NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 26. Mai 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie der Europäischen Union und ihre nationale Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) haben die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Doch eine Frage beschäftigt IT-Verantwortliche und Geschäftsführer nach wie vor: Ist mein Unternehmen überhaupt betroffen?
Die Antwort ist nicht immer trivial. Während einige Unternehmen bereits aktiv ihre Compliance-Prozesse umgesetzt haben, operieren andere noch in einer rechtlichen Grauzone – mit möglicherweise erheblichen Konsequenzen. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung und erklärt, was Sie als betroffenes Unternehmen in Deutschland im Jahr 2025 konkret unternehmen müssen.
Was regelt §3 NIS2UmsuCG?
Der Anwendungsbereich des NIS2UmsuCG wird in §3 NIS2UmsuCG definiert. Er legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit unter die strengen Pflichten des Gesetzes fallen. Grundlage sind zwei Kriterien, die kumulativ erfüllt sein müssen:
- Sektorzugehörigkeit – Das Unternehmen ist in einem der in Anlage 1 oder Anlage 2 des NIS2UmsuCG aufgeführten Sektoren tätig.
- Größenkriterien – Das Unternehmen überschreitet bestimmte Schwellenwerte bei Mitarbeiterzahl oder Jahresumsatz/-bilanzsumme.
Hinzu kommen Sonderregelungen für bestimmte Einrichtungstypen, die unabhängig von der Unternehmensgröße erfasst werden – dazu später mehr.
Schritt 1: Sektorzugehörigkeit prüfen
Anlage 1: Sektoren mit hoher Kritikalität (Wesentliche Einrichtungen)
Die Anlage 1 des NIS2UmsuCG umfasst elf Sektoren, die als besonders kritisch für die öffentliche Ordnung, Sicherheit und das Wirtschaftsleben gelten:
| Nr. | Sektor | Beispiele |
|---|---|---|
| 1 | Energie | Strom-, Gas-, Wärme-, Ölversorgung, Wasserstoff |
| 2 | Verkehr | Luftfahrt, Bahn, Schifffahrt, Straße |
| 3 | Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| 4 | Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| 5 | Gesundheit | Krankenhäuser, Labore, F&E Pharma |
| 6 | Trinkwasser | Wasserversorgungsunternehmen |
| 7 | Abwasser | Abwasserbehandlung |
| 8 | Digitale Infrastruktur | Internet-Knoten, DNS, TLD, Cloud, Rechenzentren |
| 9 | ICT-Servicemanagement (B2B) | Managed Service Provider, Managed Security Services |
| 10 | Öffentliche Verwaltung | Bundes- und Landesbehörden |
| 11 | Weltraum | Bodeninfrastrukturbetreiber |
Anlage 2: Sonstige kritische Sektoren (Wichtige Einrichtungen)
Die Anlage 2 ergänzt die Liste um weitere sieben Sektoren mit erhöhtem Schutzbedarf:
| Nr. | Sektor | Beispiele |
|---|---|---|
| 1 | Post- und Kurierdienste | Paket- und Briefdienstleister |
| 2 | Abfallbewirtschaftung | Entsorgungsunternehmen |
| 3 | Chemie | Herstellung, Produktion, Vertrieb gefährlicher Stoffe |
| 4 | Lebensmittel | Produktion, Verarbeitung, Vertrieb |
| 5 | Verarbeitendes Gewerbe | Medizinprodukte, EDV, Elektronik, Maschinenbau, Kfz, sonstige Fahrzeuge |
| 6 | Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| 7 | Forschung | Forschungseinrichtungen |
Praxistipp: Viele mittelständische Unternehmen unterschätzen ihre Sektorzugehörigkeit. Ein Zulieferer für die Automobilindustrie kann dem Sektor „Verarbeitendes Gewerbe/Kfz" zugeordnet werden. Ein IT-Dienstleister, der Managed Services anbietet, fällt möglicherweise bereits unter Anlage 1, Sektor 9 – unabhängig von seiner Größe.
Schritt 2: Größenkriterien prüfen
Neben der Sektorzugehörigkeit gelten für die meisten Einrichtungen folgende Größenschwellen, die sich an der EU-Empfehlung 2003/361/EG orientieren:
Wesentliche Einrichtungen (Anlage 1)
Unternehmen in Sektoren der Anlage 1 gelten als wesentliche Einrichtungen, wenn sie:
- 500 oder mehr Mitarbeiter beschäftigen, oder
- einen Jahresumsatz von mehr als 100 Mio. Euro und eine Jahresbilanzsumme von mehr als 100 Mio. Euro aufweisen.
Darüber hinaus werden mittlere Unternehmen in besonders kritischen Sektoren (z. B. DNS-Anbieter, TLD-Registries, bestimmte Cloud-Dienste) ebenfalls als wesentliche Einrichtungen eingestuft.
