NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 02. Juli 2026 | Lesedauer: ca. 8 Minuten
Viele Geschäftsführer und IT-Verantwortliche stellen sich auch Mitte 2026 noch dieselbe drängende Frage: Ist mein Unternehmen eigentlich von NIS2 betroffen? Die Antwort ist keine Kleinigkeit – denn wer die Pflichten der NIS2-Richtlinie ignoriert, riskiert empfindliche Bußgelder nach §65 BSIG (Bundesamt für die Sicherheit in der Informationstechnik-Gesetz). Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung, erklärt die maßgeblichen Sektoren, Schwellenwerte und Einrichtungstypen – und zeigt Ihnen, was Sie jetzt konkret tun müssen.
Was ist NIS2 und warum ist die Betroffenheitsprüfung so wichtig?
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie wurde in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Die zentralen Anforderungen an betroffene Einrichtungen – von Risikomanagement über Meldepflichten bis hin zu Lieferkettensicherheit – sind im novellierten BSIG verankert.
Die Betroffenheitsprüfung ist der erste und entscheidende Schritt: Nur wer weiß, dass er unter die Richtlinie fällt, kann die entsprechenden Maßnahmen rechtzeitig einleiten. Ein häufiger Irrtum in der Praxis: Viele mittelständische Unternehmen glauben, NIS2 sei „nur etwas für DAX-Konzerne oder kritische Infrastrukturen". Das stimmt nicht mehr. Der Anwendungsbereich wurde gegenüber der ersten NIS-Richtlinie erheblich ausgeweitet.
§3 NIS2UmsuCG: Die gesetzliche Grundlage der Betroffenheitsprüfung
Die rechtliche Basis für die Einordnung von Unternehmen liefert §3 NIS2UmsuCG, der die betroffenen Einrichtungen definiert. Er unterscheidet zwei Kategorien:
- Wesentliche Einrichtungen (essential entities)
- Wichtige Einrichtungen (important entities)
Hinzu kommen spezielle Regelungen für Einrichtungen, die unabhängig von ihrer Größe als betroffen gelten (sogenannte Size-Cap-Ausnahmen), etwa Betreiber kritischer Anlagen nach §28 BSIG oder qualifizierte Vertrauensdiensteanbieter.
Die zwei entscheidenden Kriterien: Sektor und Unternehmensgröße
Die Betroffenheitsprüfung folgt einer klaren Logik: Ein Unternehmen fällt unter NIS2, wenn es gleichzeitig in einem relevanten Sektor tätig ist und die Größenschwellen überschreitet.
Kriterium 1: Tätigkeitsbereich (Anlage 1 und Anlage 2 NIS2UmsuCG)
Das NIS2UmsuCG teilt betroffene Sektoren in zwei Anlagen auf:
Anlage 1 – Sektoren mit hoher Kritikalität (führen bei ausreichender Größe zur Einstufung als wesentliche Einrichtung):
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Cloud, Rechenzentren, DNS, TLD-Register)
- ICT-Dienstleistungsmanagement (B2B-Managed Services)
- Öffentliche Verwaltung (Bundes- und Landesebene)
- Weltraum
Anlage 2 – Sonstige kritische Sektoren (führen bei ausreichender Größe zur Einstufung als wichtige Einrichtung):
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe / Herstellung von Waren (u. a. Maschinenbau, Fahrzeugbau, Medizinprodukte)
- Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
- Forschung
Kriterium 2: Unternehmensgröße
| Einrichtungstyp | Sektor | Mitarbeiterzahl | Umsatz ODER Bilanzsumme |
|---|---|---|---|
| Wesentliche Einrichtung | Anlage 1 | ≥ 250 MA | ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme |
| Wichtige Einrichtung | Anlage 1 oder 2 | ≥ 50 MA | ≥ 10 Mio. € Umsatz oder ≥ 10 Mio. € Bilanzsumme |
| Wesentliche Einrichtung (unabhängig von Größe) | Anlage 1, besondere Bedeutung | Keine Schwelle | Keine Schwelle |
Wichtiger Hinweis: Die Größenschwellen richten sich nach der EU-Definition für KMU (Empfehlung 2003/361/EG). Bei Unternehmensgruppen werden verbundene Unternehmen einbezogen – ein häufig übersehener Punkt, der Tochtergesellschaften in die Betroffenheit hineinziehen kann.
Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?
Die Unterscheidung ist nicht nur akademisch – sie hat direkte Auswirkungen auf Aufsicht, Prüfpflichten und Bußgeldhöhe.
