Einrichtungen der Langzeitpflege fallen nicht unter den Sektor Gesundheitsdienstleistung (vgl. Anhang I Nr. 5 der NIS-2-Richtlinie in Verbindung mit Richtlinie (EU) 2011/24).

Ja, gemäß Anhang I Nr. 5 der NIS-2-Richtlinie in Verbindung mit Artikel 3 Buchstabe g der Richtlinie (EU) 2011/24, umfassen Gesundheitsdienstleistungen u. a. auch die Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten.

Im Sinne der Richtlinie bezeichnet "Gesundheitsversorgung" Gesundheitsdienstleistungen, die von Angehörigen der Gesundheitsberufe gegenüber Patienten erbracht werden, um deren Gesundheitszustand zu beurteilen, zu erhalten oder wiederherzustellen, einschließlich der Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten.

Betreiber kritischer Anlagen bzw. Betreiber Kritischer Infrastrukturen werden voraussichtlich unabhängig von den zukünftigen Schwellenwerten Mitarbeiterzahl, Umsatz und Bilanzsumme automatisch "wesentliche Einrichtungen" (essential entities), vgl. Artikel 2 Absatz 3 sowie Artikel 3 Absatz 1 Buchstabe f der NIS-2-Richtlinie.

Nein, in der Regel dürften reine Beratungsleistungen zur IT-Sicherheit nicht unter die Einrichtungsarten im Sektor digitale Infrastruktur (Anhang I, Nr. 8 der NIS-2-Richtlinie) fallen.

Ja, Tochterunternehmen, in denen der zentrale IT-Betrieb eines Unternehmensverbunds organisiert ist, dürften in der Regel als Managed Services Provider (MSP) oder Managed Security Service Provider (MSSP) anzusehen sein.

Nein, reines Webhosting zählt in der Regel nicht zu Einrichtungsarten wie Cloudanbieter oder MSP.

Ja. Gemäß Artikel 3 der NIS-2-Richtlinie sind DNS-Diensteanbieter, unabhängig ihrer Größe, verpflichtet die Anforderungen dieser Richtlinie zu erfüllen.

Ja, nach aktuellem Stand werden Betreiber von öffentlichen Kommunikationsnetzen unabhängig von ihrer Größe als "wichtige Einrichtung" (important entity), sofern unter der Schwelle für Kleinunternehmen liegend, oder "wesentliche Einrichtung" (essential entity) betroffen sein, vgl. Artikel 2 Absatz 2 sowie Artikel 3 Absatz 1 Buchstabe c der NIS-2-Richtlinie. Hierbei wird jedoch auf zukünftige sektorspezifische Regelungen des TKG zu achten sein.

Von DORA betroffene Einrichtungen werden nach Verabschiedung eines zukünftigen BSIG voraussichtlich, abgesehen von einer Registrierung, von weitergehenden Pflichten ausgenommen. Eine doppelte Meldung von Sicherheitsvorfällen, Aufsichten, Nachweisen etc. soll vermieden werden.

Betreiber von Kritischen Infrastrukturen, die gem. Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 als Finanzunternehmen gelten, müssen seit dem 17. Januar 2025 keinen KRITIS-Nachweis gem. § 8a Absatz 3 BISG und keine KRITIS-Meldungen zu Störungen gem. § 8b Absatz 4 BISG einreichen.

Die Registrierung beim BSI ist erforderlich, um weiterhin Zugriff auf die BSI-Produkte (Warnmeldungen, Management-Infos etc.) zu erhalten und auf die Unterstützungsleistung des BSI im Betroffenheitsfall zurückgreifen zu können.

In der Regel nein. Für Hotel-Restaurants/Restaurants/Gastronomiebetriebe könnte zwar die Einrichtungsart des Sektors "Produktion, Verarbeitung und Vertrieb von Lebensmitteln" in Betracht kommen (Anhang II Nr. 4 der NIS-2-Richtlinie). Diese beschränkt sich jedoch auf solche Lebensmittelunternehmen nach Artikel 3 Nummer 2 der VO (EU) 178/2002, "die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind".

Ja. Für die Betroffenheit gemäß der NIS-2-Richtlinie sind deren Regelungen relevant. Die Richtlinie spricht nicht von "auto-skalierbar", sondern nur von "skalierbar". Somit würde auch ein solcher Cloud-Computing-Dienst unter diese Richtlinie fallen (vgl. Artikel 6 Nr. 30 der NIS-2-Richtlinie).