Wichtige Einrichtungen (Anlage 1 & 2)
Als wichtige Einrichtungen gelten Unternehmen, die:
- 50 oder mehr Mitarbeiter beschäftigen, oder
- einen Jahresumsatz von mehr als 10 Mio. Euro und eine Jahresbilanzsumme von mehr als 10 Mio. Euro erzielen,
und einem der Sektoren aus Anlage 1 oder Anlage 2 angehören, ohne die höheren Schwellenwerte für wesentliche Einrichtungen zu erfüllen.
Sonderregelungen: Größenunabhängige Betroffenheit
Bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter das NIS2UmsuCG. Dazu zählen u. a.:
- Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
- Vertrauensdiensteanbieter
- Top-Level-Domain-Registries und DNS-Dienstanbieter
- Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit oder die Wirtschaft hätte (Einzelfallentscheidung durch das BSI)
Schritt 3: Wesentliche vs. wichtige Einrichtung – was ist der Unterschied?
Die Unterscheidung ist nicht nur akademisch – sie hat direkte Auswirkungen auf Ihre Pflichten und die Höhe möglicher Bußgelder.
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektor | Anlage 1 | Anlage 1 oder 2 |
| Mitarbeiter | ≥ 500 (i. d. R.) | ≥ 50 |
| Umsatz/Bilanz | > 100 Mio. € | > 10 Mio. € |
| BSI-Aufsicht | Proaktiv (ex-ante) | Reaktiv (ex-post) |
| Meldepflichten | Strenger, kürzere Fristen | Weniger streng |
| Max. Bußgeld | 10 Mio. € oder 2 % des Jahresumsatzes | 7 Mio. € oder 1,4 % des Jahresumsatzes |
| Geschäftsführerhaftung | Ja (§38 NIS2UmsuCG) | Ja (§38 NIS2UmsuCG) |
Selbsttest: Bin ich betroffen?
Nutzen Sie die folgende Checkliste für eine erste Einschätzung Ihrer NIS2-Betroffenheit:
✅ NIS2-Betroffenheits-Checkliste
Block A – Sektorzugehörigkeit
- [ ] Mein Unternehmen ist in einem Sektor der Anlage 1 tätig (Energie, Verkehr, Banken, Finanzmarkt, Gesundheit, Wasser, Abwasser, Digitale Infrastruktur, ICT-Services, Öffentliche Verwaltung, Weltraum)
- [ ] Mein Unternehmen ist in einem Sektor der Anlage 2 tätig (Post, Abfall, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung)
- [ ] Mein Unternehmen erbringt Managed Services oder Managed Security Services für andere Unternehmen
Block B – Größenkriterien
- [ ] Mein Unternehmen beschäftigt 50 oder mehr Mitarbeiter (Vollzeitäquivalente)
- [ ] Der Jahresumsatz übersteigt 10 Mio. Euro
- [ ] Die Jahresbilanzsumme übersteigt 10 Mio. Euro
Block C – Sonderregelungen
- [ ] Mein Unternehmen ist Anbieter öffentlicher Kommunikationsnetze
- [ ] Mein Unternehmen ist ein qualifizierter Vertrauensdiensteanbieter
- [ ] Das BSI hat mein Unternehmen individuell als kritisch eingestuft
Auswertung:
- Block A (mind. 1 Treffer) + Block B (mind. 1 Treffer) → Wahrscheinlich betroffen → Detailprüfung empfohlen
- Block C (mind. 1 Treffer) → Sehr wahrscheinlich betroffen, unabhängig von Block B
- Kein Treffer → Derzeit wahrscheinlich nicht direkt betroffen, aber Lieferkettenpflichten prüfen!
Wichtiger Hinweis: Diese Checkliste ersetzt keine rechtliche Beratung. Bei Unsicherheit sollten Sie einen auf IT-Recht spezialisierten Anwalt oder das BSI konsultieren.
Welche Konsequenzen drohen bei Nichterfüllung?
Bußgelder nach §65 BSIG
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zuständige Aufsichtsbehörde und kann bei Verstößen empfindliche Bußgelder verhängen. Die Bußgeldtatbestände sind in §65 BSIG geregelt:
- Wesentliche Einrichtungen: Bußgelder bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
- Wichtige Einrichtungen: Bußgelder bis zu 7.000.000 Euro oder 1,4 % des weltweiten Jahresumsatzes
Besonders gravierend: Gemäß §38 NIS2UmsuCG können Geschäftsführer und Vorstandsmitglieder persönlich haftbar gemacht werden, wenn sie Cybersicherheitsmaßnahmen nicht ordnungsgemäß genehmigen oder überwachen. Eine Enthaftung durch Delegation an die IT-Abteilung ist nicht möglich.
