NIS2: Vollständige Liste der 18 kritischen Sektoren
Die NIS2-Richtlinie erweitert den Anwendungsbereich gegenüber NIS1 erheblich. Statt 7 Sektoren umfasst NIS2 nun 18 Sektoren, unterteilt in zwei Kategorien mit unterschiedlichen Aufsichtsintensitäten.
Sektoren hoher Kritikalität (Anhang I)
Diese 11 Sektoren unterliegen den strengsten Anforderungen. Große Unternehmen in diesen Sektoren gelten als besonders wichtige Einrichtungen.
1. Energie
| Teilsektor | Beispiele | |---|---| | Elektrizität | Stromerzeuger, Übertragungsnetzbetreiber, Verteilernetzbetreiber | | Fernwärme/-kälte | Fernwärmebetreiber | | Erdöl | Betreiber von Erdöl-Fernleitungen, Raffinerien | | Erdgas | Gasversorgungsunternehmen, Speicheranlagen, LNG-Terminals | | Wasserstoff | Erzeuger, Speicherbetreiber, Transportnetzbetreiber |
2. Verkehr
| Teilsektor | Beispiele | |---|---| | Luftverkehr | Flughafenbetreiber, Fluggesellschaften, Flugsicherung | | Schienenverkehr | Eisenbahninfrastrukturbetreiber, Eisenbahnunternehmen | | Schifffahrt | Reedereien, Hafenbetreiber, VTS-Betreiber | | Straßenverkehr | Straßenverkehrsbehörden, IVS-Betreiber |
3. Bankwesen
Kreditinstitute im Sinne der Verordnung (EU) Nr. 575/2013.
4. Finanzmarktinfrastrukturen
Betreiber von Handelsplätzen, zentrale Gegenparteien.
5. Gesundheitswesen
| Teilsektor | Beispiele | |---|---| | Gesundheitsdienstleister | Krankenhäuser, Kliniken, MVZ | | EU-Referenzlaboratorien | Forschungslabore mit EU-Referenzstatus | | Pharma-F&E | Unternehmen in der Arzneimittelforschung | | Medizinprodukte-Hersteller | Bei Notlagen der öffentlichen Gesundheit |
6. Trinkwasser
Versorger und Aufbereiter von Trinkwasser (ohne reine Verteilungsnetze).
7. Abwasser
Unternehmen, die kommunales oder industrielles Abwasser sammeln, ableiten oder behandeln.
8. Digitale Infrastruktur
| Einrichtung | Schwelle | |---|---| | Internetknoten (IXP) | Unabhängig von Größe | | DNS-Diensteanbieter | Unabhängig von Größe | | TLD-Namensregistrierungsstellen | Unabhängig von Größe | | Cloud-Computing-Dienste | Ab 50 Mitarbeiter / 10 Mio. EUR | | Rechenzentren | Ab 50 Mitarbeiter / 10 Mio. EUR | | CDN-Anbieter | Ab 50 Mitarbeiter / 10 Mio. EUR | | Vertrauensdiensteanbieter | Qualifizierte: unabhängig von Größe | | Öffentliche Telekommunikationsnetze | Laut TKG reguliert |
9. IKT-Dienstleistungsmanagement (B2B)
Anbieter von Managed Services und Managed Security Services — eine wesentliche Neuerung gegenüber NIS1.
10. Öffentliche Verwaltung
Einrichtungen der Zentralregierung und regionale Verwaltungen (nach Risikobewertung der Mitgliedstaaten).
11. Weltraum
Betreiber von Bodeninfrastrukturen für weltraumgestützte Dienste.
Sonstige kritische Sektoren (Anhang II)
Diese 7 Sektoren unterliegen einer reaktiven Aufsicht. Unternehmen gelten als wichtige Einrichtungen.
12. Post- und Kurierdienste
Anbieter von Postdiensten einschließlich Kurierdiensten.
13. Abfallbewirtschaftung
Unternehmen der Abfallbewirtschaftung (ohne Unternehmen, deren Haupttätigkeit nicht die Abfallbewirtschaftung ist).
