NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 29. Juni 2026 | Lesezeit: ca. 9 Minuten
Die Uhr tickt – und viele deutsche Unternehmen wissen noch immer nicht mit Sicherheit, ob sie unter die NIS2-Richtlinie fallen. Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) und der damit verbundenen Novellierung des Bundesdatenschutz- und Sicherheitsgesetzes (BSIG) gelten in Deutschland deutlich erweiterte Pflichten für Betreiber kritischer und wichtiger Einrichtungen. Doch wer ist eigentlich betroffen? Dieser Artikel führt Sie systematisch durch die NIS2-Betroffenheitsprüfung – mit konkreten Kriterien, einem strukturierten Selbsttest und klaren Handlungsempfehlungen für 2025 und darüber hinaus.
Was ist die NIS2-Richtlinie – und warum ist sie für Sie relevant?
Die europäische NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie von 2016 und verfolgt das Ziel, ein einheitlich hohes Cybersicherheitsniveau in der EU zu schaffen. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht umgesetzt, das zentrale Pflichten im reformierten BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) verankert.
Besonders wichtig: NIS2 erweitert den Anwendungsbereich erheblich. Schätzungen des BSI zufolge fallen nun rund 29.000 Unternehmen in Deutschland unter die neuen Regelungen – deutlich mehr als unter dem Vorgängerregime. Wer als betroffene Einrichtung eingestuft wird, muss Mindestanforderungen an die Cybersicherheit erfüllen, Sicherheitsvorfälle melden und Sanktionen bei Verstößen gewärtigen.
Schritt 1: Fällt Ihr Sektor unter NIS2? (Anlage 1 & 2 NIS2UmsuCG)
Der erste Prüfschritt ist die Sektorzugehörigkeit. Das NIS2UmsuCG unterscheidet in Anlehnung an die europäische Richtlinie zwei Anlagen:
Anlage 1 – Sektoren mit hoher Kritikalität (§ 3 NIS2UmsuCG)
Diese Sektoren gelten als besonders kritisch für die öffentliche Ordnung, Sicherheit oder das Funktionieren des Gemeinwesens:
| Sektor | Beispiele betroffener Einrichtungen |
|---|---|
| Energie | Strom-, Gas-, Wärme- und Wasserstoffversorgung, Tankstellen-IT |
| Verkehr | Luftfahrt, Bahn, Schifffahrt, Straßenverkehr, Häfen |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastruktur | Börsen, Clearingstellen, CCPs |
| Gesundheit | Krankenhäuser, Labore, Pharmahersteller, Medizintechnik |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Kommunale und private Abwasserbetriebe |
| Digitale Infrastruktur | Internet Exchange Points, DNS-Resolver, TLD-Registries, Rechenzentren, CDN |
| IKT-Dienstleistungsmanagement | Managed Service Provider (MSP), Managed Security Service Provider (MSSP) |
| Öffentliche Verwaltung | Bundesbehörden, Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastrukturen für Raumfahrt |
Anlage 2 – Sonstige kritische Sektoren
Zusätzlich erfasst NIS2 folgende Bereiche mit etwas weniger strengen Auflagen, aber dennoch verbindlichen Pflichten:
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefdienstleister |
| Abfallbewirtschaftung | Entsorger, Recyclingunternehmen |
| Chemie | Hersteller und Händler gefährlicher Chemikalien |
| Lebensmittel | Großhändler und Hersteller von Lebensmitteln |
| Verarbeitendes Gewerbe | Medizinprodukte, Elektronik, Maschinen, Fahrzeuge |
| Digitale Dienste | Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen (je nach nationaler Entscheidung) |
Hinweis: Allein die Sektorzugehörigkeit reicht nicht aus. Im nächsten Schritt prüfen Sie die Größenkriterien.
Schritt 2: Erfüllen Sie die Größenkriterien?
Gemäß § 3 NIS2UmsuCG gelten die Regelungen grundsätzlich für Einrichtungen ab einer bestimmten Unternehmensgröße. Die EU-Kommission definiert drei Kategorien:
- Große Unternehmen: ≥ 250 Mitarbeitende oder ≥ 50 Mio. € Jahresumsatz und ≥ 43 Mio. € Jahresbilanzsumme
- Mittlere Unternehmen: ≥ 50 Mitarbeitende oder ≥ 10 Mio. € Jahresumsatz und ≥ 10 Mio. € Jahresbilanzsumme
- Kleine und Kleinstunternehmen (< 50 MA, < 10 Mio. €): In der Regel nicht betroffen – Ausnahmen bestehen u. a. für alleinige Anbieter kritischer Dienste, Betreiber von Vertrauensdiensten oder bei besonderer nationaler Bedeutung.
