NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 25. Mai 2026 | Lesezeit: ca. 10 Minuten

Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer zentralen Frage: Bin ich überhaupt betroffen? Die Antwort darauf ist weitreichender als viele denken – und die Konsequenzen einer falschen Einschätzung können teuer werden. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung, erklärt die relevanten Kriterien gemäß §3 NIS2UmsuCG und zeigt Ihnen, welche Pflichten auf Sie zukommen.

Was ist die NIS2-Richtlinie und warum ist die Betroffenheitsprüfung so wichtig?

Die NIS2-Richtlinie (Network and Information Security Directive 2) der Europäischen Union wurde mit dem Ziel eingeführt, das Cybersicherheitsniveau in der gesamten EU deutlich anzuheben. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht überführt. Schätzungen des BSI zufolge fallen damit rund 29.000 Unternehmen und Organisationen in Deutschland erstmals oder erweitert unter gesetzliche Cybersicherheitspflichten – deutlich mehr als unter der Vorgängerregelung des IT-Sicherheitsgesetzes 2.0.

Der erste und entscheidende Schritt für jedes Unternehmen ist die NIS2-Betroffenheitsprüfung: Nur wer seinen Status als wesentliche oder wichtige Einrichtung korrekt einschätzt, kann rechtzeitig die nötigen Maßnahmen ergreifen und sich vor empfindlichen Bußgeldern schützen.

Die zwei zentralen Kriterien: Sektor und Größe

Gemäß §3 NIS2UmsuCG in Verbindung mit den Anlagen 1 und 2 des Gesetzes bestimmt sich die Betroffenheit anhand von zwei kumulativen Kriterien: dem Tätigkeitssektor und der Unternehmensgröße.

Schritt 1: Welchem Sektor gehört Ihr Unternehmen an?

Das NIS2UmsuCG unterscheidet zwischen Sektoren hoher Kritikalität (Anlage 1) und sonstigen kritischen Sektoren (Anlage 2).

Anlage 1 – Sektoren hoher Kritikalität (11 Sektoren):

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luftfahrt, Bahn, Schifffahrt, Straßenverkehr)
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur (z. B. Internet-Austauschpunkte, DNS-Dienste, TLD-Register)
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren (7 Sektoren):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Herstellung, Erzeugung und Vertrieb chemischer Stoffe
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe / Herstellung von Waren (u. a. Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge)
  • Anbieter digitaler Dienste (z. B. Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Praxis-Tipp: Viele mittelständische Unternehmen aus Maschinenbau, Lebensmittelproduktion oder der Chemiebranche erkennen erst bei genauer Prüfung, dass sie unter Anlage 2 fallen. Prüfen Sie Ihren NACE-Code und gleichen Sie diesen mit den Sektordefinitionen ab.

Schritt 2: Erfüllt Ihr Unternehmen die Größenschwellen?

Auch wenn Ihr Unternehmen einem der relevanten Sektoren angehört, greift das Gesetz nur, wenn bestimmte Größenmerkmale erfüllt sind. Grundsätzlich gilt:

Kategorie Mitarbeiter Umsatz oder Bilanzsumme
Mittleres Unternehmen (Mindestgröße) ≥ 50 Mitarbeiter ≥ 10 Mio. € Jahresumsatz oder Bilanzsumme
Großes Unternehmen ≥ 250 Mitarbeiter ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme

Wichtige Ausnahmen: Für bestimmte Einrichtungen – etwa Vertrauensdiensteanbieter, öffentliche Kommunikationsnetzbetreiber oder Unternehmen mit besonderer systemischer Bedeutung – kann die Betroffenheit unabhängig von der Größe bestehen (§3 Abs. 2 NIS2UmsuCG). Das BSI kann zudem einzelne Unternehmen per Bescheid als betroffene Einrichtungen identifizieren.

Wesentliche vs. Wichtige Einrichtungen: Ein entscheidender Unterschied

Nicht alle betroffenen Unternehmen haben dieselben Pflichten. Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien mit unterschiedlichen Anforderungsniveaus:

Wesentliche Einrichtungen (Essential Entities)

Als wesentliche Einrichtung gilt ein Unternehmen, wenn es:
- einem Sektor aus Anlage 1 angehört und
- die Schwellenwerte eines großen Unternehmens (≥ 250 Mitarbeiter oder ≥ 50 Mio. € Umsatz) erfüllt oder
- in bestimmten Sektoren (z. B. DNS, TLD, Vertrauensdienste) tätig ist, unabhängig von der Größe.