14. Produktion, Herstellung und Handel mit chemischen Stoffen
Herstellung und Vertrieb von Stoffen oder Gemischen sowie Herstellung von Erzeugnissen aus Stoffen oder Gemischen.
15. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Lebensmittelunternehmen im Großhandel, industrieller Produktion und Verarbeitung.
16. Verarbeitendes Gewerbe/Herstellung von Waren
| Teilsektor | NACE-Code | |---|---| | Medizinprodukte und In-vitro-Diagnostika | C21 | | Datenverarbeitungsgeräte, elektronische und optische Erzeugnisse | C26 | | Elektrische Ausrüstungen | C27 | | Maschinenbau | C28 | | Kraftwagen und Kraftwagenteile | C29 | | Sonstiger Fahrzeugbau | C30 |
Wichtig für den deutschen Mittelstand: Das verarbeitende Gewerbe ist das Rückgrat der deutschen Wirtschaft. Viele Zulieferer der Automobilindustrie (C29) fallen erstmals unter Cybersicherheitsregulierung.
17. Anbieter digitaler Dienste
| Dienst | Beispiele | |---|---| | Online-Marktplätze | E-Commerce-Plattformen | | Online-Suchmaschinen | Spezialisierte Suchportale | | Soziale Netzwerke | Plattformen mit Nutzerinteraktion |
18. Forschung
Forschungseinrichtungen (nur soweit Mitgliedstaaten sie einbeziehen).
Größenschwellen: Wann Ihr Unternehmen betroffen ist
| Kategorie | Mitarbeiter | ODER Umsatz | UND Sektor | |---|---|---|---| | Besonders wichtige Einrichtung | ≥ 250 | ≥ 50 Mio. EUR | Anhang I | | Wichtige Einrichtung | ≥ 50 | ≥ 10 Mio. EUR | Anhang I oder II | | Unabhängig von Größe | — | — | DNS, TLD, qual. Vertrauensdienste |
Sonderfall: Zulieferer
Auch Unternehmen unterhalb der Schwellenwerte können betroffen sein, wenn sie:
- Zulieferer einer besonders wichtigen Einrichtung sind
- Vertraglich zu NIS2-konformen Sicherheitsmaßnahmen verpflichtet werden
- Teil der kritischen Lieferkette sind
Abgrenzung: NIS2 vs. KRITIS-Verordnung
| Aspekt | NIS2 / NIS2UmsuCG | BSI-KritisV (bisherig) | |---|---|---| | Scope | 18 Sektoren, größenbasiert | 10 Sektoren, schwellenwertbasiert | | Schwelle | 50 MA / 10 Mio. EUR | Versorgungskennzahl (500.000 Personen) | | Betroffene | ~30.000 Unternehmen | ~2.000 Betreiber | | Aufsicht | BSI + Fachaufsichtsbehörden | BSI |
NIS2 ersetzt nicht die KRITIS-Regulierung, sondern ergänzt sie. KRITIS-Betreiber unterliegen weiterhin den strengeren Anforderungen.
Prüfliste: Ist Ihr Unternehmen betroffen?
- ☐ Gehört Ihr Unternehmen zu einem der 18 Sektoren?
- ☐ Haben Sie mindestens 50 Mitarbeiter ODER 10 Mio. EUR Umsatz?
- ☐ Erbringen Sie digitale Infrastruktur-Dienste (dann: unabhängig von Größe)?
- ☐ Sind Sie Zulieferer eines betroffenen Unternehmens?
Falls mindestens eine Antwort „Ja": Sie sollten sich auf NIS2-Compliance vorbereiten.
Fazit
Die Erweiterung auf 18 Sektoren macht NIS2 zur umfassendsten Cybersicherheitsregulierung in der EU-Geschichte. Besonders das verarbeitende Gewerbe und IKT-Dienstleister sind erstmals betroffen — zwei Säulen der deutschen Wirtschaft.
Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.