Wichtig: Die Schwellenwerte beziehen sich auf die gesamte Unternehmensgruppe (Konzernbetrachtung). Ein Tochterunternehmen kann also betroffen sein, auch wenn es selbst weniger als 50 Mitarbeitende hat, wenn die Muttergesellschaft die Schwellen überschreitet.
Schritt 3: Wesentliche oder wichtige Einrichtung?
NIS2 unterscheidet zwischen zwei Kategorien betroffener Organisationen – mit unterschiedlichen Aufsichtsintensitäten und Bußgeldrahmen:
Wesentliche Einrichtungen (Essential Entities, EE)
- Sektoren aus Anlage 1 des NIS2UmsuCG
- In der Regel große Unternehmen (≥ 250 MA oder ≥ 50 Mio. € Umsatz)
- Unterliegen proaktiver Aufsicht durch das BSI
- Höherer Bußgeldrahmen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (§ 65 BSIG n.F.)
Wichtige Einrichtungen (Important Entities, IE)
- Sektoren aus Anlage 1 und Anlage 2
- Mittlere Unternehmen oder große Unternehmen in Anlage-2-Sektoren
- Unterliegen reaktiver Aufsicht (BSI wird erst bei Vorfällen oder Hinweisen tätig)
- Bußgeldrahmen: bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (§ 65 BSIG n.F.)
Selbsttest: Bin ich NIS2-betroffen?
Nutzen Sie diese strukturierte Checkliste für eine erste Einschätzung Ihrer Betroffenheit:
✅ NIS2-Betroffenheitsprüfung – Checkliste
Block A: Sektorzugehörigkeit
- [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig.
- [ ] Die Haupttätigkeit meines Unternehmens (nicht nur eine Nebentätigkeit) fällt in diesen Sektor.
Block B: Größenkriterien
- [ ] Mein Unternehmen (inkl. Konzern) beschäftigt 50 oder mehr Mitarbeitende.
- [ ] Oder: Der Jahresumsatz des Unternehmens beträgt mindestens 10 Mio. €.
Block C: Ausnahmen prüfen
- [ ] Mein Unternehmen ist kein öffentliches Unternehmen (dann gelten ggf. Sonderregelungen).
- [ ] Mein Unternehmen fällt nicht unter branchenspezifische Ausnahmen (z. B. bestimmte Kleinstanbieter).
Block D: Einordnung
- [ ] Mein Unternehmen ist in Anlage 1 tätig und hat ≥ 250 MA oder ≥ 50 Mio. € Umsatz → Wesentliche Einrichtung
- [ ] Mein Unternehmen ist in Anlage 1 oder 2 tätig und hat ≥ 50 MA oder ≥ 10 Mio. € Umsatz → Wichtige Einrichtung
Ergebnis: Haben Sie in Block A und B mindestens je eine Box angekreuzt und keine Ausnahme aus Block C identifiziert? Dann sind Sie sehr wahrscheinlich NIS2-betroffen und müssen entsprechende Maßnahmen ergreifen.
Welche Pflichten kommen auf Sie zu?
Ist Ihre Betroffenheit festgestellt, gelten insbesondere folgende Kernpflichten nach dem BSIG in der durch das NIS2UmsuCG novellierten Fassung:
- Registrierungspflicht beim BSI (§ 33 BSIG n.F.): Betroffene Einrichtungen müssen sich beim BSI registrieren und relevante Kontaktdaten sowie Sektorzugehörigkeit melden.
- Risikomanagement-Maßnahmen (§ 30 BSIG n.F.): Technische und organisatorische Maßnahmen zum Schutz von Netz- und Informationssystemen, darunter Risikoanalysen, Incident-Response-Verfahren, Patch-Management, Kryptographie und Zugangskontrolle.
- Meldepflichten bei Sicherheitsvorfällen (§ 32 BSIG n.F.): Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (detaillierter Bericht) an das BSI gemeldet werden.
- Lieferkettensicherheit (§ 30 Abs. 2 BSIG n.F.): Sicherheitsanforderungen müssen auch gegenüber Dienstleistern und Lieferanten durchgesetzt werden.
- Geschäftsführerhaftung (§ 38 BSIG n.F.): Geschäftsführer und Vorstände haften persönlich für die Umsetzung der Maßnahmen und müssen Schulungen nachweisen.
Konsequenzen bei Nichterfüllung: Was droht bei Verstößen?
