NIS2-Betroffenheitsanalyse

NIS2-Betroffenheitsprüfung: Dieser Fragebogen (Quick-Check) ermöglicht eine Ersteinschätzung, ob Ihr Unternehmen zu den betroffenen Unternehmen zählt und welche Anforderungen auf das Unternehmen zukommen.

Die NIS2-Richtlinie findet Anwendung auf sämtliche Unternehmen, die in der Europäischen Union Dienstleistungen erbringen, wenn sie gewisse Kriterien erfüllen. Maßgeblich sind dabei die Mitarbeiterzahl, der Jahresumsatz, Bilanzsumme und die Sektorzugehörigkeit. Bereits ab 50 Mitarbeitern oder einer Bilanzsumme >10 Mio. EUR kann eine Betroffenheit vorliegen.

Wichtig: Betroffene Unternehmen werden sich selber identifizieren müssen, d. h. es wird voraussichtlich keine separate Aufforderung einer Aufsichtsbehörde dazu geben.

Start Quick Check

Dem Fragebogen liegen die aktuellen Definitionen des Entwurfs des NIS2-Umsetzungsgesetz zugrunde:

Definitionen:
(1) Eine besonders wichtige Einrichtung ist
eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die, einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und;
a) mindestens 250 Mitarbeiter beschäftigt, oder
b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweist;
ein qualifizierter Vertrauensdiensteanbieter, Top Level Domain Name Registries oder
DNS-Diensteanbieter,
ein Anbieter von Telekommunikationsdiensten oder öffentlich zugänglichen Telekommunikationsnetzen, der
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen
Euro aufweist.
ein Betreiber kritischer Anlagen oder
eine Einrichtung, die gemäß Anlage 3 dem Teilsektor Zentralregierung des Sektors öffentliche Verwaltung angehört
Ausgenommen sind Finanzunternehmen im Sinne des Artikel 2 Absatz 2 der Verordnung
(EU) 2022/2554 und Unternehmen, für welche die Anforderungen der Verordnung (EU)
2022/2554 auf Grund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Absatz 5 Versicherungsaufsichtsgesetz gelten.

(2) Eine wichtige Einrichtung ist
eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in
Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die
10 – Bearbeitungsstand: 27.09.2023 12:52
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen
Euro aufweist; oder
ein Vertrauensdiensteanbieter.

(3) Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nach den Absätzen 1 und 2 ist auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen und außer für rechtlich unselbstständige Organisationseinheiten einer
Gebietskörperschaft die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4
des Anhangs anzuwenden. Die Daten von Partner- oder verbundenen Unternehmen im
Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen
unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit
Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse, unabhängig von seinem Partner oder verbundenen Unternehmen
ist.

(5) Ein Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder
eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden
Einfluss auf eine kritische Anlage ausübt.

(6) Eine kritische Anlage ist eine Anlage, die den Sektoren Energie, Transport und
Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser,
Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung angehört und die von hoher Bedeutung für das Funktionieren des Gemeinwesens ist, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden; welche Anlagen
im Einzelnen kritische Anlagen sind, bestimmt sich nach der Rechtsverordnung nach
§ 57 Absatz 4