NIS-2-Betroffenheitsprüfung am praktischen Beispiel
Die Umsetzung der NIS-2-Vorgaben erfordert, sich mit den neuen Pflichten des BSI-Gesetzes (BSIG) auseinanderzusetzen. Den ersten Schritt stellt die Prüfung der Betroffenheit dar. Wir zeigen anhand eines Beispiels: Was müssen Sie prüfen, um entscheiden zu können, ob Sie als NIS-2-relevantes Unternehmen gelten oder nicht?
Das BSIG enthält einen zweiteiligen Anhang: Anlage 1 (besonders wichtige Einrichtungen) und Anlage 2 (wichtige Einrichtungen). Hier sind die relevanten Wirtschaftssektoren, Branchen und Tätigkeiten definiert. Ein Unternehmen muss prüfen, ob es unter eine der genannten Tätigkeiten fällt.
Beispiel: Spielzeugproduzent mit 2.000 Beschäftigten
Unser Beispielunternehmen, die Spielzeug GmbH, ist ein familiengeführtes Unternehmen und produziert mit insgesamt ca. 2.000 Beschäftigten an verschiedenen Standorten Spielzeuge aus Metall und Kunststoff. Um zu entscheiden, ob die Spielzeug GmbH betroffen ist, berät sich die Geschäftsführung mit dem Produktmanagement (Selbsteinschätzung).
Sie ziehen die Handelsregisterauszüge heran. Es fällt die Aussage: Die Haupttätigkeit des Unternehmens besteht darin, Spielzeuge aus Metall und Kunststoff zu entwickeln, herzustellen und zu verkaufen. Zudem erbringt es IT-Dienstleistungen.
Prüfung schnell beendet?
Anlage 2 des BSIG führt den Bereich „Herstellung von Waren“ auf, jedoch wird „Herstellung von Spielzeug“ als konkrete Tätigkeit nicht genannt. Man könnte nun meinen, dass die Prüfung damit bereits beendet ist und die Spielzeug GmbH nicht als (besonders) wichtige Einrichtung gilt. Weit gefehlt, es gibt einige Überraschungen.
Energieerzeugung und Tochterunternehmen
Das Unternehmen betreibt für die Herstellung der Metallspielzeuge eine eigene Gießerei, die enorme Abwärme erzeugt. Es sammelt diese Abwärme und verkauft sie als Fernwärme an die Gebäude in der näheren Umgebung. Auch betreibt es…
Weiterlesen mit Abo