NIS-2: Betroffenheit prüfen und Pflichten sicher umsetzen
W+ST Data Security unterstützt Sie von der verbindlichen Betroffenheitsprüfung mit Prüfbescheinigung bis zur strukturierten NIS-2-Betreuung
NIS-2-PFLICHTIG ODER NICHT – WIR SCHAFFEN FÜR SIE KLARHEIT
Die NIS-2-Richtlinie verschärft die Anforderungen an Cyber- und Informationssicherheit in der Europäischen Union erheblich. In Deutschland erfolgt die Umsetzung über das BSI-Gesetz, das für viele Unternehmen neue organisatorische, technische und dokumentarische Pflichten begründet.
Betroffen sind nicht nur Betreiber in essenziellen Sektoren. Auch zahlreiche mittelständische Unternehmen fallen unter NIS-2, oft ohne sich dessen bewusst zu sein.
Der erste und entscheidende Schritt lautet daher: Ist unser Unternehmen NIS-2-pflichtig – oder nicht?
W+ST Data Security unterstützt Sie bei der Beantwortung dieser Frage – von der verbindlichen Betroffenheitsprüfung mit Prüfbescheinigung bis zur strukturierten NIS-2-Betreuung.
WARUM EINE NIS-2-BETROFFENHEITSPRÜFUNG UNVERZICHTBAR IST
Die Anwendung von NIS-2 hängt von Sektorenzugehörigkeit, konkreten Tätigkeiten und wirtschaftlichen Schwellenwerten ab. Diese Kennzahlen liegen in Unternehmen meist nicht in der nach europarechtlichen Vorgaben erforderlichen Form vor – was eine Selbsteinschätzung meist ausschließt.
Zugleich ist mit NIS-2 eine unmittelbare Haftung der Geschäftsleitung verbunden. Unternehmen, die trotz Betroffenheit nicht ordnungsgemäß registriert sind oder erforderliche Sicherheitsmaßnahmen nicht umsetzen, setzen ihre Leitungsebene erheblichen Risiken aus.
Eine strukturierte Betroffenheitsprüfung schafft daher:
- Klarheit über bestehende NIS-2-Pflichten
- Rechtssichere Entscheidungsgrundlagen
- Vermeidung unnötiger Aufwände bei Nicht-Betroffenheit
- Transparenz für Geschäftsleitung und Organisation
UNSER LEISTUNGSANGEBOT ZU NIS-2
NIS-2 Betroffenheitsprüfung mit Prüfbescheinigung
Wir prüfen verbindlich, ob und in welchem Umfang Ihr Unternehmen unter NIS-2 fällt. Dabei bewerten wir insbesondere:
- Sektorenzuordnung und tatsächliche Tätigkeiten
- Wirtschaftliche Schwellenwerte nach EU-KMU-Definition
- Beteiligungs- und Verbundstrukturen
- Einzelne rechtliche Einheiten innerhalb von Unternehmensgruppen
Das Ergebnis wird für jede geprüfte Gesellschaft in einer Prüfbescheinigung dokumentiert. Diese hält verbindlich fest, ob NIS-2-Pflichten bestehen und dient als belastbare Grundlage für Managemententscheidungen.
Umfassende Betreuung bei NIS-2-Pflichten
Umsetzung aller gesetzlichen Anforderungen, u. a.:
- Registrierung beim BSI
- Aufbau und Dokumentation eines ISMS (Informationssicherheitsmanagement-Systems)
- Umsetzung organisatorischer Sicherheitsmaßnahmen
- Erfüllung von Melde- und Nachweispflichten
- Schulungen für Geschäftsleitung und IT-Verantwortliche – vor Ort und Online
- Unterstützung durch technische Partner bei Prüfungen und Vorfällen
Wir setzen hierfür ein spezialisiertes ISMS-Tool ein, das eine dauerhafte und nachvollziehbare Umsetzung unterstützt.
Ihre Ansprechpartner
WARUM W+ST DATA SECURITY GMBH RECHTSANWALTSGESELLSCHAFT
Die W+ST Data Security GmbH ist als Tochtergesellschaft der W+ST Rechtsanwaltsgesellschaft mbH spezialisiert auf die Rechtsgebiete des Datenschutzes, des IT-Rechts, der Daten- und Cybersicherheit sowie der praxisnahen Umsetzung der rechtlichen Verpflichtungen, die sich aus diesen Gebieten ergeben.
Wir setzen nicht erst bei der Umsetzung an, sondern klären zunächst belastbar, ob ein Unternehmen überhaupt unter NIS-2 fällt.
Die Betroffenheitsprüfung erfordert neben rechtlicher Expertise auch die fundierte Bewertung von Schwellenwerten und Unternehmenskennzahlen nach europäischem Beihilfenrecht. Diese wirtschaftliche Einordnung leisten wir innerhalb der Gruppe gemeinsam mit unserer steuerlichen Expertise. So unterscheiden wir uns bewusst von Anbietern, die NIS-2 umsetzen, ohne zuvor rechtssicher zu klären, ob eine Pflicht überhaupt besteht.
FAQ – DIE HÄUFIGSTEN FRAGEN ZU NIS-2
Gilt die NIS-2-Richtlinie für jedes Unternehmen?
Nein. Die NIS-2-Richtlinie gilt nicht für jedes Unternehmen, sondern nur für Unternehmen, die tatsächlich unter die Regulierung fallen.
Ob eine Betroffenheit vorliegt, hängt insbesondere davon ab, ob ein Unternehmen einem von NIS-2 erfassten Sektor zuzuordnen ist und ob bestimmte wirtschaftliche Schwellenwerte erreicht werden. Zusätzlich ist entscheidend, welche konkreten Tätigkeiten das Unternehmen tatsächlich ausübt.
Erst nach einer strukturierten Prüfung von Sektor, Tätigkeit und Schwellenwerten lässt sich zuverlässig feststellen, ob ein Unternehmen unter die NIS-2-Richtlinie fällt.
Welche Unternehmen und Sektoren sind von NIS-2 betroffen?
Die Richtlinie erfasst insbesondere Unternehmen aus Bereichen wie Energieversorgung, Transport und Verkehr, Gesundheitswesen, IT- und digitale Dienstleistungen, digitale Infrastrukturen sowie Wasser- und Abfallwirtschaft. Auch Betreiber von Online-Plattformen oder digitalen Marktplätzen können betroffen sein.
Entscheidend ist dabei jedoch nicht allein die Branche. Maßgeblich ist vielmehr, welche konkreten Leistungen ein Unternehmen tatsächlich erbringt.
Ab wann gilt die NIS-2 Richtlinie für ein Unternehmen?
Zur Feststellung der Betroffenheit eines Unternehmens spielen vor allem folgende Kennzahlen eine Rolle:
- Mitarbeiterzahl
- Umsatz und/oder Bilanzsumme
Diese Schwellenwerte werden nach der EU-KMU-Definition des europäischen Beihilfenrechts bestimmt. Sie unterscheiden sich daher von den Kennzahlen, die beispielsweise nach dem Handelsgesetzbuch verwendet werden.
So wird etwa die Mitarbeiterzahl nach der EU-Definition in sogenannten Jahresarbeitseinheiten berechnet. Auch Umsatz- und Bilanzwerte werden nach europarechtlichen Vorgaben bestimmt. Die relevanten Kennzahlen müssen daher häufig gesondert ermittelt und aufbereitet werden.
Weitere Informationen zum Thema NIS-2
Haben Sie noch weitere Fragen zu NIS-2? Dann besuchen Sie unsere ausführliche FAQ-Themenseite!