
So ermitteln Sie, ob Ihr Unternehmen unter die NIS2-Compliance fällt
Als ENISA im Oktober 2024 ihren aktuellen Threat-Landscape-Bericht veröffentlichte, wurde ein Anstieg von 400% bei Cyberangriffen auf kritische Infrastrukturen in der EU hervorgehoben. Dieser Anstieg fällt mit dem Umsetzungsstichtag der NIS2-Richtlinie zusammen und bringt viele Unternehmen dazu, ihre Compliance-Verpflichtungen zu prüfen. Die Europäische Kommission schätzt, dass mittlerweile über 160.000 Organisationen unter den erweiterten Geltungsbereich fallen – ein dramatischer Anstieg im Vergleich zur ursprünglichen NIS-Richtlinie.
Zu bestimmen, ob Ihr Unternehmen unter die NIS2-Compliance-Anforderungen fällt, ist nicht einfach. Das komplexe Klassifizierungssystem der Richtlinie kombiniert Mitarbeiterzahlen, Umsatzschwellen und sektorspezifische Kriterien, die sich zwischen den Mitgliedstaaten unterscheiden. Eine Fehleinschätzung kann gravierende Folgen haben: Für wesentliche Einrichtungen drohen Verwaltungsstrafen von bis zu 10 Mio. € oder 2% des weltweiten Umsatzes, während wichtige Einrichtungen mit Strafen von bis zu 7 Mio. € oder 1,4% des Umsatzes rechnen müssen.
Diese Analyse erläutert die spezifischen Kriterien, Berechnungsmethoden und regulatorischen Besonderheiten, die die Anwendbarkeit von NIS2 bestimmen. Wir betrachten reale Szenarien, grenzüberschreitende Herausforderungen und die praktischen Schritte, die Compliance-Teams vor Beginn der Durchsetzungsphase ergreifen müssen.
Welche Daten-Compliance-Standards sind relevant?
Executive Summary
Was ist die Kernaussage? Die NIS2-Compliance hängt von drei miteinander verbundenen Faktoren ab: der Größe Ihres Unternehmens (Mitarbeiterzahl und Umsatz), den Sektoren, in denen Sie tätig sind, und Ihrer geografischen Präsenz in EU-Mitgliedstaaten. Die Richtlinie verfolgt einen gestuften Ansatz, bei dem wesentliche Einrichtungen strengeren Anforderungen unterliegen als wichtige Einrichtungen.
Warum ist das relevant? Eine falsche Einstufung Ihres NIS2-Status kann zu Millionenstrafen und betrieblichen Störungen führen. Da nationale Behörden mit der Durchsetzung beginnen, benötigen Unternehmen klare Leitlinien zur Bestimmung des Geltungsbereichs, um regulatorische Überraschungen zu vermeiden und geeignete Cybersecurity-Maßnahmen umzusetzen.
wichtige Erkenntnisse
-
Die Mitarbeiterzahl entscheidet, ob Unternehmen NIS2-konform sein müssen
Unternehmen mit 50+ Mitarbeitenden in wesentlichen Sektoren oder 250+ in wichtigen Sektoren fallen automatisch unter den NIS2-Geltungsbereich – unabhängig vom Umsatz.
-
Unternehmen in mehreren Sektoren müssen die strengsten Anforderungen erfüllen
Unternehmen, die in mehreren NIS2-Sektoren tätig sind, müssen die jeweils strengsten Anforderungen für ihre Hauptgeschäftstätigkeit erfüllen.
-
Grenzüberschreitende Aktivitäten erfordern Abstimmung mit mehreren Behörden
Unternehmen, die in mehreren EU-Staaten tätig sind, müssen sich bei jeder relevanten nationalen Behörde registrieren und mit unterschiedlichen Umsetzungsansätzen rechnen.
-
Umsatzschwellen hängen von Sektor und Konzernumsatz ab
Die jährlichen Umsatzschwellen variieren je nach Sektor: 10 Mio. € für wesentliche Dienste, 50 Mio. € für wichtige Einrichtungen – berechnet auf Basis konsolidierter Konzernzahlen.
