Für wen gilt NIS2?
Der Anwendungsbereich der NIS2-Richtlinie geht weit über die bisher bekannten kritischen Infrastrukturen (KRITIS) hinaus. Dafür wurden 18 Wirtschaftssektoren anhand ihrer Kritikalität definiert. Unternehmen werden so nach Tätigkeitsbereich und Größe als "wesentliche Einrichtungen“ oder „wichtige Einrichtungen“ reguliert.
Unternehmen gelten als „wesentliche Einrichtungen“, wenn sie in einem Sektor mit hoher Kritikalität tätig sind sowie den Schwellenwert von mindestens 250 Beschäftigten und entweder 50 Mio. Jahresumsatz oder eine Bilanzsumme von 43 Mio. Euro überschreiten. Folgende Branchen gehören zu den Sektoren mit hoher Kritikalität:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (Busines-to-Business)
- Öffentliche Verwaltung
- Weltraum
Unternehmen gelten als „wichtige Einrichtungen“, wenn sie in einem der 18 Sektoren tätig und keine „wesentliche Einrichtung“ sind. Zu den oben genannten Sektoren kommen entsprechend hinzu:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Die genannten Sektoren unterteilt NIS2 noch in weitere Teilsektoren.
Klein- und Kleinstunternehmen können als Sonderfälle reguliert werden, wenn sie bestimmte Kriterien erfüllen, die auf eine Schlüsselrolle für die Gesellschaft, die Wirtschaft oder für bestimmte Wirtschaftsbereiche hindeuten.