Allgemein, 12. Juni 2024
Kritische Einrichtungen, besonders wichtige Einrichtungen und wichtige Einrichtungen

Ein Überblick über die NIS-2-Kategorien

Vorrausichtliche Lesezeit: 4 Minuten

Im Zeichen der NIS-2-Richtlinie

Die NIS-2-Richtlinie (Network and Information Security) der EU rückt die Cybersicherheit ins Zentrum der Aufmerksamkeit zahlreicher Organisationen. Diese Richtlinie, die bis zum 17. Oktober 2024 in nationales Recht überführt werden muss, setzt neue Mindestanforderungen für Cybersicherheit und erweitert die bisherigen Regelungen erheblich. Insbesondere in Deutschland führt dies zu einer Umstrukturierung und Ausweitung der Regulierung für kritische Infrastrukturen (KRITIS). Dieser Artikel beleuchtet die verschiedenen Kategorien der NIS-2-Richtlinie – kritische Einrichtungen, besonders wichtige Einrichtungen und wichtige Einrichtungen – und erläutert die Auswirkungen für betroffene Organisationen.

Kategorien und Anforderungen der NIS-2-Richtlinie

Die NIS-2-Richtlinie klassifiziert Organisationen nach ihrer Kritikalität und Bedeutung in zwei Hauptkategorien, die jeweils unterschiedliche Anforderungen erfüllen müssen:

  • Wesentliche Einrichtungen
  • Wichtige Einrichtungen

In Deutschland erfolgt die nationale Umsetzung jedoch in drei Kategorien:

  • Betreiber kritischer Anlagen
  • Besonders wichtige Einrichtungen
  • Wichtige Einrichtungen

Hinweis: Die KRITIS-Betreiber mit Anlagenlogik und Schwellenwerten bleiben parallel als Betreiber bestehen.

Besonders wichtige Einrichtungen

Definition und Bedeutung: Besonders wichtige Einrichtungen sind Organisationen, die eine zentrale Rolle für die öffentliche Sicherheit und die Versorgungssicherheit spielen. Dazu gehören beispielsweise mittelgroße Krankenhäuser, bedeutende Forschungseinrichtungen oder Hersteller lebenswichtiger Produkte.

Anforderungen:

  • Risikomanagementmaßnahmen: Es sind umfassende organisatorische und technische Maßnahmen erforderlich, die spezifisch an die jeweilige Branche angepasst werden müssen.
  • Registrierungspflicht: Diese Einrichtungen müssen sich innerhalb von drei Monaten beim BSI registrieren.
  • Meldepflichten: Sicherheitsvorfälle müssen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, gemeldet werden.
  • Staatliche Aufsicht: Es finden regelmäßige Überprüfungen durch das BSI statt, die jedoch weniger intensiv sind als bei kritischen Einrichtungen.

Kriterien für besonders wichtige Einrichtungen:

Zu den besonders wichtigen Einrichtungen gemäß NIS2 zählen Großunternehmen aus den Sektoren in NIS2-Anlage 1 sowie einige Unternehmen unabhängig von ihrer Größe und KRITIS-Betreiber. Entscheidende Faktoren sind die Anzahl der Mitarbeiter (FTE) oder der jährliche Umsatz und die Bilanzsumme (§28 (1)).

Die Sektoren für Einrichtungen sind in Anlage 1 des NIS2-Umsetzungsgesetzes definiert, die Zugehörigkeit als Einrichtung hängt an Unternehmensgröße, Teilsektor und Art.

Wichtige Einrichtungen

Definition und Bedeutung: Wichtige Einrichtungen sind Organisationen, die für bestimmte Wirtschafts- und Gesellschaftsbereiche relevant sind, jedoch nicht die gleiche Kritikalität wie die vorhergehenden Kategorien aufweisen. Dazu gehören beispielsweise kleinere Gesundheitsdienstleister, mittlere Versorgungsunternehmen und bestimmte Dienstleistungen im Bereich der öffentlichen Verwaltung.

Anforderungen:

  • Risikomanagementmaßnahmen: Diese Einrichtungen müssen spezifische Sicherheitsmaßnahmen implementieren, die jedoch weniger umfangreich sind als bei den kritischen Einrichtungen.
  • Registrierungspflicht: Eine Registrierung beim BSI ist erforderlich, mit einer Frist von drei Monaten.
  • Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, wobei die Anforderungen etwas gelockert sind.
  • Staatliche Aufsicht: Die Überprüfungen durch das BSI sind weniger intensiv und häufiger stichprobenartig.

