Anhang II Sektor 10

NIS 2 und Forschungseinrichtungen

Anhang II Sektor 10 erfasst Einrichtungen mit angewandter Forschung oder experimenteller Entwicklung mit gewerblicher Verwertungsabsicht. Hochschulen sind standardmäßig ausgenommen. Mitgliedstaaten können den Anwendungsbereich erweitern.

Simon OrzelSimon Orzel·

Wozu dieser Artikel

Anhang II der NIS 2 Richtlinie ((EU) 2022/2555) führt Forschungseinrichtungen als Sektor 10. Die Kategorie liegt in Anhang II. Einrichtungen, die die Kriterien erfüllen, gelten daher als wichtige Einrichtungen.

Der Anwendungsbereich ist enger als der Alltagssinn von Forschung. NIS 2 zielt auf eine konkrete Tätigkeit: angewandte Forschung oder experimentelle Entwicklung mit der Absicht, die Ergebnisse gewerblich zu verwerten. Grundlagenforschung, rein akademische Arbeit und Lehre fallen standardmäßig nicht darunter.

Die Seite ordnet zuerst die EU Ebene ein (Anhang II, Artikel 6(41), Erwägungsgrund 39, Größenschwelle in Artikel 2(1)) und dann die deutsche Umsetzung in §28 BSIG samt der drei häufigsten Stolperstellen aus Anwendbarkeitsprüfungen.

Primärquellen
Drei Ebenen entscheiden, ob eine Forschungseinrichtung unter NIS 2 fällt: die Richtlinie selbst, die Definition in Artikel 6 und die nationale Umsetzung.

Anhang II, Sektor 10 (Richtlinie (EU) 2022/2555)

Forschungseinrichtungen

Anhang II Nummer 10 nennt den Sektor mit dem einzigen Eintrag Forschungseinrichtungen. Die inhaltliche Definition steht in Artikel 6(41) und wird durch Erwägungsgrund 39 konkretisiert.

Artikel 6(41), Erwägungsgrund 39 (Richtlinie (EU) 2022/2555)

Forschungseinrichtung bezeichnet eine Einrichtung, deren Hauptziel darin besteht, angewandte Forschung oder experimentelle Entwicklung zu betreiben, um die Ergebnisse dieser Forschung für gewerbliche Zwecke zu verwerten, mit Ausnahme von Bildungseinrichtungen.

Erwägungsgrund 39 ergänzt: Diese Richtlinie sollte jedoch nicht für Bildungseinrichtungen gelten, insbesondere für Hochschulen oder Forschungszentren, die Forschungstätigkeiten auf nichtkommerzieller Grundlage durchführen. Die Mitgliedstaaten können jedoch beschließen, dass Bildungseinrichtungen auf der Grundlage ihrer nationalen Politik und ihres nationalen Ansatzes in den Anwendungsbereich dieser Richtlinie einbezogen werden.

§28 BSIG (NIS2UmsuCG, Deutschland)

Forschungseinrichtungen mit Sitz in Deutschland, die die in §28 Absatz 1 BSIG genannten Schwellenwerte erreichen oder überschreiten, gelten als wichtige Einrichtungen.

Deutschland setzt Anhang II Sektor 10 in §28 BSIG um. Die Einrichtung bleibt wichtige Einrichtung und fällt in den Bußgeldrahmen nach §65 BSIG: bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Was die Anwendbarkeitsprüfung betrachtet
Drei Elemente entscheiden, ob eine Forschungseinrichtung erfasst ist: die Definition, die Größenschwelle und eine etwaige nationale Erweiterung.
Art. 6(41)

Angewandte Forschung mit Verwertungsabsicht

Hauptzweck ist angewandte Forschung oder experimentelle Entwicklung mit der Absicht, die Ergebnisse gewerblich zu verwerten. Typische Indikatoren sind Lizenzierung, Spin-offs, Auftragsforschung für die Industrie oder der Verkauf von Prototypen. Reine Neugierforschung, Lehre und Wissenschaftskommunikation fallen nicht darunter.

