Salta al contenuto
News Cybersecurity NIS2

Wie erfahre ich, ob die NIS2 auf mein Unternehmen zutrifft?

Wie erfahre ich, ob die NIS2 auf mein Unternehmen zutrifft?

Wie erfahre ich, ob die NIS2 auf mein Unternehmen zutrifft? Der Weg führt über drei Fragen: Sind Sie in einem der in den Anhängen des Gesetzesdekrets Nr. 138/2024 aufgeführten Sektoren tätig? Überschreiten Sie die Größenschwellen eines mittleren Unternehmens? Fallen Sie unter einen der Sonderfälle, die unabhängig von der Größe sind? Wenn die ersten beiden Antworten Ja lauten, fallen Sie höchstwahrscheinlich in den Anwendungsbereich und müssen sich innerhalb der vorgesehenen Fristen auf der ACN-Plattform registrieren.

Frage 1: der Sektor

Die Anhänge des Dekrets umfassen Sektoren mit hoher Kritikalität (darunter Energie, Verkehr, Banken, Gesundheitswesen, Wasser, digitale Infrastrukturen, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Raumfahrt) und andere kritische Sektoren (darunter Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Herstellung von Medizinprodukten, Elektronik, Maschinen, Fahrzeuge, Anbieter digitaler Dienste, Forschung). Maßgeblich ist die tatsächlich ausgeübte Tätigkeit, nicht nur der ATECO-Code: Ein Unternehmen mit mehreren Geschäftsbereichen kann nur für einen davon in den Anwendungsbereich fallen.

Frage 2: die Größe

Die allgemeine Regel knüpft den Anwendungsbereich an mittelständische Unternehmen gemäß der europäischen Definition (Empfehlung 2003/361/EG): Sie fallen in den Geltungsbereich, wenn Sie mindestens 50 Mitarbeiter haben oder einen jährlichen Umsatz von 10 Millionen Euro oder eine Bilanzsumme von 10 Millionen Euro überschreiten. Wer unter beiden Schwellenwerten bleibt, ist in der Regel ausgenommen, abgesehen von den Sonderfällen in Frage 3. Unternehmen, die die Grenzwerte eines mittelständischen Unternehmens (250 Mitarbeiter, 50 Millionen Umsatz oder 43 Millionen Bilanzsumme) in Sektoren mit hoher Kritikalität überschreiten, werden normalerweise als wesentliche Einrichtungen eingestuft. Vorsicht jedoch bei der Berechnung: Die europäischen Regeln für verbundene und assoziierte Unternehmen können die Zahlen der Gruppe addieren, wodurch Entitäten in den Geltungsbereich fallen, die allein klein erscheinen würden.

Frage 3: die Sonderfälle

Einige Kategorien fallen unabhängig von ihrer Größe in den Anwendungsbereich: Dazu gehören Anbieter von Kommunikationsnetzen und -diensten, Vertrauensdiensteanbieter, Betreiber von Domainnamenregistern und von Behörden als kritisch eingestufte Einrichtungen. Auch die Lieferkette verdient Beachtung: Wenn Sie nicht in den Anwendungsbereich fallen, aber Kunden bedienen, die es tun, werden die NIS2-Sicherheitsanforderungen Sie trotzdem über den Vertrag erreichen.

Wesentliche oder wichtige Einrichtung: warum es zählt

Wer in den Anwendungsbereich fällt, wird als wesentliche oder wichtige Einrichtung eingestuft: Die Intensität der Überwachung und das Sanktionsregime ändern sich, nicht jedoch der Inhalt der Sicherheitsverpflichtungen gemäß Art. 24 der Verordnung (Risikomanagement, Vorfälle, Kontinuität, Lieferkette, Schulung der Leitungsorgane). Die Klassifizierung muss daher bekannt sein, dokumentiert und bei der Registrierung korrekt mitgeteilt werden.

Was jetzt zu tun ist

Führen Sie die Prüfung strukturiert und nicht nach Gefühl durch: Unser kostenloser NIS2-Check führt Sie in wenigen Minuten durch Sektoren und Schwellenwerte. Wenn Sie in den Anwendungsbereich fallen oder eine dokumentierte Bewertung wünschen, die Sie Kunden und Behörden vorlegen können, begleitet PL Consulting Sie von der Klassifizierung über die Gap-Analyse bis zum Anpassungsplan: Entdecken Sie den NIS2-Dienst oder kontaktieren Sie uns.

Hinweis: Dieser Artikel dient ausschließlich zu Informationszwecken und ersetzt keine rechtliche oder technische Bewertung des Einzelfalls. Artikel aktualisiert im Juli 2026.

Lesen Sie auch