In einem Satz. NIS2 erweitert die bisherige KRITIS-Regulierung erheblich: Statt 9 alter KRITIS-Sektoren erfasst NIS2 nun 18 Sektoren mit zwei Kategorien — wesentliche Einrichtungen (Annex I der Richtlinie) und wichtige Einrichtungen (Annex II) — und führt klare Größenschwellen ein (50/250 Mitarbeiter, €10M/€50M Umsatz), wobei für klassische KRITIS-Sektoren weiterhin auch sektoral spezifische Schwellenwerte (KRITIS-Verordnung) parallel bestehen.
NIS2UmsuCG ändert das BSIG: Bisher waren ~2.000 KRITIS-Betreiber unter BSI-Aufsicht, künftig 30.000+ Einrichtungen. Wesentliche Einrichtungen haben strengere Pflichten (proaktive Aufsicht) als wichtige (reaktive Aufsicht). Selbsteinordnung ist erste Pflicht — und für viele Unternehmen erste Überraschung. Siehe NIS2 Deutschland.
Wichtige Punkte
- 18 NIS2-Sektoren statt 9 alte KRITIS-Sektoren.
- Zwei Kategorien: wesentlich (essential) und wichtig (important).
- Größenschwellen: 50 Mitarbeiter / €10 Mio. (wichtig) bzw. 250 / €50 Mio. (wesentlich).
- Registrierungspflicht beim BSI binnen 3 Monaten nach Geltungsbeginn.
- KRITIS-Verordnung (BSI-Krit-V) bleibt parallel für klassische KRITIS-Sektoren.
1. Die 18 NIS2-Sektoren
Sektoren mit hoher Kritikalität (Annex I — wesentliche Einrichtungen):
| # | Sektor | Beispiele |
|---|---|---|
| 1 | Energie | Strom, Gas, Öl, Wärme, Wasserstoff |
| 2 | Verkehr | Luft, Schiene, Wasser, Straße |
| 3 | Bankwesen | Kreditinstitute |
| 4 | Finanzmarkt | Handelsplätze, CCPs |
| 5 | Gesundheit | Krankenhäuser, Labore, Pharma |
| 6 | Trinkwasser | Versorger, Aufbereitung |
| 7 | Abwasser | Klärwerke, Kanalisation |
| 8 | Digitale Infrastruktur | DNS, TLD, IXP, CDN, RZ, Cloud, TSP |
| 9 | IKT-Dienste (B2B) | Managed Service Provider |
| 10 | Öffentliche Verwaltung | Bundes-, Landes-, Kommunalverwaltung |
| 11 | Raumfahrt | Bodeninfrastruktur |
Andere kritische Sektoren (Annex II — wichtige Einrichtungen):
| # | Sektor | Beispiele |
|---|---|---|
| 12 | Post- und Kurierdienste | Post, Logistik |
| 13 | Abfallwirtschaft | Entsorger |
| 14 | Chemie | Herstellung, Vertrieb |
| 15 | Lebensmittel | Produktion, Vertrieb, Großhandel |
| 16 | Verarbeitendes Gewerbe | Medizinprodukte, IT-Geräte, Maschinenbau, Kfz |
| 17 | Digitale Anbieter | Online-Marktplätze, Suchmaschinen, Social Networks |
| 18 | Forschung | Forschungseinrichtungen |
2. Größenschwellen
| Kategorie | Mitarbeiter | Umsatz | Bilanz |
|---|---|---|---|
| Wesentlich | ≥250 | ≥€50 Mio. | ≥€43 Mio. |
| Wichtig | ≥50 | ≥€10 Mio. | ≥€10 Mio. |
| Außerhalb | <50 | <€10 Mio. | — |
Ausnahmen: bestimmte Anbieter sind unabhängig von Größe wesentlich (z.B. DNS-Anbieter, TLD-Registries, Trust Service Provider).
3. Wesentlich vs. Wichtig — Praktische Unterschiede
| Aspekt | Wesentlich | Wichtig |
|---|---|---|
| Aufsicht | proaktiv (Audits) | reaktiv (bei Vorfall/Beschwerde) |
| Sanktion max. | €10 Mio. / 2% Umsatz | €7 Mio. / 1,4% Umsatz |
| Audit-Frequenz | regelmäßig | bei Anlass |
4. Registrierungspflicht
Nach § 33 BSIG-neu:
- Registrierung beim BSI binnen 3 Monaten nach Geltungsbeginn
- Online-Portal des BSI
- Angabe von Kontaktdaten, Sektor, Größe
- Bei Änderungen: Aktualisierung
Bei Nichtregistrierung: Bußgeld bis €100.000.
