweise an einem Ort liegen — bereit für die Due-Diligence Ihrer Kunden oder ein Aufsichtsaudit.

Sehen Sie, wie Monitoring auf NIS2-Niveau aussieht

Ein Beispiel-Lieferantenbericht — Befunde, NIS2-Zuordnung und Nachweise — in zwei Minuten.

Beispielbericht ansehen

Verwandte Leitfäden

NIS2 und die Lieferkettenpflicht — was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

NIS2 Art. 21(2) — Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.