Art. 2(1)

Mittelgroß oder darüber

Artikel 2(1) NIS 2 verweist auf die EU Empfehlung 2003/361/EG. Die Schwelle ist erreicht ab 50 Beschäftigten oder mit Jahresumsatz und Bilanzsumme über 10 Millionen Euro. Darunter ist die Einrichtung nicht im Anwendungsbereich, solange ein Mitgliedstaat keine Sonderregel ohne Größenschwelle anwendet.

Erwägungsgrund 39

Nationale Erweiterung auf Hochschulen

Mitgliedstaaten können Bildungseinrichtungen einschließlich Hochschulen durch nationales Recht in den Anwendungsbereich aufnehmen. Ohne eine solche Erweiterung bleiben Hochschulen außen vor, auch wenn dort große angewandte Forschungsbereiche existieren. Ob ein Staat erweitert hat, klärt das jeweilige Umsetzungsgesetz.

Zwei Prinzipien, die regelmäßig falsch gelesen werden
Diese beiden strukturellen Regeln entscheiden die meisten Grenzfälle in Anwendbarkeitsprüfungen.

Bildungseinrichtungen sind standardmäßig ausgenommen

Erwägungsgrund 39 ist eindeutig: NIS 2 gilt nicht für Bildungseinrichtungen, insbesondere Hochschulen oder Forschungszentren, die Forschungstätigkeiten auf nichtkommerzieller Grundlage durchführen. Eine universitäre Forschungsgruppe mit Industrievertrag wird dadurch nicht automatisch erfasst. Die Ausnahme greift auf Ebene der Einrichtung, nicht des Projekts.

Die Finanzierungsquelle entscheidet nicht über den Anwendungsbereich

Die Definition stellt auf die Tätigkeit ab (angewandte Forschung, gewerbliche Verwertung), nicht auf den Geldgeber. Eine privatfinanzierte Forschungs GmbH und ein öffentlich finanziertes Fraunhofer Institut fallen beide unter NIS 2, wenn Definition und Größenschwelle erfüllt sind. Ein rein öffentlich finanziertes Grundlagenforschungsinstitut ist nicht erfasst, weil die Tätigkeit nicht passt, nicht weil der Geldgeber öffentlich ist.

Deutschland: wie der Anwendungsbereich praktisch greift
Die zuständige deutsche Behörde und der zugrundeliegende europäische Rahmen für den Forschungssektor.
DE

BSI als zuständige Behörde

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zuständige Behörde für Forschungseinrichtungen nach §28 BSIG. Die Registrierung läuft über das BSI Portal. Die Pflichten entsprechen denen anderer wichtiger Einrichtungen nach §§30 bis 32 BSIG.

EU

ENISA Leitlinien

Die ENISA Technical Implementation Guidance (v1.2, August 2025) behandelt Forschungseinrichtungen wie andere Einrichtungen aus Anhang II in Bezug auf die Risikomanagement Maßnahmen aus Artikel 21. Es gibt keinen forschungsspezifischen Sonderweg in der Durchführungsverordnung. Sektorale Besonderheiten erscheinen nur in der nationalen Aufsichtspraxis zu Meldeschwellen.

DE

Keine generelle Hochschulerweiterung in §28 BSIG

Deutschland hat im NIS2UmsuCG keine generelle Erweiterung auf Hochschulen vorgenommen. Hochschulen und universitäre Forschungszentren bleiben damit auf Bundesebene außerhalb von NIS 2, auch wenn andere bundes- oder landesrechtliche Vorschriften (etwa IT-Sicherheitsgesetze einzelner Länder) weiterhin gelten können.

Drei Stolperstellen in der Anwendbarkeitsprüfung
Diese Antworten korrigieren wir am häufigsten, wenn Forschungseinrichtungen sich selbst einschätzen.

  • Hochschulen forschen doch auch, also fallen sie unter NIS 2.