-
Aufsicht und Sanktionen unterscheiden sich je nach Sektorzuordnung
Wesentliche Einrichtungen unterliegen strengeren Kontrollen und Sanktionen als wichtige Einrichtungen; sektorspezifische Anforderungen werden von den Behörden der Mitgliedstaaten festgelegt.
So wirken sich Mitarbeiterschwellen auf NIS2-Verpflichtungen aus
Die NIS2-Richtlinie definiert klare Mitarbeiterschwellen, doch die Berechnungsmethode überrascht viele Unternehmen. Nationale Behörden verwenden den durchschnittlichen Personalbestand des vorangegangenen Geschäftsjahres, einschließlich Vollzeitäquivalenten für Teilzeitkräfte und Zeitarbeitskräfte.
Wesentliche Einrichtungen: Die 50-Mitarbeiter-Grenze
Unternehmen, die wesentliche Dienste bereitstellen – Energie, Transport, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management und öffentliche Verwaltung – unterliegen der niedrigsten Schwelle. Jede Einrichtung mit 50 oder mehr Mitarbeitenden fällt automatisch unter die NIS2-Pflicht, unabhängig vom Umsatz.
Allerdings haben die Mitgliedstaaten die Möglichkeit, auch kleinere Unternehmen einzubeziehen, wenn diese als kritisch für die nationale Sicherheit oder wirtschaftliche Stabilität gelten. Das deutsche BSI hat beispielsweise angekündigt, bestimmte Energieunternehmen mit weniger als 50 Mitarbeitenden aufgrund ihrer Rolle bei der Netzanbindung als wesentlich einzustufen.
Wichtige Einrichtungen: Die 250-Mitarbeiter-Grenze
Wichtige Einrichtungen – darunter Postdienste, Abfallwirtschaft, Herstellung kritischer Produkte, digitale Anbieter und Forschungseinrichtungen – müssen mindestens 250 Mitarbeitende beschäftigen, um unter die NIS2-Pflicht zu fallen. Diese Schwelle entspricht der EU-Definition für KMU und sorgt für Konsistenz in den regulatorischen Rahmenwerken.
Tweet-taugliche Erkenntnis: NIS2-Mitarbeiterschwellen sind mehr als Kopfzahlen – sie umfassen auch externe Mitarbeitende, Zeitarbeitskräfte und FTEs über 12 Monate. #NIS2Compliance
Umsatzberechnung: Finanzielle Schwellenwerte richtig bestimmen
Umsatzschwellen gelten neben den Mitarbeiterzahlen und schaffen ein duales System, das Unternehmen anhand beider Kriterien erfasst. Die Berechnung erfolgt auf Basis konsolidierter Konzernzahlen, nicht auf Ebene einzelner Tochtergesellschaften – ein Detail, das den Geltungsbereich für multinationale Unternehmen erheblich erweitert.
Umsatzschwellen für wesentliche Dienste
Wesentliche Einrichtungen müssen einen Jahresumsatz von mehr als 10 Mio. € erzielen. Diese vergleichsweise niedrige Schwelle soll auch kleinere regionale Akteure in kritischen Sektoren erfassen. Ein kommunaler Wasserversorger mit 45 Mitarbeitenden, aber 12 Mio. € Umsatz fällt somit ebenfalls unter NIS2.
Die Europäische Bankenaufsichtsbehörde hat klargestellt, dass Finanzinstitute das Nettozinsergebnis und nicht klassische Umsatzzahlen heranziehen, während Energieunternehmen sowohl regulierte als auch nicht regulierte Umsätze berücksichtigen müssen.
Wichtige Einrichtungen: Die 50-Millionen-Euro-Grenze
Wichtige Einrichtungen unterliegen einer Schwelle von 50 Mio. €, was mittelständischen Unternehmen mehr Spielraum verschafft. Allerdings fließen konzerninterne Umsätze in die Berechnung ein, was Unternehmen unerwartet über die Schwelle bringen kann.
