Zum Hauptinhalt springen
DemiCloud LogoDemiCloud

NIS-2: Bin ich als KMU betroffen? Der Schnell-Check

Seit das NIS-2-Umsetzungsgesetz in Kraft ist, stellen sich viele Unternehmer dieselbe Frage: Betrifft mich das überhaupt? Die Antwort ist nicht immer offensichtlich, denn es gibt zwei ganz verschiedene Wege in die Pflicht. Dieser Schnell-Check führt Sie durch beide.

Zwei Wege in die NIS-2-Pflicht

Sie können auf zwei Arten betroffen sein. Direkt, wenn Ihr Unternehmen die Schwellenwerte erreicht und in einem der betroffenen Sektoren arbeitet. Oder indirekt über die Lieferkette, wenn Sie ein direkt betroffenes Unternehmen beliefern. Schauen wir uns beide an.

Sind Sie direkt betroffen?

Für die direkte Pflicht müssen zwei Dinge zusammenkommen: eine bestimmte Größe und ein bestimmter Sektor.

Die Größe. Direkt betroffen sind Unternehmen ab 50 Mitarbeitern oder mit mehr als 10 Millionen Euro Jahresumsatz. Das Gesetz unterscheidet dabei zwischen wichtigen Einrichtungen (50 bis 249 Mitarbeiter) und besonders wichtigen Einrichtungen (ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz).[1] Beide sind in der Pflicht. Bei den besonders wichtigen Einrichtungen schaut die Aufsicht nur genauer hin.

Der Sektor. Größe allein reicht nicht. Ihr Unternehmen muss zu einem der 18 Sektoren gehören, die das Gesetz benennt.[2]

Die 18 Sektoren im Überblick

Sektoren mit hoher Kritikalität:

  • Energie
  • Verkehr und Transport
  • Bankwesen und Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trink- und Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten
  • Öffentliche Verwaltung
  • Weltraum

Weitere kritische Sektoren:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie (Produktion und Handel)
  • Lebensmittel (Produktion, Verarbeitung, Handel)
  • Verarbeitendes Gewerbe, darunter Medizinprodukte, Elektronik, Maschinenbau und Fahrzeugbau
  • Digitale Dienste wie Online-Marktplätze, Suchmaschinen und soziale Netzwerke
  • Forschung

Wenn Sie sich in dieser Liste wiederfinden und die Größenschwelle erreichen, sind Sie mit hoher Wahrscheinlichkeit direkt betroffen.

Sind Sie über die Lieferkette betroffen?

Vielleicht liegen Sie unter den Schwellenwerten oder arbeiten in keinem der Sektoren. Dann sind Sie nicht direkt in der Pflicht. Über die Lieferkette kann Sie NIS-2 trotzdem erreichen: nämlich dann, wenn Sie ein betroffenes Unternehmen beliefern oder für es IT-Leistungen erbringen. Die Anforderungen kommen in diesem Fall nicht vom Staat, sondern aus dem Vertrag mit Ihrem Kunden. Wie das abläuft, lesen Sie in NIS-2 durch die Hintertür.

Der Schnell-Check

Drei Fragen reichen für eine erste Einschätzung:

  1. Hat Ihr Unternehmen 50 oder mehr Mitarbeiter, oder über 10 Millionen Euro Jahresumsatz?
  2. Gehören Sie zu einem der 18 Sektoren oben?
  3. Beliefern Sie ein betroffenes Unternehmen aus diesen Sektoren oder erbringen Sie IT-Leistungen für eines?

Zweimal Ja bei den Fragen 1 und 2 bedeutet: Sie sind sehr wahrscheinlich direkt betroffen. Ein Ja bei Frage 3 bedeutet: Die Anforderungen kommen über Ihren Kunden auf Sie zu, auch wenn Sie selbst nicht direkt betroffen sind.

Was Sie jetzt tun sollten

Sind Sie direkt betroffen, müssen Sie sich beim BSI registrieren und die geforderten Sicherheitsmaßnahmen umsetzen. Welche das sind, zeigt unsere NIS-2-Checkliste.

Sind Sie unsicher, ist das völlig normal. Die Einstufung hat ihre Tücken, gerade an den Grenzen der Schwellenwerte und bei verschachtelten Firmenstrukturen. Im Zweifel lohnt sich eine kurze, fundierte Klärung, bevor Sie Zeit in Maßnahmen stecken, die Sie vielleicht gar nicht brauchen.

Häufige Fragen

Zählen Mitarbeiter und Umsatz gemeinsam oder reicht eins? Für die Größe reicht in der Regel eines von beiden. Wer 50 Mitarbeiter hat, fällt darunter, auch wenn der Umsatz niedriger liegt. Bei verbundenen Unternehmen werden die Zahlen oft zusammengerechnet, was die Sache komplizierter macht.

Mein Sektor steht nicht in der Liste. Bin ich raus? Direkt ja. Über die Lieferkette kann Sie NIS-2 aber trotzdem treffen, sobald Sie betroffene Unternehmen beliefern.

Wer stellt rechtsverbindlich fest, ob ich betroffen bin? Das ist eine juristische Frage. Wir übernehmen die technische Einschätzung und Vorbereitung; die rechtsverbindliche Feststellung gehört in die Hände eines Anwalts. Bei Bedarf vermitteln wir.

Nicht sicher, in welche Kategorie Sie fallen? Im Betroffenheits-Check klären wir Ihre Situation und Sie erhalten eine klare Empfehlung für die nächsten Schritte.

Quellen

  1. Größenschwellen und Einstufung als besonders wichtige oder wichtige Einrichtung: § 28 BSIG.
  2. Betroffene Sektoren: Anlagen 1 und 2 zum BSIG, in Verbindung mit § 28 BSIG.

Unsicher, ob und wie NIS-2 Sie betrifft?

Im Betroffenheits-Check klären wir Ihre Situation und Sie erhalten eine klare Empfehlung für die nächsten Schritte.

Zum Betroffenheits-Check
DemiCloud LogoDemiCloud

Performance ist kein Zufall. Webentwicklung und digitale Beratung nach dem DEMI-Prinzip für UnternehmerInnen, die Klartext schätzen.

DemiCloud
Lederinstr. 6
94065 Waldkirchen
E-Mail: info@demicloud.com

Navigation

Rechtliches

Die andere Hälfte des Internets