NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 08. Juni 2026 | Lesedauer: ca. 8 Minuten

Die NIS2-Richtlinie der Europäischen Union ist seit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht verbindlich – und viele Unternehmen stellen sich noch immer die entscheidende Frage: Bin ich überhaupt betroffen? Die Antwort ist nicht trivial. Denn während manche Organisationen eindeutig unter die Regulierung fallen, bewegen sich andere in einer Grauzone, die sorgfältige Prüfung erfordert. Dieser Artikel führt Sie systematisch durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland und zeigt Ihnen, welche Konsequenzen drohen, wenn Sie die Frage falsch beantworten.

Was ist die NIS2-Betroffenheitsprüfung – und warum ist sie 2025/2026 so wichtig?

Die NIS2-Richtlinie (EU 2022/2555) erweitert den Kreis der regulierten Unternehmen im Vergleich zur Vorgängerregelung erheblich. Schätzungen des BSI zufolge sind in Deutschland rund 30.000 Unternehmen neu von der Regulierung erfasst – viele davon mittelständische Betriebe, die sich bislang nicht als Betreiber kritischer Infrastrukturen verstanden haben.

Gemäß §3 NIS2UmsuCG sind Unternehmen verpflichtet, selbst zu prüfen, ob sie als „wesentliche Einrichtung" oder „wichtige Einrichtung" einzustufen sind, und sich beim BSI zu registrieren. Diese Selbsteinstufungspflicht macht die Betroffenheitsprüfung zum ersten und wichtigsten Schritt auf dem Weg zur NIS2-Compliance – vor der Implementierung technischer oder organisatorischer Maßnahmen.

Die zwei entscheidenden Kriterien: Sektor und Größe

Die Betroffenheit nach NIS2 ergibt sich grundsätzlich aus dem Zusammenspiel zweier Faktoren:

  1. Sektorzugehörigkeit – Ist Ihr Unternehmen in einem der regulierten Sektoren tätig?
  2. Unternehmensgröße – Erreicht Ihr Unternehmen die definierten Schwellenwerte?

Beide Kriterien müssen in der Regel gleichzeitig erfüllt sein – mit Ausnahmen, auf die wir noch eingehen.

Welche Sektoren sind betroffen? Anlage 1 und Anlage 2 im Überblick

Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien von Sektoren, die den Anlagen 1 und 2 des Gesetzes entsprechen.

Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Diese Sektoren gelten als besonders kritisch für das Funktionieren der Gesellschaft und Wirtschaft:

  • Energie (Strom, Gas, Wärme, Erdöl, Wasserstoff)
  • Verkehr (Luft, Bahn, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Rechenzentren, Cloud-Dienste, DNS, TLD-Registries)
  • IKT-Dienstleistungsmanagement (B2B-Managed-Service-Provider)
  • Öffentliche Verwaltung (Bundesebene, Länderbehörden)
  • Weltraum

Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie (Herstellung, Produktion, Vertrieb)
  • Lebensmittelproduktion und -verarbeitung
  • Herstellung von Medizinprodukten, Maschinen, Fahrzeugen, elektronischen Geräten
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Wichtig: Allein die Sektorzugehörigkeit reicht für die meisten Unternehmen nicht aus. Entscheidend ist das Zusammenspiel mit den Größenkriterien.

Größenkriterien: Ab wann sind Sie betroffen?

Die NIS2-Regulierung gilt grundsätzlich für mittlere und große Unternehmen in den genannten Sektoren. Die Schwellenwerte orientieren sich an der EU-Definition für KMU:

Unternehmensgröße Mitarbeiter Jahresumsatz oder Jahresbilanzsumme
Mittleres Unternehmen ≥ 50 Mitarbeiter ≥ 10 Mio. Euro
Großes Unternehmen ≥ 250 Mitarbeiter ≥ 50 Mio. Euro Umsatz oder ≥ 43 Mio. Euro Bilanzsumme

Für die Betroffenheit gilt: Unternehmen ab 50 Mitarbeitern UND einem Jahresumsatz bzw. einer Bilanzsumme ab 10 Millionen Euro in einem der regulierten Sektoren unterliegen der NIS2-Regulierung.