5. KRITIS-Verordnung bleibt parallel
Die BSI-Kritisverordnung (BSI-KritisV) definiert für die klassischen KRITIS-Sektoren spezifische sektorale Schwellenwerte (z.B. Energie: 3,7 TWh Strom pro Jahr). Diese Schwellen gelten für die “kritischen Infrastrukturen” mit zusätzlichen Pflichten:
- §8a BSIG: TOMs nach Stand der Technik
- §8b BSIG: Meldung erheblicher Vorfälle
- Nachweis alle 2 Jahre (Audits/Zertifikate)
NIS2 ergänzt um neue Pflichten, ersetzt KRITIS-Verordnung nicht.
6. Schnittmengen DORA, NIS2, KRITIS
| Regelwerk | Anwendung |
|---|---|
| KRITIS-Verordnung | klassische KRITIS-Sektoren, sektoral hohe Schwelle |
| NIS2 | 18 Sektoren, breit |
| DORA | Finanzwesen, spezifischer |
| Branchenrecht | sektoral (EnWG, KWG, BAIT) |
DORA hat im Finanzwesen Vorrang vor NIS2 (Lex specialis).
7. Sektorale Besonderheiten
- Energie: EnWG + KRITIS + NIS2
- Finanzwesen: DORA hat Vorrang
- Gesundheit: KHZG-Förderung für IT-Sicherheit nutzbar
- Trinkwasser: AVL-Wasser + NIS2
- Digitale Infrastruktur: oft unabhängig von Größe wesentlich
8. Selbsteinordnung
Schritte zur Selbsteinordnung:
- Sektor identifizieren (Annex I oder II?)
- Größe prüfen (Mitarbeiter, Umsatz, Bilanz)
- Sonderregelungen prüfen (DNS, TLD, TSP etc.)
- KRITIS-Schwellenwerte separat prüfen
- Dokumentation der Einordnungsentscheidung
Bei Zweifelsfällen: Anfrage beim BSI oder externe Beratung.
9. Pflichten im Detail
Aus Art. 21 NIS2 / § 30 BSIG-neu:
- Risikomanagement-Konzept
- Vorfallsbewältigung
- BCMS und Krisenmanagement
- Lieferketten-Sicherheit
- Sicherheit beim Erwerb von ICT
- Wirksamkeitsbewertung
- Cybersecurity-Hygiene-Praktiken
- Kryptographie
- Zugangs- und Zugriffskontrolle (MFA)
- Personalsicherheit
10. Bußgelder bei Nicht-Compliance
| Verstoß | Max. Sanktion |
|---|---|
| Wesentliche Einrichtung: TOMs fehlend | €10 Mio. / 2% Weltumsatz |
| Wichtige Einrichtung: TOMs fehlend | €7 Mio. / 1,4% Weltumsatz |
| Registrierungsverstoß | bis €100.000 |
| Meldepflichtverstoß | abgestuft |
Plus persönliche Sanktionen gegen Geschäftsleitung.
11. Tool-Unterstützung
Legiscope hilft bei NIS2-Selbsteinordnung, Risikomanagement-Konzept, Lieferanten-Inventar und Registrierungs-Tracking — passend zu BSI 200-2/4.
Fazit
Die 18 NIS2-Sektoren sind weit gefasst. Wer in Chemie, Lebensmittel, Maschinenbau oder digitale Dienste tätig ist und über 50 Mitarbeiter hat, sollte die Selbsteinordnung priorisieren — Überraschungen drohen vor allem in bisher unregulierten Branchen.
FAQ
Wie weiß ich, ob ich NIS2-pflichtig bin?
Selbsteinordnung: Sektor + Größe prüfen. Bei Zweifelsfällen BSI-Anfrage oder externe Beratung.
Was ist der Unterschied zwischen KRITIS und NIS2?
KRITIS: klassische 9 Sektoren mit hohen sektoralen Schwellen (~2.000 Betreiber). NIS2: 18 Sektoren mit Größenschwellen (~30.000+ Einrichtungen). Parallel anwendbar.
Bis wann muss ich mich registrieren?
Binnen 3 Monaten nach Geltungsbeginn des NIS2UmsuCG (voraussichtlich Mitte 2026).
Sind Subunternehmen einzeln NIS2-pflichtig?
Ja, jede rechtliche Einheit wird einzeln geprüft. Konzernzugehörigkeit löst nicht automatisch NIS2 aus.
Was passiert ohne Registrierung?
Bußgeld bis €100.000 plus Nachregistrierung. Bei Vorfall ohne Registrierung: Verschärfung möglich.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial