Betroffene Unternehmen
Mittlere Unternehmen, die als "Important Entities" bezeichnet werden, sind von der NIS2-Richtlinie betroffen. Diese Unternehmen beschäftigen zwischen 50 und 249 Mitarbeitende, erzielen einen Jahresumsatz zwischen 10 und 50 Millionen Euro und haben eine Bilanzsumme unter 43 Millionen Euro. Großunternehmen, die als "Essential" oder "Important Entities" klassifiziert sind, fallen ebenfalls unter die NIS2-Richtlinie. Diese Unternehmen beschäftigen über 250 Mitarbeitende, erzielen einen Jahresumsatz von mehr als 50 Millionen Euro oder haben eine Bilanzsumme von mehr als 43 Millionen Euro.
Kritische Infrastrukturen (KRITIS)
Die bestehenden Schwellenwerte für KRITIS-Anlagen bleiben unverändert. Diese kritischen Infrastrukturen werden unabhängig von der Unternehmensgröße als "besonders wichtige Einrichtungen" eingestuft und müssen die Vorgaben der NIS-2-Richtlinie einhalten. Unternehmen, die kritische Infrastrukturen betreiben, sind somit automatisch Teil der NIS-2-Richtlinie.
Sonderfälle und Unternehmen von besonderem öffentlichem Interesse
Einzelne Betreiber, auch als "sole provider" bezeichnet, die für die nationale Gesellschaft und Wirtschaft essenziell sind, fallen ebenfalls unter die NIS-2-Richtlinie. Betreiber, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit oder Gesundheit haben könnte, sind betroffen. Dies gilt auch für Betreiber, die aufgrund spezieller nationaler oder regionaler Bedeutung als kritisch eingestuft werden. Dazu gehören Hersteller von Rüstungs- und IT-Produkten für staatliche Zwecke sowie Betreiber von Betriebsbereichen der oberen Klasse, die mit Gefahrstoffen umgehen.