NIS2 Anwendungsbereich-Check

NIS2 unterscheidet 'Sektoren mit hoher Kritikalität' (Anhang I) und 'sonstige kritische Sektoren' (Anhang II). Anhang I u.a.: Energie, Verkehr, Banken, Gesundheit, Wasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung, Raumfahrt. Anhang II u.a.: Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe (kritisch), digitale Anbieter, Forschung.

Schwellen nach KMU-Empfehlung 2003/361/EG: Mittel = <250 Beschäftigte UND (Jahresumsatz ≤50 Mio EUR ODER Bilanzsumme ≤43 Mio EUR); Klein = <50 Beschäftigte UND (Umsatz oder Bilanz ≤10 Mio EUR); Groß = überschreitet die Schwellen für mittlere Unternehmen.

Art. 2 Abs. 2 macht bestimmte Einrichtungen ohne Größenschwelle zu wesentlichen oder wichtigen Einrichtungen — u.a. qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Anbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, kritische Einrichtungen nach CER-Richtlinie (EU) 2022/2557, sowie Einrichtungen, die Dienste erbringen, deren Unterbrechung eine erhebliche Auswirkung auf öffentliche Sicherheit oder Gesundheit haben kann.

Art. 21 Abs. 2: Risikoanalyse, Vorfallsbewältigung, Geschäftskontinuität, Lieferkettensicherheit, Sicherheit in Beschaffung/Entwicklung/Wartung, Wirksamkeitsbewertung, Cyberhygiene-Praxis, Kryptografie, Personalsicherheit/Zugriffskontrolle/Asset Management, Multi-Faktor-Authentifizierung.

Art. 23: Frühwarnung binnen 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls, Erstbericht binnen 72 Stunden, Abschlussbericht spätestens nach einem Monat.