Seite 3: Diese Unternehmen sind betroffen

Inhaltsverzeichnis

Mit einigen Ausnahmen, aber in den allermeisten Fällen gilt künftig ein leicht zu merkendes Mengengerüst: Unternehmen aus einem der achtzehn Sektoren mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz sind "wichtige Einrichtungen", "important entities" in der EU-Richtlinie. Ab mehr als 250 Mitarbeitern oder 50 Millionen Euro Umsatz im Jahr fallen Unternehmen unter die wesentlichen Einrichtungen – so heißen die "essential entities" gemäß der offiziellen deutschen Übersetzung des EU-Sprachendienstes immerhin in Österreich, während das Bundesinnenministerium beschlossen hat, sie in Deutschland "besonders wichtige Einrichtungen" zu nennen.

Der Unterschied zwischen "wichtig" und "besonders wichtig" besteht vor allem darin, dass nur letztere Einrichtungen einer sogenannten Ex-ante-Regulierung unterliegen. Besonders wichtige Einrichtungen sind demnach – wie schon die bisherigen KRITIS-Betreiber – zum aktiven Nachweis des Einhaltens der Regeln verpflichtet. Für die wichtigen Einrichtungen gelten die Anforderungen der NIS2 ohne Abstriche auch, ohne jedoch einer regelmäßigen Nachweispflicht zu unterliegen. Bei einem Vorfall oder begründeten Verdacht können die Aufsichtsbehörden aber jederzeit Nachweise einfordern.

Von der einfachen "size cap rule", also dem Einteilen der kritischen Einrichtungen nach Unternehmensgröße, gibt es natürlich Ausnahmen. Die haben es in sich, insbesondere im ITK-Bereich: Für Einrichtungen wie Domain-Name-Services oder Vertrauensdienste mit qualifiziertem Signaturmanagement, die nach der NIS2 sozusagen als superkritisch gelten, spielt die Unternehmensgröße keine Rolle. Auch kleine oder Kleinstunternehmen, die solche Dienste anbieten, gelten als besonders wichtige Einrichtungen – mit allen Pflichten, die daraus resultieren. Auch deshalb lohnt es sich, die Betroffenheit des eigenen Unternehmens genau zu ermitteln.