NIS2-Richtlinie Compliance

Schluss mit dem Rätselraten, ob NIS2 für Sie gilt,Klarheit in 5 Minuten

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: NIS2 gilt für über 160'000 Einheiten in der EU in 18 Sektoren,diese Seite erläutert die Regeln zum Geltungsbereich, Ausnahmen von der Grössenschwelle, Pflichten in der Lieferkette und wie Sie die Compliance konzernweit verwalten.

Über 160'000 Einheiten in der EU in 18 Sektoren unterliegen nun verbindlichen Cybersicherheitspflichten gemäss NIS2. Wenn Ihre Organisation in der EU tätig ist,oder EU-Kunden bedient,fallen Sie womöglich bereits in den Geltungsbereich, ohne es zu wissen.

Kostenlose NIS2-Checkliste sichern

Kostenloses PDF,2 Felder, keine Kreditkarte, sofortiger Zugang

4.8 / 5 Kundenzufriedenheit
93% Würden Priverion weiterempfehlen
In der Schweiz gehostet Europäische Datenhaltung
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum der Geltungsbereich von NIS2 so verwirrend ist

Drei Faktoren, die die Anwendbarkeit von NIS2 komplizierter machen als die DSGVO

Die meisten Compliance-Verantwortlichen, mit denen wir sprechen, haben die Richtlinie gelesen,und sind sich trotzdem nicht sicher, ob wirklich jede Tochtergesellschaft in den Geltungsbereich fällt. Diese Unsicherheit ist keine Wissenslücke. Sie ist ein strukturelles Problem, das in der Konzeption von NIS2 angelegt ist.

16x

Zunahme der erfassten Einheiten gegenüber der ursprünglichen NIS-Richtlinie,von rund 10'000 auf über 160'000

Quelle: Folgenabschätzung der Europäischen Kommission zu NIS2, 2022

Die Grössenschwelle kennt Ausnahmen, die Sie überraschen können

NIS2 zielt grundsätzlich auf Organisationen mit 50+ Mitarbeitenden oder mehr als 10 Mio. EUR Umsatz in 18 Sektoren ab. Klingt einfach,bis Sie feststellen, dass DNS-Anbieter, TLD-Registrierungsstellen, Vertrauensdiensteanbieter und alleinige Anbieter wesentlicher Dienste unabhängig von ihrer Grösse erfasst sind. Eine 15-köpfige Tochtergesellschaft, die das DNS Ihres Konzerns betreibt, kann die gesamte Organisation in Compliance-Pflichten ziehen, mit denen niemand gerechnet hat.

27

EU-Mitgliedstaaten, die NIS2 in nationales Recht umsetzen,jeweils mit möglichen Abweichungen bei Geltungsbereich und Durchsetzung

NIS2-Richtlinie (EU) 2022/2555, Artikel 41,nationale Umsetzungsfrist Oktober 2024

Die nationale Umsetzung schafft einen Flickenteppich von Anforderungen

Das deutsche NIS2UmsuCG führt zusätzliche Kategorien von Einheiten ein, die über die Richtlinie hinausgehen. Belgien, die Niederlande und Frankreich haben jeweils eigene Besonderheiten bei der Durchsetzung. Wenn Ihr Konzern in mehreren EU-Rechtsordnungen tätig ist,und genau das ist die Zielgruppe von Priverion,verwalten Sie nicht eine einzige Regelung. Sie verwalten eine Matrix nationaler Auslegungen, jede mit unterschiedlichen Aufsichtsbehörden, Meldefristen und Bussenstrukturen.

10 Mio. EUR

Maximale Busse für wesentliche Einheiten,oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist

NIS2-Richtlinie (EU) 2022/2555, Artikel 34(4) und 34(5)

Pflichten in der Lieferkette weiten den Geltungsbereich auf Unternehmen aus, die sich für ausgenommen halten

Artikel 21 Absatz 2 Buchstabe d verpflichtet in den Geltungsbereich fallende Einheiten, die Sicherheit der Lieferkette zu adressieren,das heisst, sie werden ihren Lieferanten über Verträge NIS2-konforme Anforderungen auferlegen. Selbst wenn Ihre Organisation die Grössenschwelle nicht erreicht oder nicht in einem gelisteten Sektor tätig ist, können Ihre Kunden Sie in die Compliance ziehen. IT-Dienstleister, Cloud-Anbieter und Anbieter ausgelagerter Prozesse sind besonders exponiert. Und Leitungsorgane können für die Nichteinhaltung persönlich haftbar gemacht werden,das ist kein abstraktes Risiko.