Wer die NIS2-Pflichten ignoriert, riskiert empfindliche Sanktionen. Der § 65 BSIG n.F. regelt den Bußgeldrahmen:
| Einrichtungstyp | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtung | 10.000.000 € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
| Wichtige Einrichtung | 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
Hinzu kommen mögliche persönliche Haftungsansprüche gegen Geschäftsführer und Vorstände, die ihrer Aufsichts- und Sorgfaltspflicht nicht nachgekommen sind. Das BSI kann zudem im Extremfall die vorübergehende Abberufung von Führungskräften beantragen – ein Instrument, das zwar zurückhaltend eingesetzt werden dürfte, aber die Ernsthaftigkeit der Regulierung unterstreicht.
7 konkrete Handlungsempfehlungen für betroffene Unternehmen
Haben Sie festgestellt, dass Ihr Unternehmen unter NIS2 fällt? Dann empfehlen wir folgende Schritte:
- Betroffenheit dokumentieren: Halten Sie Ihre Analyse zur Sektorzugehörigkeit und den Größenkriterien schriftlich fest – dies belegt im Zweifelsfall Ihre Sorgfalt gegenüber dem BSI.
- Beim BSI registrieren: Nutzen Sie das BSI-Meldeportal und erfassen Sie Ihre Kontaktdaten, zuständigen Sicherheitsansprechpartner und den Sektor Ihres Unternehmens.
- Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Anforderungen des § 30 BSIG n.F. Ein anerkanntes Framework wie ISO 27001 oder der BSI IT-Grundschutz bietet sich als Referenz an.
- Incident-Response-Prozesse etablieren: Definieren Sie klare Meldeketten für Sicherheitsvorfälle und schulen Sie relevante Mitarbeitende, damit die 24/72-Stunden-Fristen eingehalten werden können.
- Lieferkette absichern: Führen Sie eine Risikoanalyse Ihrer kritischen Dienstleister und Lieferanten durch und verankern Sie Sicherheitsanforderungen in Verträgen (SLAs, TOMs).
- Geschäftsführung schulen: Organisieren Sie nachweisbare Cybersicherheits-Schulungen für das Top-Management, um der Haftungsregelung nach § 38 BSIG n.F. gerecht zu werden.
- Regelmäßige Überprüfung sicherstellen: Die regulatorischen Anforderungen entwickeln sich weiter. Planen Sie mindestens jährliche Reviews Ihrer NIS2-Compliance-Maßnahmen ein.
Fazit: Betroffenheitsprüfung als Pflichtaufgabe – jetzt handeln
Die NIS2-Betroffenheitsprüfung ist keine einmalige Formalie, sondern der Startpunkt eines kontinuierlichen Compliance-Prozesses. Unternehmen in Deutschland, die in den Sektoren der Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig sind und die Schwellenwerte von 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz überschreiten, müssen die Anforderungen des reformierten BSIG erfüllen – und zwar vollständig und nachweisbar.
Ihre nächsten drei Schritte:
1. Führen Sie die Betroffenheitsprüfung anhand der obigen Checkliste durch und dokumentieren Sie das Ergebnis.
2. Registrieren Sie Ihr Unternehmen beim BSI, sofern die Betroffenheit festgestellt wurde.
3. Starten Sie eine strukturierte Gap-Analyse auf Basis von ISO 27001 oder BSI IT-Grundschutz und schließen Sie identifizierte Lücken systematisch.
💡 Tipp für Ihre NIS2-Compliance
Die Betroffenheitsprüfung, das Risikomanagement und die laufende Dokumentation lassen sich erheblich effizienter gestalten, wenn Sie eine spezialisierte NIS2-Compliance-Software oder ein digitales ISMS-Tool einsetzen. Solche Plattformen helfen Ihnen dabei, Ihre Risikoanalysen strukturiert zu dokumentieren, Maßnahmenpläne zu verwalten, Meldepflichten fristgerecht nachzuverfolgen und Audits vorzubereiten – alles an einem zentralen Ort und revisionssicher. Viele Anbieter ermöglichen eine kostenlose Ersteinschätzung oder Demo, bevor Sie sich festlegen. Eine solche Investition zahlt sich angesichts der möglichen Bußgelder von bis zu 10 Mio. € schnell aus.
Dieser Artikel wurde auf Basis der aktuell geltenden Rechtsgrundlagen (NIS2UmsuCG, BSIG n.F., EU-Richtlinie 2022/2555) erstellt. Er dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für eine rechtssichere Einordnung Ihres Unternehmens empfehlen wir die Hinzuziehung eines auf IT- und Datenschutzrecht spezialisierten Rechtsanwalts oder die direkte Konsultation des BSI.