Unternehmen sind von der Umsetzung der NIS-2-Richtlinie erfasst, wenn sie unter eine oder mehrere Einrichtungsdefinitionen der Anlagen 1 und 2 fallen und zudem die im Gesetz festgeschriebenen Größenschwellen für Mitarbeiterzahl und Umsatz erreichen oder überschreiten (sog. Size-Cap). Unabhängig von ihrer Größe werden von der NIS-2-Richtlinie auch bestimmte Einrichtungen erfasst, etwa wenn die Dienste erbracht werden von:
- Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
- Vertrauensdiensteanbietern;
- Namenregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern;
Darüber hinaus enthält die NIS-2-Richtlinie weitere Sonderfälle.
Ob Sie als Betreiber einer kritischen Anlage gelten (als Teilmenge besonders wichtiger Einrichtungen), ist wie bisher anhand der BSI-Kritisverordnung zu prüfen.
Zu den Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden.
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist noch nicht erlassen. Es tritt nach abschließender Behandlung und Beschlussfassung im Bundestag zum im Gesetz genannten Termin in Kraft. Ein Termin kann heute noch nicht genannt werden. Das Bundesministerium des Innern und für Heimat (BMI) ist die zuständige Behörde in dem laufenden Gesetzgebungsverfahren.
Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.
Ob Ihr Unternehmen voraussichtlich unter den Anwendungsbereich der NIS-2-Richtlinie der EU fallen wird, können Sie mit der NIS-2-Betroffenheitsprüfung unverbindlich und selbständig prüfen.