Wesentliche Einrichtungen unterliegen der proaktiven Aufsicht durch das BSI. Das bedeutet: Das BSI kann jederzeit Audits, Überprüfungen und Inspektionen einleiten, ohne dass ein konkreter Vorfall vorliegen muss.

Wichtige Einrichtungen (Important Entities)

Als wichtige Einrichtung gilt ein Unternehmen, wenn es:
- einem Sektor aus Anlage 1 angehört und die Größenschwellen eines mittleren Unternehmens (≥ 50 Mitarbeiter, ≥ 10 Mio. €) erreicht, aber die Schwelle für wesentliche Einrichtungen nicht überschreitet oder
- einem Sektor aus Anlage 2 angehört und mindestens ein mittleres Unternehmen ist.

Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht: Das BSI wird in der Regel erst nach einem Vorfall oder aufgrund konkreter Hinweise auf Verstöße tätig.

Fazit: Der Unterschied zwischen wesentlich und wichtig ist kein Freifahrtschein zur Inaktivität. Die technischen und organisatorischen Anforderungen sind für beide Kategorien nahezu identisch – der Unterschied liegt primär in der Aufsichtsintensität.

Selbsttest: Ist Ihr Unternehmen NIS2-pflichtig?

Nutzen Sie diese Checkliste für eine erste Einschätzung:

☐ Schritt 1 – Sektorcheck:
Gehört mein Kerngeschäft zu einem Sektor aus Anlage 1 oder Anlage 2 des NIS2UmsuCG?

☐ Schritt 2 – Größencheck:
Beschäftigt mein Unternehmen mindestens 50 Mitarbeiter und erzielt es mindestens 10 Mio. € Jahresumsatz oder Bilanzsumme?

☐ Schritt 3 – Ausnahmetatbestand prüfen:
Bin ich Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Namenregister oder Betreiber kritischer Infrastruktur nach §28 BSIG? (→ ggf. Betroffenheit unabhängig von Größe)

☐ Schritt 4 – Konzernzugehörigkeit prüfen:
Ist mein Unternehmen Teil eines Konzerns? Dann können die Mitarbeiterzahlen und Umsätze der gesamten Unternehmensgruppe maßgeblich sein.

☐ Schritt 5 – Registrierungspflicht:
Betroffene Einrichtungen müssen sich beim BSI registrieren. Ist dies bereits erfolgt?

Wenn Sie Schritt 1 und Schritt 2 (oder Schritt 3) mit „Ja" beantwortet haben: Sie sind mit hoher Wahrscheinlichkeit NIS2-pflichtig.

Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?

Die NIS2-Anforderungen sind kein Papiertiger. Das NIS2UmsuCG sieht in §65 BSIG ein abgestuftes Bußgeldsystem vor, das sich an der Schwere des Verstoßes und der Kategorie der Einrichtung orientiert:

Einrichtungstyp Maximales Bußgeld
Wesentliche Einrichtungen Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist)
Wichtige Einrichtungen Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist)

Darüber hinaus kann das BSI bei wesentlichen Einrichtungen im Wiederholungsfall oder bei schwerwiegenden Verstößen temporäre Tätigkeitsverbote gegen Geschäftsführer und Vorstände verhängen (§64 BSIG). Diese persönliche Haftung der Leitungsorgane ist neu und sollte für jedes Management ein starkes Signal sein.

Weitere mögliche Konsequenzen:
- Anordnung konkreter Sicherheitsmaßnahmen durch das BSI
- Öffentliche Bekanntmachung von Verstößen
- Zivilrechtliche Haftung gegenüber Dritten bei Sicherheitsvorfällen
- Reputationsschäden und Vertrauensverlust bei Kunden und Partnern

Konkrete Handlungsempfehlungen: So gehen Sie jetzt vor

Wenn die Betroffenheitsprüfung ergibt, dass Ihr Unternehmen unter NIS2 fällt, empfehlen wir folgende Schritte:

  1. Formale Betroffenheitsprüfung dokumentieren: Lassen Sie die Einstufung Ihres Unternehmens rechtssicher dokumentieren – idealerweise unter Einbeziehung eines spezialisierten Rechtsanwalts oder Cybersicherheitsberaters.