    Standardmäßig nein. Erwägungsgrund 39 nimmt Bildungseinrichtungen, insbesondere Hochschulen und nichtkommerzielle Forschungszentren, aus. Sie sind nur erfasst, wenn der Mitgliedstaat den Anwendungsbereich ausdrücklich auf sie erstreckt. In Deutschland ist diese Erweiterung nicht erfolgt.

  • Nur öffentlich finanzierte Forschungsinstitute sind betroffen.

    Falsche Stoßrichtung. Die Definition stellt auf Tätigkeit und gewerbliche Verwertungsabsicht ab, nicht auf den Geldgeber. Ein privates Auftragsforschungsunternehmen kann vollständig erfasst sein. Ein rein öffentlich finanziertes Grundlagenforschungsinstitut bleibt außen vor, weil die Tätigkeit nichtkommerziell ist, nicht weil das Geld öffentlich ist.

  • Wir sind gemeinnützig, also greift NIS 2 nicht.

    Die Rechtsform entscheidet nicht über den Anwendungsbereich. Eine gemeinnützige GmbH oder ein e.V., die angewandte Forschung mit gewerblicher Verwertung betreiben, können die Definition erfüllen. Maßgeblich sind Tätigkeit und Größenschwelle, nicht der steuerliche Status.

Praxisanmerkungen

In Anwendbarkeitsprüfungen ist der Grenzfall fast immer ein Auftragsforschungsbereich einer Hochschule oder ein öffentlich finanziertes Institut mit starker Verwertungsschiene. Die richtige Frage ist nicht, ob die Einrichtung forscht, sondern ob ihr Hauptzweck angewandte Forschung oder experimentelle Entwicklung mit gewerblicher Verwertungsabsicht ist.

Wenn die Antwort ja lautet und die Größenschwelle aus Artikel 2(1) erreicht ist, fällt die Einrichtung als wichtige Einrichtung unter NIS 2, unabhängig von der eigenen Selbstwahrnehmung als Teil der öffentlichen Forschungslandschaft. Die Anwendbarkeitsprüfung der Plattform geht Artikel 6(41) und Artikel 2(1) ausdrücklich Schritt für Schritt durch, damit hier nichts interpretationsabhängig bleibt.

So bildet die Plattform das ab

Einrichtungen aus Sektor 10 betreiben dasselbe NIS 2 Pflichtenregister wie andere wichtige Einrichtungen: Registrierung nach Artikel 27, Governance nach Artikel 20, die zehn Maßnahmenbereiche aus Artikel 21(2) und Meldewesen nach Artikel 23. Die Plattform bildet diese Punkte als laufende Pflichten ab, nicht als einmaliges Projekt.

Wenn eine Forschungseinrichtung sektortypische Nachweismuster hat (etwa Verwertungsverträge mit Lieferkettenklauseln nach Artikel 21(2)(d)), läuft das über die Lieferanten- und Vertragsmodule. Ein eigenes Forschungsmodul gibt es nicht, weil die Maßnahmen aus Artikel 21 sektorneutral sind.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Anhang II Nummer 10 (Forschung)
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 6(41), Definition Forschungseinrichtung
  • Richtlinie (EU) 2022/2555 (NIS 2), Erwägungsgrund 39, Ausnahme für Bildungseinrichtungen und optionale Erweiterung durch Mitgliedstaaten
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2(1), Anwendungsbereich und Größenschwelle über Empfehlung 2003/361/EG
  • BSIG (Gesetz zur Umsetzung der NIS-2-Richtlinie, NIS2UmsuCG), §28, sektoraler Anwendungsbereich einschließlich Forschungseinrichtungen
  • BSIG §65, Bußgeldrahmen für wichtige Einrichtungen (bis 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes)
  • ENISA Technical Implementation Guidance zu NIS 2 Artikel 21, v1.2 (August 2025)
Anwendbarkeit prüfen
Die Anwendbarkeitsprüfung führt durch Anhang II Sektor 10, Artikel 6(41) und die Größenschwelle aus Artikel 2(1) für Ihre Einrichtung.
Anwendbarkeitsprüfung starten