Weiterer kritischer Sektor

NIS-2 für Forschungseinrichtungen

Forschungseinrichtungen zählen zu den weiteren kritischen Sektoren — im Fokus stehen Institute, deren Ergebnisse kommerziell verwertet werden. Forschungsdaten und geistiges Eigentum sind ein bevorzugtes Ziel gezielter Angriffe.

Typische Einrichtungen

Privatwirtschaftliche Forschungsinstitute
Auftrags- und Industrieforschung
Forschungsabteilungen mit eigenständiger Organisation

Was NIS-2 hier bedeutet

Forschungseinrichtungen mit kommerzieller Ausrichtung gelten ab den Größenschwellen (50 Mitarbeitende / 10 Mio. € Umsatz) als wichtige Einrichtung. Hochschulen und rein akademische Einrichtungen sind dagegen grundsätzlich nicht primär erfasst — Details regelt das Umsetzungsgesetz.

Unabhängig von der formalen Einstufung verlangen Förder- und Industriepartner zunehmend Sicherheitsnachweise — Forschungskooperationen sind Lieferketten im Sinne von NIS-2.

Die Schwellenwerte

Zwei Kategorien, ein einfaches Prinzip

Maßgeblich sind Sektor und Unternehmensgröße. Sonderfälle — etwa Betreiber kritischer Anlagen — fallen unabhängig von der Größe darunter.

Wesentliche Einrichtung

ab 250 Mitarbeitende
oder über 50 Mio. € Umsatz
in Sektoren hoher Kritikalität

Strengste Pflichten, aktive Aufsicht durch das BSI.

Wichtige Einrichtung

ab 50 Mitarbeitende
oder über 10 Mio. € Umsatz
in allen erfassten Sektoren

Verbindliche Melde- und Sicherheitspflichten.

Häufige Fragen

Sind Universitäten von NIS-2 betroffen?

Hochschulen sind als solche grundsätzlich nicht primär erfasst; im Fokus stehen Forschungseinrichtungen mit kommerzieller Verwertung. Ausgründungen und Institute mit Industrieaufträgen sollten ihre Einordnung prüfen.

Warum betrifft NIS-2 Forschungsinstitute überhaupt?

Forschungsergebnisse sind wirtschaftlich wertvoll und Angriffe auf Institute nehmen zu. NIS-2 verlangt deshalb auch hier Risikomanagement, Registrierung und Meldewege — bei kommerzieller Ausrichtung ab den Größenschwellen.