Nicht sicher, ob Ihre Organisation,und ihre Tochtergesellschaften,in den Geltungsbereich von NIS2 fallen?

Kostenlose NIS2-Checkliste sichern

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Ein Medizintechnikunternehmen hat im ersten Jahr mit Priverion über 200 Stunden von der manuellen Dokumentation des Verarbeitungsverzeichnisses in die Vorbereitung auf ISO 27001 umgelenkt

60%

Geringere Gesamtkosten gegenüber etablierten Plattformen

Basierend auf den veröffentlichten Preisen je Nutzer und Modul von Enterprise-Datenschutzplattformen im Vergleich zum Pro-Unternehmen-Modell von Priverion für eine Organisation mit 10 Einheiten und 500 Nutzern

3 Mt.

Schneller als geplant bei der ISO-27001-Zertifizierung

Ein Medizintechnikunternehmen hat die ISO-27001-Bereitschaft mithilfe der prüfungsfertigen Nachweispakete und der automatisierten Dokumentation von Priverion um drei Monate beschleunigt

Das sagen unsere Kunden

Compliance-Teams in ganz Europa vertrauen auf uns

Datenschutz- und Compliance-Verantwortliche in Organisationen mit mehreren Einheiten setzen auf Priverion, um die Einhaltung von NIS2 und DSGVO operativ umzusetzen.

«Wir mussten die Anwendbarkeit von NIS2 über 12 Tochtergesellschaften in 5 EU-Rechtsordnungen hinweg abbilden. Priverion gab uns ein einziges Dashboard, das einen Irrgarten aus Tabellen ersetzte. Wir haben in 8 Wochen die vollständige NIS2-Compliance-Bereitschaft über alle Einheiten hinweg erreicht.»

Group Head of IT Compliance bei einem Industrieunternehmen

Ergebnis: NIS2-Compliance über 12 Tochtergesellschaften in 8 Wochen

Basierend auf einem Kundeninterview, Q1 2025

«Priverion hat unseren Verwaltungsaufwand für die Compliance innerhalb der ersten sechs Monate um 60 % reduziert. Allein die automatisierte Rezertifizierung des Verarbeitungsverzeichnisses hat uns eine zusätzliche Vollzeitstelle erspart. Das Hosting in der Schweiz war für unseren Vorstand ein entscheidender Faktor.»

Datenschutzbeauftragter bei einem Flugzeughersteller

Ergebnis: 60 % weniger Verwaltungsaufwand für Compliance in 6 Monaten

Basierend auf einer Kundenfallstudie, Q4 2024

«Wir haben über 200 Stunden von der manuellen Dokumentation in die Vorbereitung auf ISO 27001 umgelenkt. Die Nachweispakete von Priverion machten unser Zertifizierungsaudit bemerkenswert reibungslos,wir waren unserem ursprünglichen Zeitplan drei Monate voraus.»

CEO bei einem Medizintechnikunternehmen

Ergebnis: über 200 Stunden gespart, ISO 27001 drei Monate früher zertifiziert

Basierend auf einer Kundenfallstudie, Q1 2025

Priverion vs. OneTrust

Warum Datenschutzteams im Mittelstand wechseln

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und eigenen Datenschutzteams. Priverion wurde für Organisationen entwickelt, die Compliance auf Enterprise-Niveau ohne den Enterprise-Aufwand benötigen.

Was Sie mit OneTrust erhalten

Preise je Modul und Nutzer

Die Kosten steigen mit jedem neuen Nutzer, jedem Modul und jeder Tochtergesellschaft. Budgetanträge werden zum vierteljährlichen Ritual.

US-Hauptsitz, globale Datenverarbeitung

In einer Welt nach Schrems II schafft eine Datenverarbeitung in den USA rechtliche Risiken für europäische Datenübermittlungen, nach denen Ihr Datenschutzbeauftragter fragen wird.