Hersteller haben diese Methodik bei der Europäischen Kommission kritisch hinterfragt. Ein deutscher Automobilzulieferer stellte fest, dass sein externer Umsatz von 45 Mio. € durch Verkäufe an Tochtergesellschaften des Mutterkonzerns auf 52 Mio. € anstieg.
Tweet-taugliche Erkenntnis: NIS2-Umsatzberechnungen beinhalten konzerninterne Umsätze – Ihr tatsächlicher Schwellenwert kann höher liegen als der externe Umsatz vermuten lässt.
Sektorklassifizierung: Wesentliche vs. wichtige Einrichtungen
Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen ist mehr als semantisch – sie bestimmt die Intensität der Regulierung, das Sanktionsrisiko und den Aufsichtsansatz.
Wesentliche Sektoren: Strenge Aufsicht
Wesentliche Einrichtungen sind in Sektoren tätig, deren Ausfall gravierende Auswirkungen auf Gesellschaft oder Wirtschaft hätte. Diese Unternehmen unterliegen:
- Direkter Aufsicht durch nationale Behörden
- Verpflichtender Sicherheitsvorfallmeldung innerhalb von 24 Stunden
- Regelmäßigen Sicherheitsüberprüfungen und Audits
- Höheren Verwaltungssanktionen (bis zu 10 Mio. € oder 2% des weltweiten Umsatzes)
Das Beispiel Energiesektor verdeutlicht diesen Ansatz: Übertragungsnetzbetreiber gelten unabhängig von ihrer Größe automatisch als wesentliche Einrichtungen aufgrund ihrer Rolle im Netzmanagement.
Wichtige Einrichtungen: Angemessene Anforderungen
Wichtige Einrichtungen unterstützen wesentliche Dienste, stellen diese aber nicht direkt bereit. Sie unterliegen einer weniger strengen Regulierung mit:
- Selbsteinschätzung und freiwilligen Meldeverfahren
- 72-Stunden-Meldepflicht bei Vorfällen
- Risikobasierter Aufsicht
- Niedrigeren Sanktionsobergrenzen (7 Mio. € oder 1,4% des weltweiten Umsatzes)
Digitale Dienstleister zeigen die Komplexität dieser Kategorie: Cloud-Infrastruktur-Anbieter gelten als wesentliche Einrichtungen, während Software-as-a-Service-Unternehmen meist als wichtige Einrichtungen eingestuft werden.
Multi-Sektor-Unternehmen: Komplexe Klassifizierungen meistern
Unternehmen, die in mehreren NIS2-Sektoren tätig sind, stehen vor Klassifizierungsherausforderungen, die eine sorgfältige rechtliche Analyse erfordern. Die Richtlinie gibt für diversifizierte Geschäftsmodelle keine eindeutigen Vorgaben.
Bestimmung der Haupttätigkeit
Nationale Behörden nutzen in der Regel die Umsatzverteilung zur Bestimmung der Hauptsektorklassifizierung. Ein Telekommunikationsunternehmen mit signifikantem Cloud-Umsatz könnte als digitale Infrastruktur (wesentlich) statt als digitaler Dienst (wichtig) eingestuft werden.
Frankreichs ANSSI hat eine 60%-Umsatzschwelle eingeführt: Kommen mehr als 60% des Umsatzes aus wesentlichen Diensten, wird das gesamte Unternehmen als wesentliche Einrichtung klassifiziert. Andere Mitgliedstaaten beobachten diesen Ansatz aufmerksam.
Tochtergesellschaften vs. Konzernbewertung
Die Konzernstruktur beeinflusst die NIS2-Klassifizierung maßgeblich. Einige Mitgliedstaaten bewerten jede juristische Person einzeln, andere wenden eine gruppenweite Betrachtung an. Diese Inkonsistenz erschwert die Compliance für multinationale Unternehmen.
