Anwendungsbereich

Wer fällt in welche Kategorie? Anhang I vs Anhang II, Größenkriterien, Sonderfälle.

Was Sie für die Selbstregistrierung beim BSI brauchen und wie das Portal funktioniert.

Konzern mit Niederlassungen in mehreren Mitgliedstaaten — wo registrieren, wer ist zuständig?

Wenn die zentrale IT-Abteilung eines Konzerns Dienste an Tochtergesellschaften erbringt — ist sie damit ein Anbieter verwalteter Dienste nach NIS 2 Anhang I?

Häufiger Irrtum: Wir beliefern ein NIS-2-Unternehmen, also fallen wir auch unter NIS 2. Was Artikel 2 NIS 2 wirklich sagt.

Wenn die Mutter unter NIS 2 fällt, fällt die Tochter automatisch mit? Nein. Wann sich der Anwendungsbereich aber doch fortpflanzt.

Anhang I Sektor 5: Wann ein Krankenhaus, eine Klinik oder ein MVZ unter NIS 2 fällt. Schwellenwerte, Sonderregeln, KRITIS-Überlapp.

Energieversorger, Trinkwasser, Abwasser, Telekommunikation, oft alles in einem Stadtwerk. Welche Anhang-I-Sektoren greifen und wann KRITIS dazukommt.

Anhang I Sektor 3 nennt Kreditinstitute. DORA verdrängt aber Artikel 21 und 23 für Finanzunternehmen. Was bleibt unter NIS 2.

Anhang I Sektor 8 (digitale Infrastruktur) erfasst öffentliche elektronische Kommunikationsnetze und -dienste. Unabhängig von der Größe für bestimmte Anbieter.

Artikel 2 NIS 2: Sektor (Anhang I oder II) plus Größe (KMU-Schwelle) plus Ausnahmen unabhängig von der Größe plus Sonderfälle. Der ganze Anwendungsbereichstest.

Anhang I Sektor 1: Strom, Gas, Wärme, Öl, Wasserstoff. Wann ein Erzeuger, Versorger oder Netzbetreiber unter NIS 2 fällt. Größenprüfung plus EnWG-Carve-out.

Anhang I Sektor 6: Wer Trinkwasser liefert oder verteilt. Größenprüfung, KRITIS-Schwelle (22 Mio. m³ pro Jahr), Stadtwerk-Konstellation.

Anhang I Sektor 7: Unternehmen, die kommunales, häusliches oder industrielles Abwasser sammeln, entsorgen oder behandeln. Größenprüfung, KRITIS-Schwelle (500.000 Einwohnerwerte).

Anhang I Sektor 9 (Verwaltung von IKT-Diensten B2B): wann ein MSP unter NIS 2 fällt, Definition aus Art. 6(40), Größenprüfung.

Anhang I Sektor 8 (digitale Infrastruktur): Anbieter von Cloud-Computing-Diensten. Definition aus Art. 6(30), Größenprüfung, CIR-Anwendung.

Anhang I Sektor 8: Anbieter von Rechenzentrumsdiensten. Definition aus Art. 6(31), Größenprüfung, KRITIS-Schwelle (3,5 MW).

Anhang I Sektor 5 (kritische Medizinprodukte) oder Anhang II Sektor 5 (Medizinprodukte allgemein). MDR/IVDR-Schnittmenge, Größenprüfung.

Anhang II Sektor 5 (verarbeitendes Gewerbe): Maschinenbau nach NACE C28. Größenprüfung, OT/IT-Konvergenz, Lieferantenpflichten.

Artikel 26 NIS 2: Hauptniederlassung in der EU, Vertretungspflicht für Drittstaaten-Anbieter, ENISA-Verzeichnis. Wann eine US-Firma trotzdem unter NIS 2 fällt.

Artikel 2(1) NIS 2 und Empfehlung 2003/361/EG: Kleinstunternehmen sind grundsätzlich ausgenommen, aber Artikel 2(2) reicht-of-size-Klauseln holen viele zurück.

Anhang I Sektor 10 plus Artikel 2(2)(i) plus Artikel 2(4)-(11) Ausnahmen: Bundes-, Landes- und Kommunalverwaltung, nationale Sicherheit, Justiz, Parlamente, Zentralbanken.

Anhang I Sektor 8 plus Artikel 2(2)(b): Vertrauensdiensteanbieter (eIDAS) sind unabhängig von der Größe erfasst. Auch ein 5-Personen-Anbieter ist drin.