Comply/CheckScope prüfen

NIS2 nach Branche

Was bedeutet NIS2 für meine Branche?

NIS2 erfasst 18 Sektoren in zwei Stufen. Für jede der 10 wichtigsten DACH-Branchen findest du hier die spezifischen Schwellwerte, Mindestmaßnahmen und Lieferketten-Aspekte. Quellen jeweils zur jeweiligen Branchen-Aufsicht (BSI, BNetzA, BaFin, BMG).

Energiesektor

Strom-, Gas-, Erdöl- und Fernwärmeversorger zählen zu den Sektoren mit hoher Kritikalität. Die NIS2-Richtlinie bringt strengere Pflichten als das alte IT-SiG 2.0 — und überschneidet sich mit der KRITIS-Verordnung.

Maschinenbau

Anlagen-, Sondermaschinen- und Werkzeugmaschinenbau fallen unter den Sektor „Verarbeitendes Gewerbe / Maschinen­bau“ in Anhang II der NIS2-Richtlinie. Die Pflichten gelten ab 50 Mitarbeitenden — viele mittelständische Hersteller sind erstmals reguliert.

IT-Dienstleister

Hosting-Anbieter, Managed-Service-Provider, Cloud-Anbieter und IT-Support-Firmen sind in Anhang I als „digitale Anbieter“ gelistet. Im Gegensatz zu anderen Sektoren entfällt hier die Schwellen-Hürde teilweise — bestimmte Anbieter sind ab dem ersten Mitarbeitenden pflichtig.

Lebensmittelindustrie

Lebensmittelproduktion, -verarbeitung und -verpackung sind in Anhang II der NIS2-Richtlinie gelistet. Erstmals fallen mittelständische Lebensmittel­hersteller unter ein flächendeckendes Cybersicherheits-Gesetz — bei realer Bedrohung durch Ransomware-Vorfälle der letzten Jahre.

Logistik

Speditionen, Lager, Express-Dienste und KEP-Anbieter sind über den NIS2-Sektor „Verkehr“ (Anhang I, Teilbereich Straßenverkehr/Schienen/Luft/See) reguliert. Die Branche ist hoch IT-abhängig — von Telematik bis EDI — und steht im Fokus von Ransomware-Angriffen.

Gesundheitswesen

Krankenhäuser, große Praxen, MVZ und Pflegeheime sind in Anhang I als Sektor mit hoher Kritikalität gelistet. Die Pflichten überschneiden sich mit § 75c SGB V (Krankenhäuser) und der KRITIS-Verordnung — wer betroffen ist, hat oft schon ein ISMS.

Chemische Industrie

Chemie, Spezialchemie und kunststoff­verarbeitende Industrie sind in Anhang II der NIS2-Richtlinie gelistet — als „Herstellung, Verarbeitung und Vertrieb von Chemikalien“. Die Branche ist hoch reguliert (REACH, Störfall-Verordnung) und gewohnt, mit Compliance-Anforderungen umzugehen — NIS2 ergänzt um die Cybersicherheits-Dimension.

Wasserversorgung

Trinkwasser- und Abwasser-Versorger sind in Anhang I als Sektor mit hoher Kritikalität gelistet. Die Pflichten überschneiden sich mit der KRITIS-Verordnung — viele Wasserwerke haben bereits ein ISMS aufgebaut. NIS2 senkt die Schwellen und erweitert um Lieferketten-Pflichten.

Banken

Banken sind in Anhang I der NIS2-Richtlinie als Sektor mit hoher Kritikalität gelistet. Praktisch greift für sie aber zuerst DORA (Digital Operational Resilience Act) — die spezifischere Regulierung für den Finanzsektor. NIS2 kommt nur subsidiär zur Anwendung.

Industrielle Fertigung

Metallverarbeitung, Elektrotechnik, Fahrzeug-Zuliefer-Industrie und Präzisionswerke sind über Anhang II als „verarbeitendes Gewerbe“ reguliert. Die Branche steht zudem unter Kunden-Druck: KRITIS- und Automotive-OEM-Lieferanten brauchen NIS2-Konformität, auch unterhalb der eigenen Schwelle.

Hinweis: Die Branchen-Übersichten beziehen sich auf das deutsche NIS2UmsuCG (in Verkündung) und EU-Richtlinie 2022/2555. Sie ersetzen keine Rechtsberatung iSd § 2 RDG. Bei Zweifeln Anwalt konsultieren.