Ausnahmen: Unternehmen ohne Größenschwelle

In bestimmten Fällen spielt die Unternehmensgröße keine Rolle. Folgende Organisationen fallen unabhängig von Mitarbeiterzahl und Umsatz unter NIS2:

  • Betreiber kritischer Anlagen nach §28 BSIG (ehemals KRITIS)
  • Anbieter von TLD-Registrierungsdiensten und DNS-Diensten
  • Qualifizierte Vertrauensdiensteanbieter
  • Alleiniger Anbieter eines essenziellen Dienstes in einem EU-Mitgliedstaat
  • Behörden und öffentliche Verwaltungen auf Bundes- und Landesebene

Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?

Die Einstufung als wesentliche Einrichtung oder wichtige Einrichtung hat direkte Auswirkungen auf Aufsichtsintensität und Sanktionshöhe.

Wesentliche Einrichtungen

  • Große Unternehmen (≥ 250 MA oder ≥ 50 Mio. € Umsatz) in Anlage-1-Sektoren
  • Mittlere Unternehmen in bestimmten Anlage-1-Sektoren (z.B. Betreiber kritischer Anlagen)
  • Unterliegen proaktiver Aufsicht durch das BSI
  • Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes

Wichtige Einrichtungen

  • Mittlere Unternehmen in Anlage-1-Sektoren
  • Mittlere und große Unternehmen in Anlage-2-Sektoren
  • Unterliegen reaktiver Aufsicht (BSI wird bei Verdacht aktiv)
  • Bußgelder bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes

Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?

Arbeiten Sie die folgenden Fragen der Reihe nach ab. Bei „Ja" gehen Sie zur nächsten Frage, bei „Nein" sind Sie (unter Vorbehalt weiterer Prüfung) möglicherweise nicht betroffen.

Schritt 1: Sektorzugehörigkeit
- [ ] Ist mein Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?

Schritt 2: Größenschwelle
- [ ] Hat mein Unternehmen mindestens 50 Mitarbeiter?
- [ ] Liegt der Jahresumsatz oder die Bilanzsumme bei mindestens 10 Mio. Euro?

Schritt 3: Sondertatbestände
- [ ] Ist mein Unternehmen als Betreiber einer kritischen Anlage nach §28 BSIG eingestuft?
- [ ] Bin ich alleiniger Anbieter eines wesentlichen Dienstes in Deutschland?
- [ ] Handle ich als qualifizierter Vertrauensdiensteanbieter oder DNS-Resolver?

Ergebnis: Wer Schritt 1 und Schritt 2 mit „Ja" beantwortet oder in Schritt 3 eine Frage bejaht, unterliegt sehr wahrscheinlich der NIS2-Regulierung und sollte umgehend rechtlichen und technischen Rat einholen.

Hinweis: Dieser Selbsttest ersetzt keine rechtliche Beratung. Bei Unsicherheiten empfiehlt das BSI, eine formale Betroffenheitsanalyse durch qualifizierte Experten durchführen zu lassen.

Welche Pflichten entstehen nach der Betroffenheitsfeststellung?

Sobald feststeht, dass Ihr Unternehmen unter NIS2 fällt, ergeben sich unmittelbare Handlungspflichten:

Registrierungspflicht beim BSI

Gemäß §33 NIS2UmsuCG sind betroffene Einrichtungen verpflichtet, sich beim BSI zu registrieren. Die Registrierung muss unter anderem folgende Angaben enthalten: Name, Adresse, Kontaktdaten, Sektor, Einstufung sowie relevante IP-Adressbereiche.

Risikomanagement und Sicherheitsmaßnahmen

Nach §30 NIS2UmsuCG müssen Einrichtungen geeignete technische, operative und organisatorische Maßnahmen ergreifen. Dazu gehören u.a.:

  • Konzepte zur Risikoanalyse und Informationssicherheit
  • Incident-Response-Maßnahmen und Business Continuity Management
  • Sicherheit der Lieferkette
  • Schulung und Sensibilisierung der Mitarbeiter
  • Einsatz von Kryptographie und Multi-Faktor-Authentifizierung

Meldepflichten bei Sicherheitsvorfällen

§32 NIS2UmsuCG schreibt vor, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (detaillierte Folgemeldung) an das BSI zu melden.

