Der Geltungsbereich regulierter Unternehmen definiert und beschreibt den regulierten Bereich mit den notwendigen Prozessen und IT/OT. NIS2 erweitert den Geltungsbereich in betroffenen Unternehmen gegenüber KRITIS deutlich. Zukünftig fallen große Teile von Unternehmen unter die Regulierung. Es gibt mehrere Geltungsbereiche je nach Betroffenheit als reguliertes Unternehmen: Betreiber kritischer Anlagen (KRITIS) mit definierten Anlagen über Schwellenwert. Dort sind die Anlage (KRITIS) und kritische Dienstleistung (kDL) mit Prozessen und IT im Scope. NIS2-Einrichtung als ganze Legaleinheiten nach Unternehmensgröße. Geltungsbereich ist das ganze Unternehmen als Legaleinheit mit “sämtlichen Aktivitäten” und praktisch der ganzen IT In den verschiedenen Scopes im Geltungsbereich gelten dann, je nach genauem Sektor und Unternehmensart, verschiedene NIS2- und KRITIS-Vorgaben: Geltungsbereich Abgedeckt Anforderungen Einrichtung ganze Legaleinheit NIS2-Anforderungen §30 §32 §33 §35 §38 Kritische Anlage wenn vorhanden Systeme, Komponenten und Prozesse der kritischen Dienstleistung (Anlage) NIS2 und KRITIS-Anforderungen §30 §31 §32 §33 §35 §38 §39 Resilienz-Anforderungen KRITIS-DachG Der Geltungsbereich muss von regulierten Einrichtungen und Betreibern selbst im Detail definiert und in einem Geltungsbereichsdokument beschrieben werden.