Weitere Konsequenzen
Neben Bußgeldern drohen bei schwerwiegenden Verstößen:
- Vorübergehende Betriebsuntersagungen für Führungspersonen
- Öffentliche Bekanntmachungen von Verstößen durch das BSI
- Reputationsschäden gegenüber Kunden und Partnern
- Vertragliche Konsequenzen in Lieferketten, da Auftraggeber NIS2-Compliance zunehmend als Voraussetzung fordern
Die wichtigsten Pflichten für betroffene Unternehmen
Wenn Ihr Unternehmen unter die NIS2-Richtlinie fällt, ergeben sich aus dem NIS2UmsuCG folgende Kernpflichten:
- Registrierung beim BSI – Betroffene Einrichtungen müssen sich im BSI-Portal registrieren (§33 NIS2UmsuCG)
- Implementierung von Risikomanagementmaßnahmen – Technische und organisatorische Maßnahmen nach §30 NIS2UmsuCG, u. a. Zugangskontrolle, Verschlüsselung, Notfallpläne
- Meldepflichten bei Sicherheitsvorfällen – Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (vollständige Meldung) an das BSI gemeldet werden (§32 NIS2UmsuCG)
- Lieferkettensicherheit – Risiken durch Dienstleister und Lieferanten müssen systematisch bewertet werden
- Schulung der Leitungsebene – Geschäftsführer und Vorstände müssen regelmäßig zu Cybersicherheitsthemen geschult werden
Handlungsempfehlungen: So gehen Sie jetzt vor
Wenn Sie den Verdacht haben, unter NIS2 zu fallen – oder bereits wissen, dass Sie betroffen sind – empfehlen wir folgende Schritte:
- Führen Sie eine formelle Betroffenheitsprüfung durch – Dokumentieren Sie Sektorzugehörigkeit und Unternehmenskennzahlen schriftlich und lassen Sie das Ergebnis rechtlich absichern.
- Registrieren Sie sich beim BSI – Die Registrierung im BSI-Portal ist Pflicht und sollte zeitnah erfolgen. Versäumnisse können bereits als Ordnungswidrigkeit geahndet werden.
- Führen Sie eine Gap-Analyse durch – Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen des §30 NIS2UmsuCG und identifizieren Sie Lücken.
- Erstellen Sie ein Informationssicherheits-Managementsystem (ISMS) – Ein ISMS nach ISO 27001 oder BSI IT-Grundschutz bildet die strukturelle Basis für die NIS2-Compliance.
- Schulen Sie Ihre Führungsebene – Informieren Sie Geschäftsführer und Vorstände über ihre persönliche Haftung und die gesetzlichen Anforderungen.
- Überprüfen Sie Ihre Lieferkette – Fordern Sie von kritischen Dienstleistern und Lieferanten Nachweise über deren Cybersicherheitsmaßnahmen an.
- Implementieren Sie ein Incident-Response-Verfahren – Stellen Sie sicher, dass Sie Sicherheitsvorfälle innerhalb der gesetzlichen Fristen erkennen, bewerten und melden können.
- Wiederholen Sie die Prüfung regelmäßig – Unternehmensveränderungen (Wachstum, neue Geschäftsfelder, Akquisitionen) können die NIS2-Betroffenheit verändern.
Fazit: Handeln Sie jetzt – nicht nach dem ersten Bußgeldbescheid
Die NIS2-Betroffenheitsprüfung ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Mit dem Inkrafttreten des NIS2UmsuCG und der aktiven Aufsichtstätigkeit des BSI ist die Frage nicht mehr, ob Unternehmen kontrolliert werden, sondern wann.
Ihre nächsten Schritte zusammengefasst:
- ✔ Sektorzugehörigkeit anhand der Anlagen 1 und 2 prüfen
- ✔ Größenkriterien (50 MA / 10 Mio. € für wichtige Einrichtungen) überprüfen
- ✔ Ergebnis dokumentieren und rechtlich absichern lassen
- ✔ BSI-Registrierung veranlassen
- ✔ Gap-Analyse und ISMS-Aufbau starten
Die gute Nachricht: Wer früh handelt, vermeidet nicht nur Bußgelder, sondern stärkt auch das Vertrauen seiner Kunden und Partner. Cybersicherheit ist längst ein Wettbewerbsfaktor.
Jetzt Betroffenheit digital prüfen und ISMS-Dokumentation aufbauen
Um den Prozess der NIS2-Betroffenheitsprüfung zu vereinfachen und zu beschleunigen, empfiehlt sich der Einsatz spezialisierter NIS2-Compliance-Software. Moderne Plattformen führen Sie strukturiert durch die Betroffenheitsprüfung, unterstützen beim Aufbau eines ISMS, generieren rechtskonforme Dokumente (Richtlinien, Risikoanalysen, Meldeprozesse) und helfen dabei, den Nachweis der Compliance gegenüber dem BSI zu erbringen. Tools wie diese reduzieren den manuellen Aufwand erheblich und stellen sicher, dass Sie bei BSI-Prüfungen gut vorbereitet sind. Ein erster Schritt kann ein kostenloser NIS2-Selbsttest sein – den bieten mehrere Anbieter und auch das BSI selbst auf ihrer Website an.
Dieser Artikel wurde nach bestem Wissen und unter Berücksichtigung des aktuellen Stands des NIS2UmsuCG und des BSIG erstellt. Er stellt keine Rechtsberatung dar. Für eine verbindliche Einschätzung Ihrer Betroffenheit wenden Sie sich an einen spezialisierten Rechtsanwalt oder das BSI.