Unter NIS2 fallen vor allem mittelgroße und große Unternehmen aus 18 definierten Sektoren, wenn sie bestimmte Schwellenwerte bei Mitarbeitenden, Umsatz oder Bilanzsumme überschreiten. Die Schwellwerte richten sich zum einen nach der Zahl der beschäftigten Mitarbeitenden, zum anderen nach der Bilanzsumme. Hinzu kommen spezielle Themen, wie beispielsweise die Abgrenzung im Falle von Nebentätigkeiten, die unter die Kriterien von NIS2/BSIG fallen.
Grundkriterien
- Tätigkeit in der EU: Das Unternehmen erbringt Dienstleistungen oder betreibt Infrastruktur in einem der NIS2‑Sektoren innerhalb der EU.
- Größe: In der Regel betroffen sind
- „wichtige Einrichtungen“: mehr als 50 Beschäftigte oder mehr als 10 Mio. Euro Jahresumsatz bzw. Bilanzsumme.
- „wesentliche Einrichtungen“: meist ab 250 Beschäftigten, über 50 Mio. Euro Umsatz und mehr als 43 Mio. Euro Bilanzsumme.
- Ausnahmen nach oben/unten: In einigen Sektoren (z.B. klassische KRITIS‑Betreiber) gelten die Pflichten unabhängig von Größe, wenn die Dienste als besonders kritisch eingestuft sind.
Achtung:
Die Registrierungspflicht für Unternehmen, die unter die NIS2/BSIG Regelungen fallen, endet spätestens am 6.3.2026. Betroffene Unternehmen sollten rasch handeln. Weitere Informationen zur Registrierungspflicht finden Sie auf dieser Seite.
Wesentliche Einrichtungen
Typischerweise große Unternehmen aus hochkritischen Sektoren; sie unterliegen den strengsten Anforderungen.
Beispiele für Sektoren:
- Energie (Strom, Gas, Öl, Wärme, Wasserstoff)
- Verkehr (Luftfahrt, Schiene, Schifffahrt, Straße)
- Banken und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, größere Versorgungseinrichtungen)
- Trinkwasser- und Abwasserwirtschaft
- Digitale Infrastruktur (IXPs, DNS, TLD‑Register, große Cloud- und Rechenzentrumsanbieter)
- IKT‑Dienstleistungsmanagement (kritische IT‑Dienstleister im B2B‑Bereich)
- Öffentliche Verwaltung (zentrale/übergeordnete Verwaltungen)
- Raumfahrtbezogene Dienste
Wichtige Einrichtungen
Meist mittelständische Betriebe und wichtige Dienstleister in weiteren kritischen Sektoren.
Beispiele für Sektoren:
- Post- und Kurierdienste (Post-, Paket-, Logistiknetze)
- Abfallwirtschaft (Entsorgung, Recycling)
- Chemische Industrie (Herstellung und Vertrieb von Chemikalien)
- Ernährungs- und Lebensmittelwirtschaft (Produktion, Verarbeitung, größere Lieferketten)
- Herstellendes Gewerbe / Industrie (z.B. Maschinen‑, Anlagen‑, Fahrzeugbau, Elektronik)
- Digitale Anbieter (Online‑Marktplätze, Suchmaschinen, soziale Netzwerke, bestimmte Cloud‑Dienste)
- Forschungseinrichtungen außerhalb des Verteidigungsbereichs
Sektoren, die explizit nicht erfasst sind
- Verteidigung
- Nationale und öffentliche Sicherheit im engeren Sinn
- Strafverfolgung sowie Justiz
- Parlamente und Zentralbanken (ausdrücklich ausgenommen)
Sonderfälle und kleine Unternehmen
- Auch kleinere Unternehmen können erfasst werden, wenn sie kritische Dienste erbringen oder eine Schlüsselrolle in einer Lieferkette für wesentliche/wichtige Einrichtungen haben.
- Beispiel: Ein kleiner, aber für einen Energieversorger unverzichtbarer Zulieferer kann trotzdem als betroffene Einrichtung eingestuft werden.
Sie benötigen Hilfe bei der Umsetzung der Rechtspflichten nach NIS2/BSIG?
Wir beraten und betreuen eine Reihe mittelständischer Unternehmen und Organisationen in den Bereichen Datenschutz und Datensicherheit. Gern evaluieren wir in einem kostenfreien Erstgespräch den Bedarf in Ihrer Organisation. Sie erreichen uns unter info@prisecon.de oder unter den unten angegebenen Geschäftsdaten.