Für die Fortune 500 gebaut

Ausufernde Funktionsumfänge inklusive ESG, Ethik-Hotlines und Cookie-Einwilligung bedeuten längeres Onboarding, steilere Lernkurven und das Bezahlen von Funktionen, die Sie nie nutzen werden.

Über 200 Integrationen, die meisten oberflächlich

Eine lange Liste von Konnektoren klingt beeindruckend, bis Sie merken, dass die meisten eine individuelle Konfiguration und laufende Wartung erfordern.

Monate bis zur Einführung

Enterprise-Verkaufszyklen und Einführungszeiträume, die sich in Quartalen messen lassen, nicht in Wochen.

Was Sie mit Priverion erhalten

Planbare Preise, keine Wachstumsfallen

Bepreist nach Anzahl der Unternehmen und der Organisationsgrösse,nicht je Nutzer oder Modul. Fügen Sie Teammitglieder hinzu, ohne Ihren Vertrag neu zu verhandeln.

In der Schweiz entwickelt und gehostet, europäische Datenhaltung

Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur. Kein Marketing-Häkchen,eine rechtliche Voraussetzung für grenzüberschreitende Datenübermittlungen in einer Welt nach Schrems II.

Speziell für konzernweiten Datenschutz entwickelt

Verarbeitungsverzeichnis, DSFA, Lieferantenrisiken, Betroffenenanfragen, Vorfallmanagement und einheitenübergreifende Datenkartierung in einer Plattform. Wir machen kein ESG und keine Cookie-Einwilligung,wir machen Datenschutzmanagement aussergewöhnlich gut.

Tiefe Integrationen dort, wo sie zählen

HR-, Beschaffungs- und IT-Asset-Management-Systeme,die Abläufe, die den Datenschutz tatsächlich vorantreiben. Tiefe Konnektoren, die zuverlässig funktionieren, statt 200 oberflächlicher, die es nicht tun.

Einsatzbereit in Wochen, nicht in Monaten

Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in den ersten 6 Monaten um 60 %. Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001. Die Zeit bis zum Mehrwert misst sich in Wochen.

Flugzeughersteller,erste 6 Monate nach der Einführung | Medizintechnikunternehmen,Vorbereitung auf ISO 27001

Ein Wechsel muss nicht schmerzhaft sein. Die meisten Teams sind innerhalb weniger Wochen vollständig migriert.

Kostenlose NIS2-Checkliste sichern
NIS2-Sektoren

Die 18 von NIS2 erfassten Sektoren,und warum die Einstufung entscheidend ist

NIS2 unterteilt die erfassten Einheiten in zwei Kategorien mit unterschiedlichen Pflichten und Bussenregimen. Zu wissen, wo Ihre Organisation und ihre Tochtergesellschaften einzuordnen sind, ist der erste Schritt zu einer gezielten Compliance-Strategie.

Sektoren mit hoher Kritikalität (Anhang I),«wesentliche Einheiten»

Unterliegen der proaktiven Aufsicht durch die zuständigen Behörden. Maximale Bussen von 10 Mio. EUR oder 2 % des weltweiten Umsatzes. Frühwarnung innerhalb von 24 Stunden und Meldung von Vorfällen innerhalb von 72 Stunden erforderlich.

  • Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme)
  • Verkehr (Luft, Schiene, Wasser, Strasse)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheit (Krankenhäuser, Labore, Pharma, Medizinprodukte)
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren, CDN, Vertrauensdienste)
  • Verwaltung von IKT-Diensten (B2B,Managed-Service- und Sicherheitsanbieter)
  • Öffentliche Verwaltung (Zentralregierung)
  • Weltraum

Weitere kritische Sektoren (Anhang II),«wichtige Einheiten»

Unterliegen der reaktiven (nachträglichen) Aufsicht. Maximale Bussen von 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes. Es gelten dieselben Fristen für die Meldung von Vorfällen.

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemikalien (Herstellung, Produktion, Vertrieb)
  • Lebensmittel (Produktion, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Kraftfahrzeuge)
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Sie sind in mehreren Sektoren oder Rechtsordnungen tätig? Genau dafür wurde Priverion entwickelt.