Kriterien für wichtige Einrichtungen:

Die wichtigen Einrichtungen gemäß NIS2 (Important Entities) sind Großunternehmen und mittlere Unternehmen aus den Sektoren in NIS2-Anlage 1 und 2. Entscheidende Faktoren sind die Anzahl der Mitarbeiter (FTE) oder der jährliche Umsatz und die Bilanzsumme (§28 (2)).

Die Sektoren für Einrichtungen sind in Anlage 1 und 2 des NIS2-Umsetzungsgesetzes definiert, die Zugehörigkeit als Einrichtung hängt an Unternehmensgröße, Teilsektor und Art.

Zusammenstellung NIS2-Sektoren

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen Betreiber kritischer Infrastrukturen (KRITIS) werden unter der NIS2-Richtlinie zu Betreibern kritischer Anlagen umklassifiziert. Die bestehende KRITIS-Logik, die KRITIS-Sektoren, kritische Dienstleistungen und Anlagen mit Schwellenwerten (z.B. ≥500.000 versorgte Personen) umfasst, bleibt dabei bestehen.

Kriterien für Betreiber kritischer Anlagen:

  • Betreiber kritischer Anlagen werden neben ihrer KRITIS-Klassifizierung automatisch als besonders wichtige Einrichtungen eingestuft.
  • Das KRITIS-Dachgesetz regelt ebenfalls Betreiber kritischer Anlagen, einschließlich der gleichen Sektoren und Anlagen, die voraussichtlich 2024 in einer Verordnung spezifiziert werden.

Zusammenstellung Betreiber kritischer Anlagen

Bundesverwaltung

Im Sektor Staat regelt die NIS2-Umsetzung spezifisch die Einrichtungen der Bundesverwaltung. Zusätzlich unterliegen diese Einrichtungen auch den Bestimmungen des KRITIS-Dachgesetzes.

Fazit

Die NIS-2-Richtlinie setzt hohe Standards für die Cybersicherheit in vielen Organisationen. Mit den Kategorien kritische Einrichtungen, besonders wichtige Einrichtungen und wichtige Einrichtungen wird eine gezielte Regulierung eingeführt, die den speziellen Risiken und Bedürfnissen der jeweiligen Organisationen entspricht. Es ist wichtig, dass sich betroffene Organisationen schnell mit den neuen Anforderungen vertraut machen und entsprechende Maßnahmen ergreifen, um den gestiegenen Sicherheitsanforderungen zu genügen und hohe Strafen zu vermeiden. Die Umsetzung dieser Maßnahmen ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein entscheidender Schritt zur Stärkung der Cybersicherheit und zur Sicherstellung der Betriebsfähigkeit in einer zunehmend digitalisierten Welt.

Starten Sie mit einer Selbsteinschätzung: Nutzen Sie unser NIS2-Quiz, um schnell festzustellen, ob und in welchem Umfang Ihr Unternehmen betroffen ist.

Quellenangabe

Hinterlassen Sie uns Feedback zum
Beitrag. Wir würden uns freuen!

Eigenen Kommentar schreiben

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Unser Newsletter informiert Sie wöchentlich.
Bleiben Sie Up-to-date
und schreiben Sie sich ein!1
Thema wählen
/
Your subscription could not be saved. Please try again.
Your subscription has been successful.

Rayzr.tech verpflichtet sich, Ihre Privatsphäre zu schützen und zu respektieren. Um Ihnen die gewünschten Inhalte bereitzustellen, müssen wir Ihre persönlichen Daten speichern und verarbeiten. Wenn Sie damit einverstanden sind, dass wir Ihre persönlichen Daten für diesen Zweck speichern, aktivieren Sie bitte das folgende Kontrollkästchen. Mit der Bestätigung stimmen Sie auch zu andere Benachrichtigungen von rayzr.tech zu erhalten. Sie können diese Benachrichtigungen jederzeit abbestellen. Weitere Informationen zum Abbestellen, zu unseren Datenschutzverfahren und dazu, wie wir Ihre Privatsphäre schützen und respektieren, finden Sie in unserer Datenschutzrichtlinie.