Ist Ihr Unternehmen von den Regelwerken NIS2 und KRITIS betroffen?
Die NIS2-Richtlinie und die KRITIS-Regelungen in Deutschland betreffen eine Vielzahl von Unternehmen, die für die Sicherheit, Stabilität und das Funktionieren der Gesellschaft und Wirtschaft von zentraler Bedeutung sind. Hier eine Übersicht der betroffenen Unternehmen:
1. Unternehmen, die von NIS2 betroffen sind
Die NIS2-Richtlinie (Network and Information Security) richtet sich an Unternehmen, die wesentliche oder wichtige Dienste erbringen. Sie erweitert den Kreis der verpflichteten Unternehmen gegenüber der ersten NIS-Richtlinie erheblich. In Deutschland wird die NIS2 durch das IT-Sicherheitsgesetz 2.0 und nachfolgende Gesetzesänderungen umgesetzt.
a. Wesentliche Sektoren gemäß NIS2
Diese Unternehmen gelten als wesentlich und unterliegen strengen Vorgaben:
- Energie: Stromversorgung, Gasversorgung, Fernwärme, Kraftstoffversorgung, Ölraffinerien.
- Transport und Verkehr: Luftfahrtunternehmen, Flughäfen, Schienenverkehr, Schifffahrt, Straßentransport.
- Banken: Kreditinstitute und deren wesentliche IT-Dienstleister.
- Gesundheit: Krankenhäuser, pharmazeutische Unternehmen, Laborbetreiber, Hersteller medizinischer Geräte.
- Trinkwasserversorgung: Betreiber öffentlicher Trinkwassernetze und -anlagen.
- Digitalinfrastrukturen: Internetknotenpunkte, DNS-Anbieter, Rechenzentren.
- Öffentliche Verwaltung: Organisationen, die wesentliche öffentliche Dienstleistungen erbringen (z. B. Meldeämter).
b. Wichtige Sektoren gemäß NIS2
Diese Unternehmen gelten als wichtig und unterliegen etwas weniger strengen Vorgaben:
- Post und Paketdienste: Betreiber von großen Logistikunternehmen.
- Abfallentsorgung: Unternehmen, die kritische Abfallentsorgungsdienste anbieten.
- Lebensmittel: Großhändler und Unternehmen, die eine wesentliche Rolle in der Lebensmittelversorgungskette spielen.
- Chemische Industrie: Hersteller von gefährlichen Chemikalien oder Grundstoffen.
- Raumfahrtindustrie: Unternehmen, die an der Raumfahrt beteiligt sind.
c. Schwellenwerte und Kriterien
Ein Unternehmen wird nur dann als verpflichtend betrachtet, wenn es bestimmte Schwellenwerte überschreitet, z. B. basierend auf der Zahl der Mitarbeiter, dem Umsatz oder der Bedeutung für die Gesellschaft. Diese Schwellenwerte werden in Deutschland durch die Umsetzungsgesetze festgelegt.
2. Unternehmen, die von KRITIS betroffen sind
Die KRITIS-Verordnung (BSI-KritisV) ist Teil des deutschen IT-Sicherheitsgesetzes und legt fest, welche Unternehmen als Betreiber kritischer Infrastrukturen gelten. Diese Unternehmen sind verpflichtet, hohe IT-Sicherheitsstandards einzuhalten.
a. Sektoren gemäß BSI-KritisV
Die betroffenen Unternehmen stammen aus den folgenden kritischen Sektoren:
- Energie: Strom-, Gas- und Fernwärmeversorgung, einschließlich Kraftwerke.
- Wasser: Trinkwasser- und Abwasserinfrastruktur.
- Gesundheit: Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr.
- Transport und Verkehr: Flughäfen, Eisenbahnunternehmen, ÖPNV-Betreiber.
- Ernährung: Hersteller und Lieferanten von Lebensmitteln, die für die Versorgung der Bevölkerung wesentlich sind.
- Finanz- und Versicherungswesen: Börsen, Zahlungsdienstleister, Banken, Versicherungen.
- Digitale Infrastrukturen: Rechenzentren, Internetknoten, Hosting-Anbieter.
b. Schwellenwerte
Ein Unternehmen wird nur dann als KRITIS-Betreiber eingestuft, wenn es die in der BSI-Kritisverordnung festgelegten Mindestgrößen erreicht. Beispiel:
- Stromversorger: Versorgungskapazität von mindestens 500.000 Menschen.
- Trinkwasserversorger: Versorgungskapazität von mindestens 500.000 Kubikmetern pro Jahr.
c. KRITIS-Zulieferer und Dienstleister
Auch Dienstleister und Zulieferer, die eine wesentliche Rolle für KRITIS-Betreiber spielen, können indirekt von den KRITIS-Vorgaben betroffen sein. Dies gilt beispielsweise für:
- IT-Dienstleister für Krankenhäuser.
- Wartungsfirmen für Pipelines oder Kraftwerke.
- Softwareanbieter für KRITIS-Sektoren.
3. Überlappungen zwischen NIS2 und KRITIS
In einigen Fällen gibt es Überschneidungen zwischen NIS2 und KRITIS:
- Ein Krankenhaus mit mehr als 30.000 Patienten pro Jahr fällt sowohl unter KRITIS (BSI-KritisV) als auch unter NIS2 (wesentlicher Sektor).
- Betreiber kritischer Infrastrukturen, wie Energieversorger oder Telekommunikationsunternehmen, sind automatisch auch von NIS2 betroffen.
4. Verpflichtungen für betroffene Unternehmen
Unternehmen, die von NIS2 oder KRITIS betroffen sind, müssen:
- IT-Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen (z. B. nach ISO/IEC 27001 oder BSI-Grundschutz).
- Cyber-Sicherheitsvorfälle melden (innerhalb von 72 Stunden an das BSI).
- Regelmäßige Risikobewertungen und Audits durchführen.
- Sicherstellen, dass Zulieferer und Dienstleister ebenfalls angemessene Sicherheitsmaßnahmen umsetzen.
Quintessenz:
Unternehmen in Deutschland sind von der NIS2- und KRITIS-Gesetzgebung betroffen, wenn sie:
- Wesentliche oder wichtige Dienste im Sinne der NIS2-Richtlinie erbringen.
- Kritische Infrastrukturen betreiben oder Dienstleistungen für KRITIS-Betreiber erbringen.
Betroffene Unternehmen müssen ihre IT-Sicherheitsstrategien überprüfen, relevante Maßnahmen umsetzen und ihre Prozesse an die gesetzlichen Anforderungen anpassen. Ein Abgleich mit den jeweiligen Schwellenwerten und eine Beratung durch uns sind empfehlenswert.