Kostenlose NIS2-Checkliste sichern

Kostenlose NIS2-Ressource

Finden Sie in 5 Minuten heraus, ob Ihre Organisation unter NIS2 fällt

Eine strukturierte, zweiseitige Checkliste, die die Grössenschwelle, alle 18 Sektoren, Auslöser in der Lieferkette und Ausnahmen bei der nationalen Umsetzung abdeckt. Seit dem Start von über 2'400 Compliance-Fachleuten genutzt.

2'400+

Heruntergeladene Checklisten seit Q3 2024

5 Min.

Durchschnittliche Bearbeitungszeit der Bewertung

18

Sektoren mit spezifischen Hinweisen abgedeckt

Kostenlose NIS2-Checkliste sichern

Kostenloses PDF. 2 Felder. Sofortiger Zugang,kein Verkaufsgespräch erforderlich.

Kostenlose Ressource

Laden Sie die NIS2-Anwendbarkeitscheckliste herunter

Ein strukturiertes, zweiseitiges PDF, das Sie durch die Grössenschwelle, die Sektoreneinstufung und die Ausnahmen bei der nationalen Umsetzung führt,damit Sie genau wissen, wo jede Einheit in Ihrem Konzern steht.

Ihre Daten werden in der Schweiz nach Schweizer Datenschutzrecht verarbeitet. Wir senden Ihnen die Checkliste und melden uns gegebenenfalls einmal,kein Spam, keine Drip-Kampagnen. Datenschutzerklärung

Kostenlose NIS2-Checkliste sichern

Kostenloses PDF,sofortiger Zugang

Über diese Seite — Quellen, Definitionen und häufige Fragen

Das Wichtigste auf einen Blick — Geltungsbereich der NIS2-Richtlinie

Die NIS2-Richtlinie (EU) 2022/2555 weitet die Cybersicherheitspflichten der EU auf über 160'000 Einheiten in 18 kritischen Sektoren in allen 27 Mitgliedstaaten aus. Organisationen mit 50+ Mitarbeitenden oder mehr als 10 Mio. EUR Jahresumsatz in gelisteten Sektoren müssen die Vorgaben einhalten, wobei Ausnahmen von der Grössenschwelle für DNS-Anbieter, TLD-Registrierungsstellen und Vertrauensdiensteanbieter gelten. Pflichten in der Lieferkette gemäss Artikel 21 Absatz 2 Buchstabe d weiten die Compliance-Anforderungen auf Anbieter und Dienstleister aus, die andernfalls nicht in den Geltungsbereich fielen. Die nationale Umsetzung schafft einen Flickenteppich von Anforderungen, was die konzernweite Compliance für Organisationen mit mehreren Einheiten besonders herausfordernd macht.

Definitionen

Was ist die NIS2-Richtlinie?

NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der aktualisierte Rahmen der Europäischen Union, um in allen Mitgliedstaaten ein hohes gemeinsames Cybersicherheitsniveau zu erreichen. Sie ersetzt die ursprüngliche NIS-Richtlinie (2016/1148) und erweitert den Geltungsbereich erheblich, harmonisiert die Bussen und führt eine Haftung der Geschäftsleitung ein. Der vollständige Text ist verfügbar bei EUR-Lex — Richtlinie (EU) 2022/2555.

Was ist eine wesentliche Einheit nach NIS2?

Wesentliche Einheit bezeichnet Organisationen in 11 Sektoren mit hoher Kritikalität (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung und Weltraum), die die Grössenschwelle erreichen. Wesentliche Einheiten unterliegen strengeren Aufsichtsregimen und höheren Bussen — bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Quelle: NIS2-Richtlinie, Artikel 3 und Anhang I.

Was ist eine wichtige Einheit nach NIS2?

Wichtige Einheit umfasst Organisationen in 7 zusätzlichen Sektoren (Postdienste, Abfallbewirtschaftung, Chemikalien, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Anbieter und Forschung), die die Grössenschwelle erreichen. Wichtige Einheiten drohen Bussen von bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes. Quelle: NIS2-Richtlinie, Artikel 3 und Anhang II.

Was ist die Grössenschwelle?

