NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 03. Juni 2026 | Lesedauer: ca. 8 Minuten
Seit der Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) stehen tausende Unternehmen in Deutschland vor einer zentralen Frage: Bin ich überhaupt betroffen? Die Antwort ist nicht immer trivial – und die Konsequenzen einer Fehleinschätzung können teuer werden. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 und gibt Ihnen konkrete Handlungsempfehlungen an die Hand.
Was ist die NIS2-Betroffenheitsprüfung und warum ist sie wichtig?
Die NIS2-Betroffenheitsprüfung ist der erste und entscheidende Schritt auf dem Weg zur Compliance. Wer sie überspringt oder falsch bewertet, riskiert entweder unnötige Compliance-Kosten oder – schlimmer – empfindliche Bußgelder nach § 65 BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik).
Gemäß § 3 NIS2UmsuCG gilt die Richtlinie für sogenannte wesentliche und wichtige Einrichtungen. Die Abgrenzung erfolgt anhand von zwei Kriterien:
- Sektorzugehörigkeit (Anlage 1 oder Anlage 2 des NIS2UmsuCG)
- Unternehmensgröße (Mitarbeiterzahl und Jahresumsatz/-bilanzsumme)
Klingt einfach? Die Tücke liegt im Detail – besonders wenn Unternehmen in mehreren Sektoren tätig sind, zu Konzernen gehören oder als Zulieferer kritischer Infrastrukturen fungieren.
Schritt 1: Sektorzugehörigkeit prüfen – Anlage 1 und Anlage 2
Der erste Prüfschritt ist die Frage: In welchem Sektor ist Ihr Unternehmen tätig? Das NIS2UmsuCG unterscheidet zwischen hochkritischen Sektoren (Anlage 1) und sonstigen kritischen Sektoren (Anlage 2).
Anlage 1 – Hochkritische Sektoren (11 Sektoren)
Unternehmen in diesen Bereichen unterliegen den strengsten Anforderungen und können als wesentliche Einrichtungen eingestuft werden:
| Sektor | Beispiele |
|---|---|
| Energie | Strom-, Gas-, Fernwärme-, Wasserstoffversorgung |
| Transport & Verkehr | Luftfahrt, Eisenbahn, Schifffahrt, Straßenverkehr |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Wasserversorgung und -verteilung |
| Abwasser | Abwasserentsorgung |
| Digitale Infrastruktur | IXPs, DNS-Anbieter, TLD-Register, Rechenzentren, CDN |
| ICT-Service-Management (B2B) | Managed Service Provider, Managed Security Provider |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
| Weltraum | Bodeninfrastrukturbetreiber |
Anlage 2 – Sonstige kritische Sektoren (7 Sektoren)
Unternehmen hier können als wichtige Einrichtungen eingestuft werden:
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefdienste |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Herstellung und Handel gefährlicher Stoffe |
| Lebensmittel | Großhandel und Produktion |
| Verarbeitendes Gewerbe | Medizinprodukte, Elektronik, Maschinenbau, Kfz |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Hinweis: Allein die Sektorzugehörigkeit reicht nicht aus. Entscheidend ist die Kombination mit den Größenkriterien.
Schritt 2: Größenkriterien – Wer ist groß genug?
Das NIS2UmsuCG orientiert sich an der EU-Empfehlung 2003/361/EG zur Definition von Unternehmensgrößen. Relevant sind folgende Schwellenwerte:
Wesentliche Einrichtungen (Anlage 1, große Unternehmen)
- Mehr als 250 Mitarbeiter (Vollzeitäquivalente), ODER
- Jahresumsatz über 50 Millionen Euro UND Jahresbilanzsumme über 43 Millionen Euro
Wichtige Einrichtungen (Anlage 1 oder 2, mittlere Unternehmen)
- Mehr als 50 Mitarbeiter, ODER
- Jahresumsatz über 10 Millionen Euro UND Jahresbilanzsumme über 10 Millionen Euro
Ausnahmen und Sonderfälle
Achtung: Es gibt wichtige Ausnahmen, bei denen die Größenkriterien nicht gelten:
- Kritische Anlagen nach § 28 BSIG (ehemals KRITIS) unterliegen NIS2 unabhängig von der Unternehmensgröße
- DNS-Dienstleister, TLD-Register, qualifizierte Vertrauensdienstleister und bestimmte öffentliche Verwaltungen sind unabhängig von der Größe einbezogen
- Alleinige Anbieter systemrelevanter Dienste können vom BSI individuell eingestuft werden
Schritt 3: Wesentliche vs. wichtige Einrichtung – Was ist der Unterschied?
