Die NIS2-Richtlinie: Für wen? Wieso?
Dieser Artikel ist Teil einer Reihe von Artikeln, die über die Umsetzung der NIS2-Richtlinie in Belgien veröffentlicht wurden. Die anderen Artikel können hier abgerufen werden.
FÜR WEN?
Die NIS2-Richtlinie richtet sich an Organisationen einer bestimmten Größe, die in kritischen Sektoren, die in den Anhängen I und II der Richtlinie aufgeführt sind, Dienstleistungen erbringen. Die Größe („Size cap“) und die erbrachte Dienstleistung sind die beiden Hauptkriterien um festzustellen, ob die NIS2-Richtlinie für eine Organisation gilt.
Die Größe (Size cap)
Die Größe einer Einrichtung wird auf Grundlage von Anhang I der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 (die "Empfehlung") berechnet.
Von einigen Ausnahmen abgesehen, muss eine Organisation mindestens als mittleres Unternehmen im Sinne der Empfehlung gelten, damit die NIS2-Richtlinie greift. Ein mittleres Unternehmen hat eine Personalstärke von mindestens 50 Vollzeitbeschäftigten und/oder einen Jahresumsatz (oder eine Jahresbilanzsumme) von mehr als 10 Millionen Euro.
Die Empfehlung sieht insbesondere vor, dass die Berechnung der Größe einer Organisation, die Teil einer Gruppe ist (Partnerunternehmen oder verbundene Unternehmen), eine Konsolidierung der Daten der verschiedenen Bestandteile dieser Gruppe voraussetzt.
Wie diese Empfehlung genau funktioniert, wird im "Benutzerleitfaden zur Definition von KMU" der Europäischen Kommission ausführlich erläutert.
Es gibt jedoch zwei wichtige Besonderheiten bei der Anwendung der Empfehlung im Rahmen der Richtlinie:
- Unter bestimmten Umständen kann auf die Konsolidierung der Daten der verschiedenen Bestandteile einer Unternehmensgruppe verzichtet werden, wenn die Netz- und Informationssysteme der betreffenden Organisation unabhängig von dem der verbundenen oder Partnerunternehmen ist.
- Die Personalstärke und die Finanzzahlen einer öffentlichen Einrichtung, die eine betroffene Organisation kontrolliert, sollten bei der Bestimmung der Größe der Organisation nicht berücksichtigt werden.
Die erbrachte Dienstleistung
Die Organisation muss eine Dienstleistung erbringen, die in den Anhängen I oder II der Richtlinie aufgeführt ist (auch wenn diese Dienstleistung nur ein Nebenaspekt ihrer Tätigkeit ist):
Sektoren mit hoher Kritikalität (Anhang I) |
Sonstige kritische Sektoren (Anhang II) |
|
|
Zwei Kategorien
Die NIS2-Richtlinie unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Diese Unterscheidung erfolgt im Prinzip auf der Grundlage der Größe der Einrichtung und der erbrachten Dienstleistung:
- Von bestimmten Ausnahmen abgesehen ist eine Organisation, die ein Großunternehmen im Sinne der Empfehlung darstellt und mindestens eine der in Anhang I aufgeführten Dienstleistungen erbringt, eine wesentliche Einrichtung;
- Von bestimmten Ausnahmen abgesehen, ist eine Organisation, die ein mittleres Unternehmen im Sinne der Empfehlung darstellt und mindestens eine der in Anhang I aufgeführten Dienstleistungen erbringt, eine wichtige Einrichtung;
- Eine Organisation, die ein großes oder mittleres Unternehmen im Sinne der Empfehlung darstellt und mindestens eine in Anhang II aufgeführte Dienstleistung erbringt, ist eine wichtige Einrichtung.
Der Unterschied zwischen wesentlichen und wichtigen Einrichtungen liegt hauptsächlich in den Kontroll- und Strafmechanismen. Wesentliche Einrichtungen werden regelmäßiger und strikter überwacht als wichtige Einrichtungen.
Für einen besseren Überblick über den Anwendungsbereich der Richtlinie empfehlen wir einen Blick auf unsere Visualisierung.
WIESO?
Netzwerk- und Informationssysteme sind durch die digitale Transformation und die Vernetzung der Gesellschaft zu einem zentralen Bestandteil unseres täglichen Lebens geworden. Viele kritische gesellschaftliche und wirtschaftliche Aktivitäten hängen nun von ihrem reibungslosen Betrieb ab.
Diese Entwicklung hat zu einer sich ständig ausweitenden Vielfalt von Cyberbedrohungen und Cybervorfällen geführt. Diese stellen eine reale Bedrohung der öffentlichen Sicherheit für die Öffentlichkeit, Unternehmen und Behörden dar. Heutzutage ist es wahrscheinlich, dass ein Cybervorfall eine ernsthafte Betriebsstörung in kritischen Sektoren verursacht, die Einzelpersonen oder Unternehmen betrifft und erhebliche materielle, physische oder moralische Schäden verursacht.
Alle Bürger, Unternehmen und Behörden müssen sich daher bewusst sein, wie wichtig es ist, sich präventiv gegen Cyberbedrohungen und Cybervorfälle zu schützen.