NIS2-Richtlinie

Alle 18 NIS2-Sektoren in der Übersicht

Die NIS2-Richtlinie erfasst 11 Sektoren mit hoher Kritikalität (Anhang I) und 7 sonstige kritische Sektoren (Anhang II). Wählen Sie einen Sektor für Teilbranchen, Beispiel-Unternehmen, Größenschwellen und Einstufung.

18
Sektoren gesamt
11
Anhang I (hohe Kritikalität)
7
Anhang II (sonstige kritische)

Anhang I - Sektoren mit hoher Kritikalität

Können besonders wichtige oder wichtige Einrichtung sein.

Anhang II - sonstige kritische Sektoren

Wichtige Einrichtung ab mittlerer Unternehmensgröße.

Diese Übersicht verwenden

Sie dürfen diese Sektoren-Übersicht gern zitieren und verlinken - etwa in Fachbeiträgen, Beratungsunterlagen oder auf Verbandsseiten. Bitte nennen Sie CompliantDesk als Quelle mit Link.

NIS2-Sektoren-Übersicht (Anhang I + II). Quelle: CompliantDesk, https://www.compliantdesk.de/nis2-sektoren

Wie funktioniert die NIS2-Einstufung nach Sektoren?

Ob Ihr Unternehmen unter die NIS2-Richtlinie fällt, hängt von zwei Faktoren ab: der Zugehörigkeit zu einem regulierten Sektor und der Unternehmensgröße. Die Richtlinie unterscheidet dazu zwei Anhänge. Anhang I umfasst die 11 Sektoren mit besonders hoher Kritikalität, etwa Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur und die Verwaltung von IKT-Diensten. Anhang II ergänzt 7 weitere kritische Sektoren wie Post- und Kurierdienste, Chemie, Lebensmittel, das verarbeitende Gewerbe, Abfallwirtschaft, Anbieter digitaler Dienste und Forschung.

Für die Größe gelten die Schwellen der EU-Empfehlung 2003/361. Ab 50 Mitarbeitenden oder über 10 Millionen Euro Jahresumsatz beziehungsweise Bilanzsumme ist ein Unternehmen mindestens eine wichtige Einrichtung, sofern es einem der beiden Anhänge zugeordnet ist. Ab 250 Mitarbeitenden oder über 50 Millionen Euro Umsatz zählen Unternehmen in Anhang-I-Sektoren als besonders wichtige Einrichtung.

Besonders wichtige und wichtige Einrichtungen

Das deutsche Umsetzungsgesetz (NIS2UmsuCG, umgesetzt im BSIG) spricht von besonders wichtigen Einrichtungen (in der EU-Richtlinie: wesentliche Einrichtungen) und wichtigen Einrichtungen. Beide Gruppen müssen dieselben zehn Risikomanagementmaßnahmen umsetzen und Sicherheitsvorfälle innerhalb strenger Fristen melden. Der Unterschied liegt in der Aufsicht: Besonders wichtige Einrichtungen unterliegen einer proaktiven, regelmäßigen Kontrolle, wichtige Einrichtungen werden anlassbezogen geprüft. Auch die Bußgeldrahmen unterscheiden sich.

Großunternehmen in Anhang-I-Sektoren werden in der Regel als besonders wichtig eingestuft, mittlere Unternehmen in denselben Sektoren als wichtig. Unternehmen in Anhang-II-Sektoren gelten unabhängig von ihrer Größe als wichtige Einrichtung, sobald sie die Größenschwelle erreichen. Welche Pflichten daraus folgen, erläutern die 10 NIS2-Pflichten.

Sonderfälle: größenunabhängige Betroffenheit

Von der Größenlogik gibt es wichtige Ausnahmen. Bestimmte Einrichtungen fallen unabhängig von Mitarbeiterzahl und Umsatz unter NIS2. Dazu zählen qualifizierte Vertrauensdiensteanbieter, TLD-Name-Registries und DNS-Diensteanbieter, bestimmte Anbieter öffentlicher Telekommunikationsnetze und -dienste sowie Betreiber kritischer Anlagen (KRITIS) und Teile der zentralen Bundesverwaltung. Auch wenn ein Unternehmen der einzige Anbieter eines wesentlichen Dienstes in Deutschland ist, kann die Größenschwelle entfallen.

Zusätzlich wirkt NIS2 über die Lieferkette: Wer als Zulieferer oder Dienstleister für eine NIS2-pflichtige Einrichtung tätig ist, wird häufig vertraglich zu Sicherheitsmaßnahmen und Nachweisen verpflichtet - selbst unterhalb der eigenen Schwellenwerte. Eine Einordnung der eigenen Branche liefern die NIS2-Branchenseiten, die je Sektor Beispiele, typische Risiken und häufige Fragen behandeln.

Häufige Fragen zu den NIS2-Sektoren

Wie viele Sektoren erfasst die NIS2-Richtlinie?

NIS2 erfasst 18 Sektoren: 11 Sektoren mit hoher Kritikalität nach Anhang I und 7 sonstige kritische Sektoren nach Anhang II. Die Einordnung entscheidet zusammen mit der Unternehmensgröße über die Betroffenheit.

Ab welcher Größe greift NIS2?

NIS2 gilt grundsätzlich ab mittlerer Unternehmensgröße: ab 50 Mitarbeitenden oder über 10 Mio. Euro Jahresumsatz. Als besonders wichtige Einrichtung gelten Unternehmen in Anhang-I-Sektoren ab 250 Mitarbeitenden oder über 50 Mio. Euro Umsatz.

Was ist der Unterschied zwischen besonders wichtigen und wichtigen Einrichtungen?

Besonders wichtige Einrichtungen (in der EU-Richtlinie: wesentliche Einrichtungen) unterliegen einer strengeren, proaktiven Aufsicht. Das sind vor allem Großunternehmen in Anhang-I-Sektoren. Wichtige Einrichtungen werden anlassbezogen beaufsichtigt; dazu zählen mittlere Unternehmen in Anhang-I-Sektoren sowie alle Unternehmen ab mittlerer Größe in Anhang-II-Sektoren.

Gibt es Einrichtungen, die größenunabhängig unter NIS2 fallen?

Ja. Qualifizierte Vertrauensdiensteanbieter, TLD-Name-Registries, DNS-Diensteanbieter, bestimmte Telekommunikationsanbieter sowie Betreiber kritischer Anlagen (KRITIS) und Teile der Bundesverwaltung fallen unabhängig von Mitarbeiterzahl und Umsatz unter NIS2.

Bin ich betroffen, wenn ich Zulieferer eines NIS2-Unternehmens bin?

Auch unterhalb der Größenschwellen können Sie indirekt betroffen sein. NIS2-pflichtige Auftraggeber müssen ihre Lieferkette absichern und geben Sicherheitsanforderungen vertraglich weiter - inklusive Nachweispflichten gegenüber ihren Dienstleistern.

Betroffenheit in 3 Minuten prüfen

Der kostenlose NIS2-Check ermittelt anhand von Sektor und Unternehmensgröße, ob und wie Sie betroffen sind - inklusive Einstufung und Reifegrad je Pflicht.