Die Unterscheidung zwischen wesentlicher (§ 28 Abs. 1 BSIG) und wichtiger Einrichtung (§ 28 Abs. 2 BSIG) hat praktische Konsequenzen für die Anforderungen und die Aufsicht:
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektorzugehörigkeit | Anlage 1, groß | Anlage 1 mittelgroß + Anlage 2 |
| BSI-Aufsicht | Proaktiv (anlassunabhängig) | Reaktiv (anlassbezogen) |
| Nachweispflicht | Regelmäßige Audits/Zertifizierungen | Auf Anforderung |
| Bußgeldrahmen (§ 65 BSIG) | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
| Registrierungspflicht | Ja, beim BSI | Ja, beim BSI |
Selbsttest: Fällt Ihr Unternehmen unter NIS2?
Mit den folgenden Fragen können Sie eine erste Einschätzung vornehmen. Dieser Selbsttest ersetzt keine rechtliche Beratung, gibt Ihnen aber eine klare Orientierung.
Checkliste zur NIS2-Betroffenheitsprüfung
Frage 1: Sektor
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
- [ ] Bin ich als Zulieferer oder Dienstleister für ein Unternehmen aus Anlage 1/2 tätig?
Frage 2: Größe
- [ ] Hat mein Unternehmen mehr als 50 Mitarbeiter?
- [ ] Übersteigt der Jahresumsatz 10 Millionen Euro?
- [ ] Übersteigt die Jahresbilanzsumme 10 Millionen Euro?
Frage 3: Sonderstatus
- [ ] Betreibe ich kritische Infrastrukturen nach § 28 BSIG (KRITIS)?
- [ ] Bin ich ein qualifizierter Vertrauensdienstleister oder DNS-Anbieter?
- [ ] Bin ich der einzige Anbieter eines systemrelevanten Dienstes in meiner Region?
Auswertung:
- Frage 1 UND Frage 2 jeweils mindestens einmal bejaht → Wahrscheinlich NIS2-pflichtig
- Frage 3 mindestens einmal bejaht → NIS2-pflichtig unabhängig von Frage 2
- Nur Frage 2 bejaht, Frage 1 verneint → Derzeit nicht direkt betroffen
Tipp für Zulieferer: Auch wenn Sie selbst nicht direkt unter NIS2 fallen, können Ihre Kunden vertragliche Anforderungen an Sie stellen, die de facto NIS2-Maßnahmen erfordern. Die Lieferkettensicherheit ist ein zentrales Element der Richtlinie.
Was droht bei Nichterfüllung? Bußgelder nach § 65 BSIG
Die Sanktionsmechanismen des NIS2UmsuCG sind erheblich schärfer als die seines Vorgängers. Das BSI kann bei Verstößen empfindliche Bußgelder verhängen:
- Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist (§ 65 Abs. 1 BSIG)
- Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes (§ 65 Abs. 2 BSIG)
Darüber hinaus können Geschäftsführer und Vorstände persönlich haftbar gemacht werden, wenn sie die Umsetzung der Cybersicherheitsmaßnahmen schuldhaft versäumt haben. Die persönliche Haftung der Leitungsorgane ist in § 38 BSIG explizit geregelt und kann bis zu 2 Millionen Euro betragen.
Neben Bußgeldern drohen:
- Öffentliche Bekanntmachung von Verstößen ("Naming and Shaming")
- Anordnungen zur Einstellung bestimmter Dienstleistungen
- Untersagung der Ausübung von Leitungsfunktionen
Konkrete Handlungsempfehlungen: 7 Schritte zur NIS2-Compliance
Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, sollten Sie jetzt handeln. Die folgenden Schritte bilden einen praxiserprobten Einstieg:
-
Formale Betroffenheitsprüfung dokumentieren: Halten Sie Ihre Selbsteinstufung schriftlich fest – inklusive der verwendeten Kriterien und Datenquellen (Mitarbeiterzahl, Umsatz, Sektor). Diese Dokumentation ist bei BSI-Anfragen relevant.
-
Beim BSI registrieren: Alle betroffenen Einrichtungen müssen sich beim BSI registrieren. Die Registrierung erfolgt über das MELDEPLATTFORM des BSI. Nutzen Sie das offizielle Portal unter bsi.bund.de.
-
Gap-Analyse durchführen: Prüfen Sie Ihren aktuellen Sicherheitsstand gegen die Anforderungen aus § 30 BSIG (technische und organisatorische Maßnahmen). Typische Lücken betreffen: Incident Response, Backup-Management, Lieferkettenmanagement und Zugriffskontrollen.
