Wesentliche und wichtige Einrichtungen gemäß der NIS 2 Richtlinie
Die NIS2-Richtlinie legt zwei Hauptkategorien von Einheiten fest, die ihren Cybersicherheitsanforderungen unterliegen: „wesentliche“ und „wichtige“ Einheiten.
Die NIS 2 Richtlinie legt zwei Hauptkategorien von Einheiten fest, die ihren Cybersicherheitsanforderungen unterliegen: „wesentliche“ und „wichtige“ Einheiten.
Wesentlich sind Organisationen, die als entscheidend für das Funktionieren der europäischen Wirtschaft und Gesellschaft gelten. Zu dieser Kategorie gehören:
Betreiber in den Bereichen Energie, Transport, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser und digitale Infrastruktur.
Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste.
Qualifizierte Vertrauensdienstanbieter und TLD-Registrare (Top-Level-Domain).
Öffentliche Verwaltungseinheiten auf der Ebene der Zentralregierung.
Unternehmen, die gemäß der EU-Richtlinie zur Widerstandsfähigkeit kritischer Unternehmen (CER) als „kritische Unternehmen“ eingestuft sind.
Wesentliche Unternehmen unterliegen strengeren Aufsichtsanforderungen und können bei Nichteinhaltung höhere Bußgelder erfahren als „wichtige“ Unternehmen.
Obwohl sie nicht so kritisch sind wie wesentliche Einheiten, sind wichtige Einheiten Organisationen, die dennoch eine wichtige Rolle in der europäischen Wirtschaft und Gesellschaft spielen. Zu dieser Kategorie gehören:
Anbieter von Post- und Kurierdiensten
Abfallentsorgungsunternehmen
Hersteller von Chemikalien, Lebensmitteln, medizinischen Geräten, Elektrogeräten und anderen Produkten
Digitale Dienstleister wie Online-Marktplätze, Suchmaschinen und Social-Media-Plattformen
Forschungsorganisationen (ohne Bildungseinrichtungen)
Wichtige Unternehmen unterliegen einem flexibleren Ex-post-Aufsichtsansatz, bei dem die Behörden erst Maßnahmen ergreifen, wenn sie Hinweise auf eine Nichteinhaltung erhalten.
Die Unterscheidung zwischen wesentlichen und wichtigen Einheiten basiert auf Faktoren wie der Größe der Einheit, der Branche und den möglichen Auswirkungen einer Störung. Größere Organisationen in Hochrisikosektoren werden eher als wesentlich eingestuft, während kleinere oder weniger kritische Einheiten als wichtig eingestuft werden.
Insbesondere kann die NIS 2 Richtlinie auch für Nicht-EU-Unternehmen gelten, die wesentliche oder wichtige Dienstleistungen für den europäischen Markt erbringen, selbst wenn sie physisch nicht innerhalb der EU ansässig sind.