Cyber-Resilienz wird Pflicht: Welche Firmen von NIS-2 betroffen sind

Von |23.07.2024|
IT-Security, NIS2
NIS2 Teil 1 - welche Unternehmen von NIS2 betroffen sind - Titelbild

Bisher waren nur wenige Betreiber kritischer Anlagen zu umfassenden Abwehrmaßnahmen gegen Cyber-Angriffe verpflichtet. Mit NIS-2 gelten neue Vorgaben aber auch für viele kleine und mittelständische Unternehmen.

Erfolgreiche Cyber-Attacken können fatale Folgen haben, wenn bestimmte Einrichtungen betroffen sind. Sie können zum Beispiel die Energieversorgung unterbrechen, die Produktion von Arzneimitteln stören und lebenswichtige Geräte in der Gesundheitsversorgung manipulieren. Der Gesetzgeber schreibt deshalb schon seit Jahren eine Reihe von Schutzmaßnahmen vor.

Bisher galten die Vorgaben jedoch fast ausschließlich für sehr große kritische Anlagen. Zum Beispiel ein Krankenhaus mit mehr als 30.000 vollstationären Fällen im Jahr. Ein Wasserverteilungssystem mit 22 Millionen Kubikmeter Wasser. Oder eine Energieerzeugungsanlage mit mindestens 104 Megawatt Leistung.

Ab Oktober 2024 gelten jedoch neue Regeln. Die Umsetzung der europäischen NIS-2-Richtlinie weitet den Kreis der Betroffenen deutlich aus.

Das Gesetz erweitert die verpflichtende Umsetzung von Maßnahmen des Risikomanagements im Bereich der IT-Sicherheit auf neue Sektoren und definiert neue Schwellenwerte. In den betroffenen Bereichen sind bis auf wenige Sonderregeln nur noch kleine Unternehmen mit weniger als 50 Mitarbeitern und weniger als 10 Millionen Euro Jahresumsatz und Bilanz ausgenommen.

Welche und wie viele Firmen sind von NIS-2 betroffen?

Die NIS-2-Richtlinie wirft nicht alle betroffenen Organisationen in einen Topf. Sie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Anforderungen für erstere fallen höher aus. Die meisten betroffenen Unternehmen fallen in Kategorie Nummer zwei – die wichtigen Einrichtungen.

In Österreich fiel bisher nur eine niedrige dreistellige Zahl unter die Cyber-Regulierung. Mit NIS-2 steigt diese Zahl voraussichtlich auf über 3.000 Unternehmen. In Deutschland sind sogar über 30.000 Firmen betroffen.

Etwa ein Drittel der Betroffenen musste Schätzungen zufolge schon vor NIS-2 gesetzliche Vorgaben für ihre Cyber-Abwehr beachten. Für zwei Drittel sind die gesetzlichen Vorgaben hingegen komplett neu.

Erste Schritte für eine NIS-2 Betroffenheitsanalyse

Unternehmen müssen eigenständig prüfen, ob sie betroffen sind. Sie werden nicht benachrichtigt. Die im Folgenden skizzierten Schritte ersetzen zwar keine detaillierte Betroffenheitsanalyse, die unerlässlich ist. Sie helfen dir aber dabei, ein erstes Bild von der NIS2-Betroffenheit eines Unternehmens zu bekommen:

Zugehörigkeit zu relevanten Sektoren checken

Die NIS-2 Richtlinie definiert 11 Sektoren mit hoher Kritikalität und 7 sonstige Sektoren. Sie reichen vom Bankwesen über die Trinkwasserversorgung bis zum verarbeitenden Gewerbe.

Eine vollständige Liste findest du in Anhang I (Sektoren mit hoher Kritikalität) und Anhang II (Sonstige kritische Sektoren) der NIS-2-Richtlinie. Darin sind neben Sektoren und Teilsektoren auch die Arten der Einrichtungen benannt.

