Compliance-Lexikon · NIS-2
NIS-2 Anwendungsbereich
auch: NIS-2-Geltungsbereich, NIS-2-Scope
Der NIS-2-Anwendungsbereich definiert, welche Organisationen den NIS-2-Anforderungen unterliegen - bestimmt durch Sektorzugehoerigkeit (18 Sektoren in Anhang I und II) sowie Unternehmensgroesse (mindestens 50 Mitarbeiter oder 10 Mio. Euro Jahresumsatz), mit Sonderregelungen fuer bestimmte Einrichtungstypen unabhaengig von der Groesse.
Warum die korrekte Anwendbarkeitspruefung der erste Schritt ist
Viele Organisationen unterschaetzen ihre NIS-2-Betroffenheit: Die Richtlinie erfasst 18 Sektoren von Energie bis Abfallwirtschaft, von Digitalanbietern bis Post- und Kurierdiensten. Die Groessenschwelle (50+ Mitarbeiter oder 10+ Mio. Euro Umsatz) gilt nicht ausnahmslos - bestimmte kritische Einrichtungen sind unabhaengig von ihrer Groesse erfasst. Eine fehlerhafte Einschaetzung fuehrt entweder zu unnoetigem Aufwand oder zu Compliance-Luecken mit Bussgeldrisiko.
Wo die Anwendbarkeitspruefung gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| NIS-2 / BSIG | § 28-29 | Anwendungsbereich: Sektorale und groessenbasierte Kriterien fuer wesentliche und wichtige Einrichtungen. |
| NIS-2-Richtlinie (EU) 2022/2555 | Anhang I/II | 18 Sektoren mit Zuordnung zu wesentlichen oder wichtigen Einrichtungen. |
| BSIG | § 2 | Begriffsbestimmungen: Praezisierung von Unternehmensgroesse und Sektorzugehoerigkeit. |
| EU-Empfehlung 2003/361/EG | vollstaendig | KMU-Definition als Grundlage fuer die NIS-2-Groessenschwelle. |
| BSI | Betroffenheitspruefung | BSI stellt ein Online-Tool zur Selbsteinschaetzung der NIS-2-Betroffenheit bereit. |
BAM-Objektreferenz
Haeufige Fehler
- Sektorzuordnung nicht anhand der vollstaendigen Anhang-I/II-Liste geprueft
- Konzernstrukturen falsch bewertet - Tochtergesellschaften individuell statt konsolidiert betrachtet
- Sonderregelungen fuer kleine kritische Einrichtungen uebersehen
- Keine regelmaessige Neubewertung bei Unternehmenswachstum
Die zwei Einrichtungskategorien
NIS-2 unterscheidet wesentliche Einrichtungen (Anhang I: Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Verwaltung, Weltraum, oeffentliche Verwaltung) mit proaktiver Aufsicht und wichtige Einrichtungen (Anhang II: Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, Digitalanbieter, Forschung) mit reaktiver Aufsicht. Die Einstufung bestimmt Pruefintensitaet und Sanktionsrahmen.
Naechster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Stresstest zur Anwendbarkeitspruefung.