ZENTRALE:

T +49 4621 5 30 40 50 mail[at]konzept17.de
Schloss als Symbol für Datenschutz und It-Sicherheit

Die neue NIS2-Richtlinie – Teil 1

Welchen Zweck hat die neue NIS2-Richtlinie (EU)2022/2555?

In dieser Richtlinie werden Maßnahmen festgelegt, mit denen in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um so das Funktionieren des Binnenmarkts zu verbessern.

Ist mein Unternehmen betroffen?

Die Richtlinie betrifft die öffentliche Verwaltung auf nationaler und regionaler Ebene und private Unternehmen, die in bestimmten Sektoren / Branchen tätig sind und eine definierte Personenanzahl beschäftigt und bestimmte Jahresumsätze bzw. Jahresbilanzsummen erreichen.

  • Unternehmen mit 50 – 249 Personen und einem Jahresumsatz über 10 Mio. € bis 50 Mio. € oder einer Jahresbilanzsumme bis 43 Mio. € gelten als mittlere Unternehmen und unterliegen dieser Richtlinie, wenn Ihr Unternehmen dazu noch in folgenden Sektoren / Branchen tätig ist.

Artikel 2 Abs. 1 NIS2-Richtlinie der EU

(1) Diese Richtlinie gilt für öffentliche oder private Einrichtungen der in den Anhang I oder II genannten Art, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes Artikels überschreiten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben

Welche Sektoren sind von der NIS2-Richtlinie betroffen?

Die NIS2-Richtlinie klassifiziert die Sektoren / Branchen in die Bereiche „Wesentlich“ („Essential“) und „Wichtig“ („Important“). Ich habe die entsprechenden Verordnungen / Richtlinien der EU verlinkt.

Als „Wesentlich“ eingestuft, sind folgende Sektoren:

  1. Energie (Strom, Öl, Gas, Wärme, Wasserstoff)
  2. Verkehr (Luft, Schiene, Schiff, Straße)
  3. Bankwesen
  4. Finanzmarktinfrastrukturen
  5. Gesundheitswesen (Gesundheitsdienstleister i.S.d. Art. 3 lit. g 2011/24/EU, EU- Referenzlaboratorien, Einrichtung der Forschung und Entwicklung mit Bezug auf Arzneimittel (Artikels 15 der Verordnung (EU) 2022/2371), Pharma (Nace Rev. 2 Abschnitt 21), Medizinproduktehersteller i.S.d. Art. 22 EU-Verordnung 2022/123
  6. Trink- und Abwasser
  7. Digitale Infrastruktur (Betreiber von Internetknoten, DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Vertrauensdienstanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze oder Kommunikationsdienste
  8. Verwaltung von IKT-Diensten (B2B) (Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste
  9. Öffentliche Verwaltung (Zentrale und regionale Verwaltungen)

Als „Wichtig“ eingestuft, sind folgende Sektoren:

  1. Post- und Kurierdienste (Artikel 2 Nummer 1 der Richtlinie 97/67/EG)
  2. Abfallbewirtschaftung (i.S.d. Artikel 3 Nummer 9 Richtlinie 2008/98/EG)
  3. Produktion, Herstellung und Handel mit chemischen Rohstoffen (Artikels 3 Nummern 9 und 14 der Verordnung (EG) Nr. 1907/2006)
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln (Art. 3 Nummer 2 Verordnung (EG) Nr. 178/2002)
  5. Verarbeitendes Gewerbe / Herstellung von Waren (Medizinprodukte und In-Vitro-Diagnostika Art.2 Nr. 1 EU (EU) 2017/745, Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektronischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und Kraftwagenteile, Sonstiger Fahrzeugbau NACE Rev. 2)
  6. Anbieter digitaler Dienste (Anbieter von Online-Marktplätzen, Anbieter von Online-Suchmaschinen, Anbieter von Plattformen für Dienste sozialer Netzwerke)
  7. Forschung

Mein Fazit: Es werden weit mehr Unternehmen und öffentliche Stellen unter diese Richtlinie fallen, als bisher.

Im 2. Teil der Artikel-Reihe zeige ich auf, welche Maßnahmen als Mindestanforderungen umgesetzt werden müssen und informiere über viele weitere Neuerungen zur NIS-2-Richtlinien.

Wenn Sie sich näher mit diesem oder verwandten Themen beschäftigen wollen oder müssen, nehmen Sie gern Kontakt auf.

 

Autor: Dirk Bussenius

27. Januar 2023

 

Datenschutz-News

Wir geben Antworten,
bevor Sie Fragen haben.

News BLOG »