Konsequenzen bei Nichterfüllung: Bußgelder nach §65 BSIG

Die finanziellen Risiken bei Verstößen gegen NIS2-Pflichten sind erheblich. §65 BSIG sieht folgende Sanktionen vor:

Verstoß Einrichtungstyp Maximales Bußgeld
Schwerwiegende Pflichtverletzungen Wesentliche Einrichtung 10 Mio. € oder 2 % des weltweiten Umsatzes
Schwerwiegende Pflichtverletzungen Wichtige Einrichtung 7 Mio. € oder 1,4 % des weltweiten Umsatzes
Nicht-Registrierung Alle Einrichtungen Bis zu 500.000 €
Verletzung der Meldepflichten Alle Einrichtungen Bis zu 1 Mio. €

Besonders hervorzuheben: Bei wesentlichen Einrichtungen kann die Aufsichtsbehörde nach §61 BSIG auch die persönliche Haftung der Geschäftsführung feststellen. Geschäftsführer und Vorstände können im Wiederholungsfall temporär von der Ausübung ihrer Leitungsfunktionen ausgeschlossen werden – ein bislang in Deutschland einzigartiges Instrument.

7 konkrete Handlungsempfehlungen für betroffene Unternehmen

  1. Betroffenheitsanalyse dokumentieren: Erstellen Sie ein schriftliches Dokument, das Ihre Sektorzugehörigkeit, Unternehmensgröße und daraus resultierende Einstufung belegt. Dies schützt Sie im Aufsichtsfall.

  2. Registrierung beim BSI zeitnah vornehmen: Nutzen Sie das BSI-Portal zur Registrierung. Die Pflicht besteht unabhängig davon, ob Ihr Unternehmen bereits alle Sicherheitsmaßnahmen umgesetzt hat.

  3. Gap-Analyse gegen §30 NIS2UmsuCG: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den gesetzlichen Mindestanforderungen und priorisieren Sie Lücken nach Risiko.

  4. Geschäftsführung einbinden: NIS2 ist Chefsache. Informieren Sie Vorstand und Geschäftsführung über Haftungsrisiken und fordern Sie aktive Beteiligung an der Governance.

  5. Incident-Response-Plan entwickeln: Stellen Sie sicher, dass Ihr Team weiß, wie es bei einem Sicherheitsvorfall die 24-Stunden-Meldefrist einhalten kann. Üben Sie den Prozess regelmäßig.

  6. Lieferkette überprüfen: Fordern Sie bei kritischen Dienstleistern und Zulieferern Nachweise ihrer Cybersicherheitsmaßnahmen an. Die Haftung für Lieferkettenrisiken liegt bei Ihnen.

  7. ISMS implementieren oder aufrüsten: Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 oder BSI IT-Grundschutz bildet die strukturelle Grundlage für nachhaltige NIS2-Compliance.

Fazit und nächste Schritte

Die NIS2-Betroffenheitsprüfung ist kein einmaliges Ereignis, sondern ein kontinuierlicher Prozess – denn Unternehmen wachsen, Sektordefinitionen können präzisiert werden, und neue Geschäftsfelder können neue Pflichten auslösen. Wer die Frage „Bin ich betroffen?" mit einem klaren Ja beantworten muss, sollte jetzt handeln und nicht auf weitere behördliche Kommunikation warten.

Die wichtigsten nächsten Schritte auf einen Blick:

  • ✅ Sektorzugehörigkeit anhand Anlage 1 und 2 des NIS2UmsuCG prüfen
  • ✅ Mitarbeiterzahlen und Finanzkennzahlen mit den Schwellenwerten abgleichen
  • ✅ Einstufung als wesentliche oder wichtige Einrichtung festlegen und dokumentieren
  • ✅ Registrierung beim BSI veranlassen
  • ✅ Gap-Analyse starten und Maßnahmenplan erstellen

Jetzt Ihre NIS2-Compliance strukturiert angehen

Wenn Sie Ihre Betroffenheit festgestellt haben oder sich noch unsicher sind, lohnt sich der Einsatz einer spezialisierten NIS2-Compliance-Software. Solche Lösungen unterstützen Sie dabei, die Betroffenheitsprüfung strukturiert zu dokumentieren, ein ISMS aufzubauen, Richtlinien und Nachweise zentral zu verwalten und Meldefristen bei Sicherheitsvorfällen einzuhalten. Viele Anbieter bieten integrierte Selbstbewertungstools, automatische Erinnerungen an Fristen und auditfähige Dokumentenpfade – unverzichtbar, wenn das BSI an die Tür klopft. Prüfen Sie, welche Lösung zu Ihrer Unternehmensgröße und Ihrem Sektor passt, und beginnen Sie mit einem kostenlosen Betroffenheits-Check.

Dieser Artikel wurde sorgfältig auf Basis des NIS2UmsuCG, des BSIG und der BSI-Publikationen (Stand: Juni 2026) erstellt. Er stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen wenden Sie sich an qualifizierte Rechtsexperten oder Informationssicherheitsberater.