Ein europäischer Energiekonzern stellte fest, dass seine Tochtergesellschaft für erneuerbare Energien in Deutschland als wesentliche Einrichtung galt, in Spanien jedoch aufgrund unterschiedlicher Bewertungsmethoden nicht unter den Geltungsbereich fiel.
Grenzüberschreitende Aktivitäten: Unterschiede zwischen Mitgliedstaaten
Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, sehen sich trotz der Harmonisierung durch die Richtlinie mit einem Flickenteppich an Umsetzungsansätzen konfrontiert.
Registrierungspflichten
Jeder Mitgliedstaat führt ein eigenes NIS2-Register mit separaten Registrierungsprozessen. Die niederländische NCSC hat dies durch digitale Portale vereinfacht, während in Italien in einigen Regionen weiterhin papierbasierte Einreichungen erforderlich sind.
Grenzüberschreitend tätige Unternehmen müssen sich bei der zuständigen Behörde jedes Mitgliedstaats registrieren, in dem sie die Klassifizierungskriterien erfüllen. Dies kann zu mehreren Aufsichtsbeziehungen und potenziell widersprüchlichen Anforderungen führen.
Koordination der Durchsetzung
Die NIS-Kooperationsgruppe fördert den Informationsaustausch zwischen den nationalen Behörden, doch die Durchsetzungsansätze variieren stark. Nordische Länder setzen auf kooperative Compliance-Unterstützung, während südeuropäische Behörden formelle Prüfverfahren bevorzugen.
Tweet-taugliche Erkenntnis: Gleiches Unternehmen, unterschiedliche NIS2-Behandlung – Unterschiede in der Umsetzung durch die Mitgliedstaaten erschweren die Compliance im grenzüberschreitenden Geschäft.
Fazit
Die Bestimmung der NIS2-Compliance erfordert eine systematische Analyse von Mitarbeiterzahlen, Umsatzschwellen, Sektorklassifizierungen und geografischen Aktivitäten. Der erweiterte Geltungsbereich der Richtlinie erfasst Unternehmen, die bisher nicht unter Cybersicherheitsregulierung fielen, und schafft neue Pflichten für Betreiber kritischer Infrastrukturen.
Unternehmen müssen über einfache Schwellenwertprüfungen hinausgehen und ihre spezifische regulatorische Exponierung verstehen. Dazu gehört die Zuordnung der Geschäftstätigkeiten zu NIS2-Sektoren, die Berechnung konsolidierter Umsätze und die Identifikation aller relevanten Mitgliedstaaten. Die Komplexität steigt für multinationale Unternehmen mit Aktivitäten in mehreren Sektoren und Ländern.
Erfolg erfordert robuste Cybersecurity-Frameworks, die die NIS2-Anforderungen an Risikomanagement, Vorfallmeldung und Geschäftskontinuität erfüllen. Unternehmen benötigen einheitliche Sicherheitsrichtlinien für alle Datenkommunikationskanäle, umfassende Audit-Trails für die verpflichtende Meldung von Datenschutzverstößen und Echtzeit-Bedrohungserkennung. Die regulatorische Landschaft verlangt Lösungen, die sich an unterschiedliche Anforderungen der Mitgliedstaaten anpassen und gleichzeitig ein konsistentes Sicherheitsniveau gewährleisten.
Betreiber kritischer Infrastrukturen müssen Altsysteme modernisieren und die umfassenden Cybersecurity-Maßnahmen umsetzen, die NIS2 vorschreibt. Dies erfordert Plattformen, die Sicherheitsrichtlinien standardisieren, unveränderliche Audit-Logs bereitstellen und eine schnelle Incident Response unterstützen – und dabei die Betriebsfähigkeit wesentlicher Dienste sicherstellen.
Kiteworks unterstützt Unternehmen bei NIS2 mit sicherem und konformem Filesharing
Das Private Data Network von Kiteworks adressiert die Herausforderungen der NIS2-Compliance durch eine einheitliche Plattform, die Sicherheitsrichtlinien über sichere E-Mails, Kiteworks Filesharing, sicheres Managed File Transfer und SFTP-Kanäle hinweg standardisiert.
