NIS 2 wirft für viele Unternehmen vor allem eine Frage auf: Wer ist betroffen? Die neue Cybersicherheitsregulierung betrifft längst nicht mehr nur klassische Kritische Infrastrukturen. In diesem Beitrag zeigen wir, welche Unternehmen unter NIS 2 fallen können, welche Pflichten gelten und warum eine genaue Betroffenheitsprüfung jetzt entscheidend ist.
Die Frage „NIS 2 – wer ist betroffen?“ beschäftigt aktuell viele Unternehmen in Deutschland. Das ist nachvollziehbar: Mit NIS 2 hat die Europäische Union die Anforderungen an Cybersicherheit deutlich ausgeweitet.
Für Unternehmen geht es deshalb nicht mehr nur um IT-Sicherheit im engeren Sinn, sondern um regulatorische Pflichten, Risikomanagement, Meldeprozesse und Verantwortung auf Leitungsebene.
Besonders wichtig ist dabei:
Nicht nur Betreiber klassischer Kritischer Infrastrukturen müssen sich mit dem Thema beschäftigen. Der Anwendungsbereich von NIS 2 ist deutlich breiter.
Genau deshalb sollten Unternehmen frühzeitig und sauber prüfen, ob sie von NIS 2 betroffen sind und welche Anforderungen daraus folgen.
NIS 2 ist die Weiterentwicklung der europäischen Richtlinie zur Netzwerk- und Informationssicherheit. Ziel ist es, das Cybersicherheitsniveau in der Europäischen Union insgesamt anzuheben. Im Vergleich zur ursprünglichen NIS-Richtlinie wurden insbesondere der Anwendungsbereich erweitert, die Anforderungen an Sicherheitsmaßnahmen konkretisiert und die Meldepflichten verschärft.
Für Unternehmen bedeutet das: Cybersicherheit ist nicht länger nur eine operative Aufgabe der IT, sondern ein Bestandteil von Unternehmenssteuerung, Risikomanagement und Compliance.
Eine einfache pauschale Antwort auf die Frage "Wer ist von NIS 2 betroffen?" gibt es nicht, denn die Betroffenheit hängt nicht allein von der Unternehmensgröße ab. Maßgeblich ist vor allem, ob ein Unternehmen in einem relevanten Sektor tätig ist und wie es gesetzlich eingeordnet wird.
Grundsätzlich richtet sich NIS 2 an Unternehmen und Einrichtungen, die in besonders wichtigen oder wichtigen Sektoren tätig sind. Dazu gehören je nach Einordnung unter anderem Bereiche wie Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, öffentliche Verwaltung, Teile der Industrie, Abfallwirtschaft, Lebensmittelproduktion, Post- und Kurierdienste sowie bestimmte digitale Dienste.
Ob ein Unternehmen von NIS2 betroffen ist, lässt sich deshalb nur zuverlässig beantworten, wenn Branche, Rolle in der Wertschöpfung und Größenmerkmale gemeinsam betrachtet werden.
Wer prüfen will, ob sein Unternehmen von NIS 2 betroffen ist, sollte besonders auf drei Punkte achten:
1. Der Sektor
Entscheidend ist zunächst, ob das Unternehmen in einem von NIS 2 erfassten Bereich tätig ist. Viele Unternehmen unterschätzen hier ihre Betroffenheit, weil sie sich selbst nicht als Kritische Infrastruktur verstehen. NIS 2 geht aber deutlich weiter und erfasst auch zahlreiche Unternehmen außerhalb der klassischen KRITIS-Logik.
2. Die Größe des Unternehmens
Neben dem Sektor spielen Größenkriterien eine wichtige Rolle. Viele mittlere und große Unternehmen können betroffen sein. Die konkrete Einordnung sollte jedoch nicht nur überschlägig erfolgen, sondern anhand der rechtlichen Vorgaben und der tatsächlichen Unternehmensstruktur.
3. Die konkrete Rolle des Unternehmens
Auch die tatsächliche Funktion eines Unternehmens ist relevant. Unternehmen mit zentraler Rolle in Lieferketten, digitaler Infrastruktur oder systemrelevanten Dienstleistungen sollten ihre Betroffenheit besonders sorgfältig prüfen.
Lesen Sie dazu auch:
NIS2 und die Lieferkette: Welche Anforderungen kommen auf Zulieferer, Dienstleister und andere Akteure der Supply Chain zu?
Im deutschen NIS-2-Kontext wird zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen unterschieden. Diese Unterscheidung ist nicht nur juristisch relevant, sondern auch für die praktische Umsetzung.
Besonders wichtige Einrichtungen unterliegen in der Regel einer strengeren Aufsicht. Wichtige Einrichtungen müssen die regulatorischen Anforderungen ebenfalls erfüllen, werden aber anders beaufsichtigt. Für Unternehmen ist diese Einordnung deshalb wichtig, weil sie Auswirkungen auf Prüfungen, Nachweise und regulatorische Erwartungen haben kann.