Grössenschwelle ist der allgemeine Schwellenwert, der Organisationen in den Geltungsbereich von NIS2 bringt: 50 oder mehr Mitarbeitende oder ein Jahresumsatz bzw. eine Bilanzsumme von mehr als 10 Mio. EUR. Bestimmte Arten von Einheiten — DNS-Anbieter, TLD-Registrierungsstellen, qualifizierte Vertrauensdiensteanbieter und alleinige Anbieter wesentlicher Dienste — fallen jedoch unabhängig von ihrer Grösse in den Geltungsbereich. Quelle: NIS2-Richtlinie, Artikel 2.

Häufig gestellte Fragen

Wer muss die NIS2-Richtlinie einhalten?

NIS2 gilt für mittlere und grosse Organisationen (50+ Mitarbeitende oder mehr als 10 Mio. EUR Umsatz), die in 18 kritischen Sektoren in allen 27 EU-Mitgliedstaaten tätig sind. Bestimmte Einheiten wie DNS-Anbieter, TLD-Registrierungsstellen und Vertrauensdiensteanbieter müssen die Vorgaben unabhängig von ihrer Grösse einhalten. Laut der Folgenabschätzung der Europäischen Kommission zu NIS2 fallen schätzungsweise über 160'000 Einheiten in den Geltungsbereich — eine Versechzehnfachung gegenüber der ursprünglichen NIS-Richtlinie.

Welche Bussen drohen bei Nichteinhaltung von NIS2?

Wesentlichen Einheiten drohen Verwaltungsbussen von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Wichtige Einheiten müssen mit Bussen von bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes rechnen. Entscheidend ist, dass Artikel 20 der Richtlinie eine persönliche Haftung für Leitungsorgane einführt, die es versäumen, Massnahmen zum Cybersicherheitsrisikomanagement zu genehmigen und zu überwachen. Quelle: NIS2-Richtlinie, Artikel 34(4), 34(5) und 20.

Welche 18 Sektoren werden von NIS2 erfasst?

NIS2 erfasst 11 wesentliche Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Weltraum) und 7 wichtige Sektoren (Post- und Kurierdienste, Abfallbewirtschaftung, Herstellung/Produktion/Vertrieb von Chemikalien, Lebensmittelproduktion/-verarbeitung/-vertrieb, verarbeitendes Gewerbe, digitale Anbieter, Forschung). Die vollständigen Sektorlisten sind in den Anhängen I und II der Richtlinie (EU) 2022/2555 definiert.

Gilt NIS2 auch für Unternehmen ausserhalb der EU?

Ja. Unternehmen ausserhalb der EU, die innerhalb der EU Dienste in erfassten Sektoren erbringen, können in den Geltungsbereich von NIS2 fallen. Zudem verpflichtet Artikel 21 Absatz 2 Buchstabe d in den Geltungsbereich fallende Einheiten, ihren Lieferanten über vertragliche Pflichten Sicherheitsanforderungen für die Lieferkette aufzuerlegen, wodurch sich die Compliance-Anforderungen faktisch auf Anbieter und Dienstleister ausserhalb der EU erstrecken. Die Leitlinien der ENISA zur Umsetzung von NIS2 bestätigen diese extraterritoriale Reichweite. Quelle: ENISA — Themenseite zur NIS-Richtlinie.

Worin unterscheidet sich NIS2 von der ursprünglichen NIS-Richtlinie?

NIS2 erweitert den Geltungsbereich drastisch von rund 10'000 Einheiten unter NIS1 auf über 160'000 Einheiten. Zu den wichtigsten Unterschieden zählen: 7 neue Sektoren, ein harmonisierter Bussenrahmen über alle Mitgliedstaaten hinweg, eine verbindliche Frühwarnung innerhalb von 24 Stunden bei erheblichen Vorfällen (bisher nicht standardisiert), ausdrückliche Anforderungen an das Risikomanagement der Lieferkette gemäss Artikel 21 Absatz 2 Buchstabe d sowie die persönliche Haftung von Leitungsorganen gemäss Artikel 20. Quelle: Richtlinie (EU) 2022/2555.

Wie sieht der Zeitplan für die Meldung von Vorfällen unter NIS2 aus?