-
Informationssicherheits-Managementsystem (ISMS) einführen: Ein ISMS nach ISO 27001 oder BSI IT-Grundschutz bildet das strukturelle Fundament für NIS2-Compliance. Ohne dokumentierte Prozesse ist eine nachhaltige Compliance kaum möglich.
-
Meldeprozesse für Sicherheitsvorfälle etablieren: § 32 BSIG schreibt eine mehrstufige Meldepflicht vor: Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden und Abschlussbericht nach einem Monat.
-
Lieferkette sichern: Fordern Sie von Ihren wesentlichen Lieferanten und Dienstleistern Nachweise über ihre Sicherheitsmaßnahmen. Ergänzen Sie Verträge um entsprechende Klauseln.
-
Schulungen und Awareness: § 38 BSIG verpflichtet die Geschäftsführung zur regelmäßigen Teilnahme an Cybersicherheits-Schulungen. Etablieren Sie ein regelmäßiges Awareness-Programm für alle Mitarbeitenden.
Sonderfall: Konzernstrukturen und verbundene Unternehmen
Ein häufig übersehenes Thema ist die Betroffenheit im Konzernverbund. Wichtig zu wissen:
- Die Größenkriterien werden auf Unternehmensebene berechnet, jedoch können Partnerunternehmen und verbundene Unternehmen gemäß EU-KMU-Definition zur Berechnung hinzugezogen werden
- Eine Muttergesellschaft, die selbst nicht in einem regulierten Sektor tätig ist, kann durch ihre Tochtergesellschaften indirekt betroffen sein
- Ausgliederungen von IT-Funktionen auf externe Dienstleister befreien nicht von der Verantwortung – die Verantwortung bleibt beim beauftragenden Unternehmen
Fazit: Jetzt handeln – NIS2-Betroffenheit klären und Compliance-Weg einschlagen
Die NIS2-Betroffenheitsprüfung ist kein einmaliges Ereignis, sondern ein lebendiger Prozess. Unternehmensstruktur, Umsatz und Tätigkeitsfelder können sich ändern – und damit auch die Betroffenheit. Empfehlenswert ist daher eine jährliche Überprüfung.
Ihre nächsten Schritte auf einen Blick:
- Sektor nach Anlage 1 / Anlage 2 bestimmen
- Mitarbeiterzahl und Finanzkennzahlen prüfen
- Einrichtungstyp (wesentlich/wichtig) festlegen und dokumentieren
- BSI-Registrierung vornehmen
- Gap-Analyse und ISMS-Aufbau anstoßen
- Meldeprozesse und Schulungen implementieren
Die gute Nachricht: Wer strukturiert vorgeht, muss NIS2-Compliance nicht als Last empfinden – sondern als Chance, die eigene Cyber-Resilienz nachhaltig zu stärken.
Tools und Software für die NIS2-Betroffenheitsprüfung
Die manuelle Betroffenheitsprüfung und anschließende Compliance-Umsetzung sind aufwändig – besonders für mittelständische Unternehmen ohne dediziertes Security-Team. NIS2-Compliance-Softwarelösungen können diesen Prozess erheblich erleichtern: Sie führen Sie strukturiert durch die Betroffenheitsprüfung, helfen bei der Dokumentation von Risikobewertungen, unterstützen beim Aufbau eines ISMS und erinnern automatisch an Fristen wie die BSI-Registrierung oder Meldepflichten. Viele Tools bieten auch Gap-Analysen auf Knopfdruck sowie vorgefertigte Richtlinien-Templates nach ISO 27001 und BSI IT-Grundschutz. Wenn Sie noch kein solches System im Einsatz haben, lohnt ein Vergleich der aktuell verfügbaren Lösungen – Ihr Aufwand für die NIS2-Umsetzung kann sich damit um ein Vielfaches reduzieren.
Haben Sie Fragen zur NIS2-Betroffenheitsprüfung für Ihr Unternehmen? Hinterlassen Sie einen Kommentar oder kontaktieren Sie einen zertifizierten Informationssicherheitsberater (CISO, BSI IT-Grundschutz-Praktiker) für eine individuelle Einschätzung.
Quellen: BSI NIS2-Informationsportal (bsi.bund.de), NIS2UmsuCG (BGBl. 2024 I Nr. 259), BSIG in der Fassung 2024, ENISA NIS2 Directive Guidelines, EU-Empfehlung 2003/361/EG