NIS2 teilt betroffene Einrichtungen in zwei Kategorien: Wesentliche Einrichtungen (Essential Entities) und Wichtige Einrichtungen (Important Entities). Die Kategorie bestimmt, wie streng die Aufsicht ist und wie hoch die Bußgelder ausfallen können.
Schwellenwerte
Wesentliche Einrichtungen (höhere Anforderungen):
- ≥ 250 Mitarbeitende ODER
- ≥ €50 Mio. Jahresumsatz ODER
- ≥ €43 Mio. Jahresbilanzsumme
- In Sektoren des Anhangs I
Wichtige Einrichtungen (ebenfalls erhebliche Pflichten):
- ≥ 50 Mitarbeitende ODER
- ≥ €10 Mio. Jahresumsatz
- In Sektoren des Anhangs II
Betroffene Sektoren
Anhang I — Wesentliche Einrichtungen:
Energie (Strom, Gas, Wärme, Erdöl, Wasserstoff) · Verkehr (Luft, Bahn, Wasser, Straße) · Bankwesen · Finanzmarktinfrastruktur · Gesundheitswesen · Trinkwasser · Abwasser · Digitale Infrastruktur · ICT-Dienstleistungsmanagement · Öffentliche Verwaltung · Weltraum
Anhang II — Wichtige Einrichtungen (NEU in NIS2):
Post und Kurier · Abfallwirtschaft · Chemikalien · Lebensmittel · Maschinenbau, Elektrotechnik, Fahrzeugbau, Medizintechnik · Anbieter digitaler Dienste · Forschungseinrichtungen
Registrierungspflicht
Betroffene Unternehmen müssen sich beim BSI registrieren. Alle betroffenen Unternehmen sind verpflichtet, sich zu melden — auch ohne Aufforderung.