Prüfen Sie daher nicht nur die grundsätzliche Betroffenheit, sondern klären Sie auch, in welche Kategorie das eigene Unternehmen fällt.
Viele Unternehmen stellen sich die Frage erst dann, wenn Kunden, Partner oder Ausschreibungen das Thema aufwerfen. Das ist riskant. Denn die Betroffenheit unter NIS 2 hat direkte Auswirkungen auf interne Prozesse, Verantwortlichkeiten und Sicherheitsmaßnahmen.
Wer von NIS 2 betroffen ist, muss nicht nur technische Schutzmaßnahmen treffen, sondern auch organisatorisch nachweisen können, dass Cybersicherheitsrisiken angemessen gesteuert werden. Dazu gehören unter anderem:
Incident-Response-Prozesse
Meldeverfahren bei Sicherheitsvorfällen
Berücksichtigung von Lieferkettenrisiken
Governance und Einbindung der Geschäftsleitung
Sobald feststeht, dass ein Unternehmen unter NIS 2 fällt, geht es um die konkrete Umsetzung. Betroffene Unternehmen müssen ein belastbares Sicherheitsniveau schaffen und dieses auch organisatorisch tragen können.
Dazu gehört insbesondere:
Risikomanagement
Cybersicherheit muss systematisch betrachtet werden. Einzelmaßnahmen reichen nicht aus. Unternehmen brauchen einen strukturierten Ansatz, um Risiken zu identifizieren, zu bewerten und zu minimieren.
Meldeprozesse
Sicherheitsvorfälle müssen nicht nur erkannt, sondern auch intern bewertet und fristgerecht gemeldet werden können. Dafür braucht es klare Verantwortlichkeiten und definierte Abläufe.
Dokumentation und Nachweisfähigkeit
Unternehmen müssen ihre Maßnahmen nicht nur umsetzen, sondern auch nachvollziehbar dokumentieren. Entscheidend ist, dass Cybersicherheit überprüfbar und steuerbar wird.
Verantwortung der Geschäftsleitung
NIS 2 ist kein reines IT-Thema. Die Unternehmensleitung muss eingebunden sein und Cybersicherheit als Teil der Gesamtverantwortung verstehen.
In der Praxis zeigt sich, dass viele Unternehmen ihre Betroffenheit zunächst unterschätzen. Besonders häufig betrifft das Unternehmen, die:
digitale oder technische Dienstleistungen für andere Unternehmen bereitstellen
Teil kritischer Lieferketten sind
in regulierten oder versorgungsrelevanten Branchen tätig sind
als mittelgroße oder größere Organisationen in relevanten Sektoren agieren
stark vernetzte IT- und Produktionsumgebungen betreiben
Gerade im industriellen Umfeld, in der Energiebranche, im Gesundheitswesen, in der Logistik oder im Bereich digitaler Dienstleistungen sollte die Betroffenheit von NIS2 deshalb sehr früh geprüft werden.
Wer die Frage „NIS 2 – wer ist betroffen?“ für das eigene Unternehmen klären will, sollte strukturiert vorgehen.
Betroffenheit prüfen
Zunächst sollte geklärt werden, ob das Unternehmen in einem erfassten Sektor tätig ist und welche Größen- und Einordnungskriterien gelten.
Pflichten ableiten
Ist die Betroffenheit gegeben, müssen daraus konkrete organisatorische und technische Maßnahmen abgeleitet werden.
Prozesse aufsetzen
Meldewege, Eskalationsprozesse, Zuständigkeiten und Dokumentation sollten verbindlich definiert werden.
Geschäftsleitung einbinden
Cybersicherheit muss als Management-Thema behandelt werden, nicht nur als operative IT-Aufgabe.
Lieferkette mitdenken
Auch Dienstleister, Partner und digitale Abhängigkeiten sollten in die Risikobetrachtung einbezogen werden.
Welche Unternehmen von NIS2 betroffen sind, lässt sich nicht mit einem einzigen Satz beantworten. Klar ist aber: Der Kreis der betroffenen Unternehmen ist deutlich größer als viele annehmen. Wer in einem relevanten Sektor tätig ist und eine entsprechende Größe oder Bedeutung hat, sollte die eigene Betroffenheit sorgfältig prüfen.
Für Unternehmen ist entscheidend, das Thema nicht nur als juristische Pflicht zu sehen. NIS 2 betrifft Organisation, Prozesse, Verantwortung und Resilienz. Wer jetzt sauber prüft, ob das eigene Unternehmen betroffen ist, schafft die Grundlage für eine wirksame und belastbare Umsetzung.