  2. Registrierung beim BSI vornehmen: Betroffene Einrichtungen sind verpflichtet, sich über die BSI-Plattform zu registrieren. Halten Sie dafür Angaben zu Sektor, Kontaktperson und IT-Systemen bereit.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen aus §30 BSIG (technische und organisatorische Maßnahmen). Identifizieren Sie Lücken in den Bereichen Risikomanagement, Incident Response, Business Continuity und Supply-Chain-Sicherheit.

  4. Informationssicherheits-Managementsystem (ISMS) aufbauen oder anpassen: Ein ISMS nach ISO 27001 bildet eine solide Grundlage für die NIS2-Compliance. Erstellen Sie die notwendigen Richtlinien, Prozesse und Dokumentationen.

  5. Meldepflichten implementieren: Gemäß §32 BSIG müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (vollständige Meldung) dem BSI gemeldet werden. Richten Sie entsprechende Meldeprozesse ein.

  6. Lieferkette überprüfen: Überprüfen Sie Ihre Zulieferer und Dienstleister auf deren Sicherheitsniveau. NIS2 fordert ausdrücklich das Management von Risiken in der Lieferkette (§30 Abs. 2 Nr. 4 BSIG).

  7. Schulungen für Leitungsorgane und Mitarbeiter: Die Geschäftsführung ist persönlich für die Umsetzung von NIS2-Maßnahmen verantwortlich. Regelmäßige Awareness-Trainings sind verpflichtend.

  8. Technische Maßnahmen umsetzen: Dazu gehören u. a. Verschlüsselung, Multi-Faktor-Authentifizierung, Schwachstellenmanagement, Netzwerksegmentierung und Backup-Strategien.

Fazit: Handeln Sie jetzt – die Zeit drängt

Die NIS2-Betroffenheitsprüfung ist kein bürokratisches Zusatzthema, sondern der Ausgangspunkt für die gesamte Cybersicherheitsstrategie Ihres Unternehmens. Wer seinen Status nicht kennt, kann weder die richtigen Maßnahmen ergreifen noch die gesetzlichen Pflichten erfüllen – mit erheblichen finanziellen und rechtlichen Konsequenzen.

Ihre nächsten Schritte auf einen Blick:
- ✅ Sektorcheck anhand der Anlagen 1 und 2 des NIS2UmsuCG durchführen
- ✅ Unternehmensgrößenschwellen (50 MA / 10 Mio. €) prüfen
- ✅ Einrichtungskategorie (wesentlich vs. wichtig) bestimmen
- ✅ Beim BSI registrieren
- ✅ Gap-Analyse und Maßnahmenplan starten

Die gute Nachricht: Viele Unternehmen haben bereits eine solide IT-Sicherheitsbasis. Es geht oft darum, vorhandene Maßnahmen zu dokumentieren, zu strukturieren und gezielt Lücken zu schließen.

Nächster Schritt: NIS2-Compliance strukturiert angehen

Für Unternehmen, die ihre NIS2-Betroffenheitsprüfung strukturiert durchführen und anschließend direkt mit der Compliance-Umsetzung starten möchten, bieten spezialisierte ISMS- und NIS2-Compliance-Softwarelösungen eine erhebliche Arbeitserleichterung. Solche Plattformen führen Sie systematisch durch die Betroffenheitsprüfung, unterstützen bei der Erstellung gesetzlich geforderter Dokumente (Risikoanalysen, Sicherheitsrichtlinien, Meldeprozesse) und helfen dabei, den Compliance-Status jederzeit transparent nachzuweisen. Informieren Sie sich über entsprechende Tools – eine strukturierte Softwareunterstützung kann den Unterschied zwischen monatelangem Projekt und effizienter Umsetzung bedeuten.

Dieser Artikel wurde auf Basis des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) sowie des BSIG in der aktuell geltenden Fassung erstellt. Er dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Compliance-Beratung.