Hier ein Überblick der betroffenen Sektoren:

 Wesentliche Einrichtungen – Sektoren mit hoher Kritikalität Wichtige Einrichtungen – sonstige kritische Sektoren
Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff) Post- und Kurierdienste
Verkehr (Luft-, Schienen-, Straßenverkehr, Schifffahrt) Abfallbewirtschaftung
Bankwesen Produktion, Herstellung und Handel mit chemischen Stoffen
Finanzmarktinfrastrukturen Produktion, Verarbeitung und Betrieb von Lebensmitteln
Gesundheitswesen Verarbeitendes Gewerbe / Herstellung von Waren (z.B. Medizinprodukte, elektrische Ausrüstung, Maschinenbau)
Trinkwasser Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, Plattformen sozialer Netzwerke)
Abwasser Forschung
Digitale Infrastruktur
Verwaltung von IKT-Diensten (Anbieter verwalteter Dienste / Sicherheitsdienste)
Öffentliche Verwaltung
Weltraum

Wichtiger Hinweis:

Selbst wenn Ihr Unternehmen nicht direkt unter die NIS-2 fällt, könnte es indirekt betroffen sein. Dies ist der Fall, wenn Sie Teil der Lieferkette eines als wesentlich oder wichtig eingestuften Unternehmens sind. Eine Überprüfung dieser Verbindungen ist entscheidend, um unerwartete Anforderungen und potenzielle Haftungen zu vermeiden.

Schwellenwerte berücksichtigen

Für die Einstufung als wesentliche oder wichtige Einrichtung ist allen voran die Unternehmensgröße ausschlaggebend. Die Richtlinie bezieht sich hierbei auf Definitionen gemäß 2003/361/EC. Kleine Unternehmen mit weniger als 50 Mitarbeitern und einem Umsatz und einer Bilanz unter 10 Millionen Euro werden nicht reguliert. Folgende schon:

  • Mittlere Unternehmen: zwischen 50 und 249 Mitarbeiter; Umsatz zwischen 10 und 50 Millionen Euro bzw. einer Bilanz zwischen 10 und 43 Millionen Euro

  • Große Unternehmen: 250 oder mehr Mitarbeiter; Umsatz > 50 Millionen Euro oder Bilanz > 43 Millionen Euro

Ausnahmeregelungen beachten

Bei den Standardfällen müssen für eine Betroffenheit die Sektorenzugehörigkeit und die Schwellenwerte greifen. Die Richtlinie definiert allerdings darüber hinaus eine Reihe von Ausnahmen und Sonderregelungen.

So sind zum Beispiel „qualifizierte Vertrauensdiensteanbieter und Domänennamenregister der Domäne oberster Stufe sowie DNS- Diensteanbieter“ immer wesentliche Einrichtungen – völlig unabhängig von ihrer Größe.

Ein guter Ausgangspunkt für die Prüfung solcher Ausnahmen ist der Anwendungsbereich in Artikel 2 der NIS-2-Richtlinie.

Eine detaillierte Betroffenheitsanalyse sollte als Grundlage statt der NIS-2-Richtlinie direkt das jeweils gültige nationale NIS-2-Umsetzungsgesetz berücksichtigen.

In Österreich ist dies das Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024), in Deutschland das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

techbold begleitet dich bei der Umsetzung der NIS-2-Richtlinie

Wir stehen dir mit unserer Expertise zur aktuellen NIS-2-Richtlinie zur Verfügung, um sicherzustellen, dass dein Unternehmen schnellstmöglich einen technisch konformen NIS-2 Sicherheitsstandard erreicht. Wir begleiten dich durch den Prozess und gewährleisten, dass du optimal vor Cybersecurity-Gefahren geschützt bist und die Anforderungen des neuen Gesetzes erfüllt werden.

NIS-2, Teil 2: Der CEO als Cyber-Experte? Was NIS-2 für die Geschäftsleitung vorschreibt
NIS-2, Teil 3: NIS-2 Konformität: Welche Maßnahmen Unternehmen umsetzen müssen
NIS-2, Teil 4: Was NIS-2 für die Berichtspflicht von Sicherheitsvorfällen bedeutet

Alle Informationen zur techbold NIS-2 Beratung und Umsetzung.

Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Wir benötigen deine Zustimmung, um das Formular laden zu können.

Erforderlichen Service akzeptieren und Inhalte entsperren
Mehr Informationen
Jochen Jasch, Leiter Kundenbetreuung

Jochen Jasch

Leitung Kundenbetreuung

oder ein Account Manager aus seinem Team meldet sich umgehend.