Herauszufinden welches Unternehmen von NIS-2 betroffen ist, stellt sich als ziemlich komplexe Angelegenheit dar und teilweise kann dies nicht eindeutig beurteilt werden. Das BSI selbst bietet unterschiedliche Hilfestellungen an, dennoch ist keine davon zu hundert Prozent aussagekräftig. Die nachfolgende Übersicht erklärt die Voraussetzungen für die Einteilung in besonders wichtige Einrichtungen (bwE) und wichtige Einrichtungen (wE) (§ 28 BSIG). Für Unternehmen, die entgeltlich Waren und Dienstleistung anbieten, müssen vor allem Anlage 1 und Anlage 2 genau gelesen werden und weitere Richtlinien, Verordnung oder ähnliches berücksichtigt werden.
Besonders wichtige Einrichtungen (bwE)
Ihr Unternehmen ist nach NIS-2 eine besonders wichtige Einrichtung, falls einer der genannten Punkte erfüllt ist:
- Sie sind Betreiber kritischer Anlagen (KRITIS). Darunter fallen Sektoren wie Energie, Wasser, Gesundheit, Transport, IT, Finanz- und Versicherungswesen, Siedlungsabfallentsorgung oder Ernährung. Störungen oder Ausfälle in diesen Sektoren würde die öffentliche Sicherheit oder Versorgung gefährden.
- Sie sind Qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter
- Sie sind Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetzte, und
- Beschäftigen mindestens 50 Mitarbeiter oder
- Weisen einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro auf
- Sie bieten entgeltlich Waren oder Dienstleistungen in einem der Sektoren laut Anlage 1 an, und
- Beschäftigen mindestens 250 Mitarbeiter oder
- Weisen einen Jahresumsatz von 50 Millionen und zudem eine Jahresbilanzsumme von über 43 Millionen Euro auf
Wichtige Einrichtungen (wE)
Ihr Unternehmen ist nach NIS-2 eine wichtige Einrichtung, falls einer der genannten Punkte erfüllt ist:
- Sie sind Vertrauensdiensteanbieter
- Sie sind Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetzte, und
- Beschäftigen weniger als 50 Mitarbeiter und
- Weisen einen Jahresumsatz oder eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger auf
- Sie bieten entgeltlich Waren oder Dienstleistungen in einem der Sektoren laut Anlage 1 und Anlage 2 an, und
- Beschäftigen mindestens 50 Mitarbeiter oder
- Weisen einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro auf
Wie aus dieser kurzen Übersicht zu erkennen ist, ist es nicht trivial die Frage nach der Betroffenheit zu beantworten. Vielleicht hilft Ihnen das nachfolgende Beispiel eines fiktiven Unternehmens weiter.
Folgende Eckdaten zu diesem Unternehmen:
- Entgeltlicher Verkauf von haushaltsüblichen Töpfen
- Mitarbeiter 300
- Jahresumsatz und Jahresbilanzsumme 8 Millionen Euro
Zugegeben, auf den ersten Blick würde wir eine NIS-2 Betroffenheit ausschließen. Allerdings sieht das Gesetz dies anders. Ein genauer Blick in Anlage 2 verrät auch den Grund dafür. Das Unternehmen fällt unter den Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“ in die Branche „Herstellung von elektrischen Ausrüstungen“ und unter die Einrichtungsart „Unternehmen, die eine der Wirtschaftstätigkeiten im Sinne des Abschnitts C Abteilung 27 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) ausüben“. Schlägt man in Abschnitts C Abteilung 27 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft nach, so sticht die „Herstellung von nichtelektrischen Haushaltsgeräten“ ins Auge. Haushaltsübliche Töpfe fallen in die Kategorie nichtelektrischer Haushaltsgeräten. Somit ist unser fiktives Unternehmen von NIS-2 betroffen.
Daher muss bei der Betroffenheitsprüfung explizit auf die Einrichtungsart der Brache im betroffenen Sektor geachtet werden.
Wir haben auch die Hilfestellungen des BIS getestet, einerseits den Online Fragebogen, der sofort eine Antwort liefert und anderseits das Service-Center des BIS.
Online Fragebogen
Vor dem Beginn der Prüfung mittels den Online Fragebogen wird auf folgendes hingewiesen:
„Bitte beachten Sie, dass die Hilfe zur Betroffenheitsprüfung von NIS-2 lediglich als Orientierungshilfe dient und Ihr Ergebnis rechtlich nicht bindend ist, da Ihre Antworten automatisiert erstellt und nicht vom BSI oder anderen unabhängigen Stellen geprüft werden. Es besteht kein Anspruch auf Vollständigkeit und Richtigkeit der Inhalte.“
Der online Fragebogen spiegelt hauptsächlich den Gesetzestext ab und ist innerhalb weniger Minuten zu beantworten.
Service Center
Auch bei direkter Nachfrage beim BSI über service-center@bsi.bund.de wird keine verbindliche Antwort zur Betroffenheit geliefert
„…die Bearbeitung Ihrer Anfrage in dem von Ihnen gewünschten Umfang entspräche einer Einzelfallberatung. Dies ist dem BSI außerhalb der Bundesverwaltung aus rechtlichen Gründen nicht gestattet. Wir bitten Sie deshalb, sich für eine Rechtsberatung an die dafür zugelassene Berufsgruppe zu wenden.“
Wie geht würde es nun für das fiktive Unternehmen weiter gehen? Folgendes Ergebnis liefert der online Fragebogen des BSI.
Da Sie angegeben haben, dass die Einrichtung Waren oder Dienstleistungen anbietet, die einer der in Anlage 1 oder Anlage 2 bestimmten Einrichtungsarten zuzuordnen sind und mindestens 50 Mitarbeitende beschäftigt, ist die Einrichtung entsprechend der von Ihnen getätigten Angaben voraussichtlich von NIS-2 betroffen. Nach Ihren Angaben gehört die Einrichtung zu den wichtigen Einrichtungen.
Daraus ergäben sich für die Einrichtung unter anderem folgende Pflichten:
- Pflicht zur Registrierung (§ 33 BSIG): Einrichtungen werden verpflichtet sein, eine Registrierung bei der zuständigen Behörde einzureichen. Dabei müssen unter anderem folgende Daten angegeben werden:
- Name der Einrichtung
- Rechtsform
- Handelsregisternummer
- Anschrift
- Kontaktdaten (E-Mail, Tel., öffentliche IP-Adressbereiche)
- relevanter Sektor (nach Anlagen 1 und 2) oder Branche
- Auflistung der EU-Mitgliedsstaaten, in denen Dienste nach Anlage 1 und 2 erbracht werden
- Zuständige Aufsichtsbehörde des Bundes und / oder der Länder
- Pflicht zur Umsetzung von Cybersicherheitsrisikomanagementmaßnahmen (§ 30 BSIG)
- Pflicht zur Meldung von erheblichen Sicherheitsvorfällen (§ 32 BSIG)
Für die Registrierungspflicht läuft die Frist betroffener Unternehmen am 06.03.2026 ab. Somit bleibt noch etwas Zeit die Frage nach der Betroffenheit zu klären. Wir helfen Ihnen gerne diese Frage zu beantworten!