Kiteworks bietet AES-256-Verschlüsselung, rollenbasierte Zugriffskontrolle (RBAC) und umfassende Audit-Trails, die die verpflichtenden Meldeanforderungen unterstützen. Mit Echtzeit-Erkennung von Anomalien und granularer Richtliniendurchsetzung ermöglicht Kiteworks Betreibern kritischer Infrastrukturen, die NIS2-Cybersicherheitsanforderungen zu erfüllen und gleichzeitig die Effizienz zu erhalten. Das bewährte Compliance-Framework der Plattform, gestützt durch ISO 27001-, FedRAMP– und SOC 2-Zertifizierungen, gibt Unternehmen Sicherheit im regulatorischen Umfeld mehrerer EU-Länder.
Erfahren Sie mehr über Kiteworks für die NIS2-Compliance und individuelle Demo.
Häufig gestellte Fragen
Um die NIS2-Compliance zu bestimmen, prüfen Sie, ob Ihr Unternehmen in einem kritischen oder wichtigen Sektor (z. B. Energie, Gesundheitswesen, IT) innerhalb der EU tätig ist oder EU-Kunden bedient. Haben Sie 50+ Mitarbeitende oder einen Jahresumsatz über 10 Mio. € (wesentlich) bzw. 50 Mio. € (wichtig), fallen Sie wahrscheinlich unter den Geltungsbereich. Multi-Sektor- und grenzüberschreitende Aktivitäten erhöhen ebenfalls die NIS2-Anwendbarkeit. Überprüfen Sie Ihre Sektorklassifizierung und konsultieren Sie nationale Behörden zur Bestätigung.
Wesentliche Einrichtungen mit 50+ Mitarbeitenden und wichtige Einrichtungen mit 250+ Mitarbeitenden müssen die NIS2-Richtlinie erfüllen. Dazu zählen Vollzeitäquivalente, berechnet als Durchschnitt des vorangegangenen Geschäftsjahres, einschließlich Zeitarbeitskräfte und externe Mitarbeitende. Die NIS2-Anwendbarkeit kann auch durch Mitgliedstaaten beeinflusst werden, die kleinere Unternehmen als wesentlich einstufen, wenn sie für die nationale Sicherheit kritisch sind.
Zur Berechnung der Umsatzschwellen für die NIS2-Compliance nutzen Sie den konsolidierten Konzernumsatz: 10 Mio. € für wesentliche Einrichtungen, 50 Mio. € für wichtige Einrichtungen. Berücksichtigen Sie konzerninterne Umsätze und Umsätze von Tochtergesellschaften. Finanzinstitute verwenden das Nettozinsergebnis, Energieunternehmen berücksichtigen regulierte und nicht regulierte Umsätze.
Nach NIS2 unterliegen wesentliche Einrichtungen einer strengeren Kontrolle mit 24-Stunden-Meldepflicht, direkter Aufsicht und Sanktionen bis zu 10 Mio. € oder 2% des weltweiten Umsatzes. Wichtige Einrichtungen haben eine 72-Stunden-Meldepflicht, Selbsteinschätzung und niedrigere Sanktionen von 7 Mio. € oder 1,4% des Umsatzes.
Ja, um NIS2 zu erfüllen, müssen Sie sich bei der zuständigen Behörde jedes Mitgliedstaats registrieren, in dem Sie die NIS2-Klassifizierungskriterien erfüllen. Jedes Land führt eigene Register mit unterschiedlichen Prozessen – von digitalen Portalen bis zu papierbasierten Einreichungen.
Weitere Ressourcen
- Brief So führen Sie eine NIS2-Readiness-Analyse durch
- Video NIS2-Richtlinie: Anforderungen, Pflichten und wie Kiteworks bei der Compliance unterstützt
- Blog Post NIS2-Compliance für kleine Unternehmen: Der Leitfaden
- Blog Post NIS2-Richtlinie: Was bedeutet sie für Ihr Unternehmen?
- Blog Post NIS2-Richtlinie: Effektive Umsetzungsstrategien