NIS2 schreibt ein dreistufiges Verfahren zur Meldung von Vorfällen vor, das in Artikel 23 definiert ist: (1) eine Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls, (2) eine Meldung des Vorfalls innerhalb von 72 Stunden mit einer ersten Bewertung von Schweregrad und Auswirkungen sowie (3) einen Abschlussbericht innerhalb eines Monats mit einer Analyse der Ursache, der grenzüberschreitenden Auswirkungen und der ergriffenen Abhilfemassnahmen. Quelle: NIS2-Richtlinie, Artikel 23.

Wie wirkt sich die nationale Umsetzung auf die NIS2-Compliance aus?

Jeder der 27 EU-Mitgliedstaaten muss NIS2 in nationales Recht umsetzen, was zu Abweichungen bei Geltungsbereich, Durchsetzungsmechanismen und Aufsichtsbehördenstrukturen führen kann. So führt etwa das deutsche NIS2UmsuCG zusätzliche Kategorien von Einheiten ein, die über die Grundlinie der Richtlinie hinausgehen. Organisationen, die in mehreren Rechtsordnungen tätig sind, müssen den Umsetzungsstand jedes Landes und etwaige zusätzliche nationale Anforderungen verfolgen. Die ursprüngliche Umsetzungsfrist war der 17.10.2024, wobei mehrere Mitgliedstaaten Verzögerungen hatten. Quelle: NIS2-Richtlinie, Artikel 41.

Können Pflichten in der Lieferkette ausgenommene Unternehmen in den Geltungsbereich von NIS2 ziehen?

Ja. Artikel 21 Absatz 2 Buchstabe d von NIS2 verpflichtet in den Geltungsbereich fallende Einheiten, die Sicherheit der Lieferkette zu adressieren, das heisst, sie werden ihren Lieferanten über Vertragsklauseln NIS2-konforme Cybersicherheitsanforderungen auferlegen. Selbst Organisationen, die die Grössenschwelle nicht erreichen oder nicht in einem gelisteten Sektor tätig sind, können von ihren Kunden faktisch in die Compliance gezogen werden. IT-Dienstleister, Cloud-Anbieter, Managed-Security-Service-Anbieter und Anbieter ausgelagerter Prozesse sind diesen kaskadierenden Pflichten besonders ausgesetzt.

NIS2-Statistiken und Kontext

Laut der Folgenabschätzung der Europäischen Kommission zu NIS2 (2022) weitet die Richtlinie die Abdeckung von rund 10'000 Einheiten unter der ursprünglichen NIS-Richtlinie auf über 160'000 Einheiten aus — eine Versechzehnfachung. Die Richtlinie erfasst 18 Sektoren in allen 27 EU-Mitgliedstaaten. Wesentlichen Einheiten drohen maximale Bussen von 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, während wichtige Einheiten mit Bussen von bis zu 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes rechnen müssen. Der ENISA Threat Landscape Report 2023 stellte fest, dass die Sektoren Gesundheit und Energie unter den von NIS erfassten Sektoren die höchste Zahl an Cybervorfällen verzeichneten, was die Begründung für den erweiterten Geltungsbereich von NIS2 unterstreicht. Quelle: ENISA Threat Landscape 2023.

NIS2 wesentliche vs. wichtige Einheiten — Vergleich

KriteriumWesentliche EinheitenWichtige Einheiten
Sektoren11 Sektoren (Anhang I): Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Weltraum, Finanzmärkte, Abwasser7 Sektoren (Anhang II): Post, Abfall, Chemikalien, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter, Forschung
Maximale Busse10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes
AufsichtsregimeEx ante: proaktive Audits und Inspektionen durch BehördenEx post: Aufsicht ausgelöst durch Hinweise auf Nichteinhaltung
Meldung von Vorfällen24 Std. Frühwarnung, 72 Std. Meldung, 1 Monat Abschlussbericht24 Std. Frühwarnung, 72 Std. Meldung, 1 Monat Abschlussbericht
Haftung der GeschäftsleitungJa — persönliche Haftung gemäss Artikel 20Ja — persönliche Haftung gemäss Artikel 20
Grössenschwelle50+ Mitarbeitende oder mehr als 10 Mio. EUR Umsatz (mit Ausnahmen)50+ Mitarbeitende oder mehr als 10 Mio. EUR Umsatz