Wesentliche Einrichtungen
- Unterliegen der proaktiven Aufsicht durch das BSI
- Müssen sich beim BSI registrieren
- Strengere Nachweispflichten (u. a. Audits, Zertifizierungen)
- Höhere Bußgeldrahmen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (§65 Abs. 1 BSIG)
Wichtige Einrichtungen
- Unterliegen der reaktiven Aufsicht (BSI wird tätig bei konkreten Hinweisen)
- Registrierungspflicht besteht ebenfalls
- Bußgeldrahmen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (§65 Abs. 2 BSIG)
In beiden Fällen gilt: Unwissenheit schützt nicht vor Strafe. Das BSI kann gemäß §65 BSIG Bußgelder verhängen, und Geschäftsführer haften nach §38 BSIG persönlich für die Umsetzung der Risikomanagementmaßnahmen.
Selbsttest: Fällt Ihr Unternehmen unter NIS2?
Nutzen Sie diese strukturierte Checkliste für eine erste Einschätzung. Sie ersetzt keine rechtliche Beratung, gibt aber eine fundierte Orientierung:
Schritt 1: Sektorprüfung
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 des NIS2UmsuCG tätig?
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 2 des NIS2UmsuCG tätig?
- [ ] Erbringt mein Unternehmen Dienstleistungen für Einrichtungen in Anlage 1 oder 2 (Lieferketten-Relevanz)?
Schritt 2: Größenprüfung
- [ ] Hat mein Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente, inkl. verbundene Unternehmen)?
- [ ] Überschreitet der Jahresumsatz 10 Millionen Euro oder die Bilanzsumme 10 Millionen Euro?
Schritt 3: Sonderregelungen
- [ ] Betreibe ich kritische Anlagen nach §28 BSIG (unabhängig von der Größe betroffen)?
- [ ] Bin ich qualifizierter Vertrauensdiensteanbieter oder betreibe ich Top-Level-Domain-Register?
- [ ] Ist mein Unternehmen Teil einer Unternehmensgruppe, bei der ein verbundenes Unternehmen die Schwellen überschreitet?
Auswertung:
- Mindestens eine Antwort aus Schritt 1 und beide Antworten aus Schritt 2 mit Ja: → Betroffenheit sehr wahrscheinlich, professionelle Prüfung notwendig
- Antworten aus Schritt 3 mit Ja: → Betroffenheit unabhängig von Größe möglich
- Alle Antworten mit Nein: → Wahrscheinlich nicht direkt betroffen, aber Lieferketten-Anforderungen prüfen
Konsequenzen bei Nichterfüllung: Was droht konkret?
Das NIS2UmsuCG ist kein zahnloser Tiger. Die Sanktionsmechanismen nach §65 BSIG sind erheblich:
Bußgelder
- Wesentliche Einrichtungen: Bis zu 10 Mio. € oder 2 % des globalen Vorjahresumsatzes (der höhere Betrag gilt)
- Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des globalen Vorjahresumsatzes (der höhere Betrag gilt)
- Einzelne Verstöße (z. B. fehlende Meldung eines Sicherheitsvorfalls) können bereits mehrere hunderttausend Euro kosten
Persönliche Haftung der Geschäftsleitung
§38 BSIG verpflichtet Geschäftsführer und Vorstände, die Umsetzung der Cybersicherheitsmaßnahmen zu überwachen und zu billigen. Bei schuldhaftem Verstoß können sie persönlich in Regress genommen werden – ein Novum im deutschen Cybersicherheitsrecht.
Reputationsschäden und Betriebsunterbrechungen
Neben Bußgeldern drohen bei Sicherheitsvorfällen, die auf mangelnde NIS2-Compliance zurückzuführen sind, massive Reputationsschäden, Betriebsunterbrechungen und zivilrechtliche Ansprüche betroffener Kunden oder Geschäftspartner.
7 konkrete Handlungsempfehlungen für betroffene Unternehmen
-
Betroffenheitsprüfung dokumentieren: Halten Sie das Ergebnis Ihrer Sektoranalyse und Größenprüfung schriftlich fest. Das BSI kann jederzeit eine Begründung verlangen.
-
Beim BSI registrieren: Betroffene Einrichtungen müssen sich über das BSI-Portal registrieren. Die Registrierungspflicht besteht seit Inkrafttreten des NIS2UmsuCG.
-
Risikomanagement einführen: Implementieren Sie ein strukturiertes ISMS (Information Security Management System) nach §30 BSIG, idealerweise auf Basis von ISO/IEC 27001 oder BSI IT-Grundschutz.
-
Meldewege definieren: Etablieren Sie interne Prozesse für die Meldung von erheblichen Sicherheitsvorfällen. Die Erstmeldung muss innerhalb von 24 Stunden erfolgen, die Folgemeldung innerhalb von 72 Stunden (§32 BSIG).
-
Lieferkette prüfen: Analysieren Sie Ihre kritischen Dienstleister und Lieferanten nach §30 Abs. 2 Nr. 4 BSIG und fordern Sie Nachweise über deren Cybersicherheitsmaßnahmen ein.
-
Geschäftsleitung schulen: Führen Sie nachweisbare Schulungen für Geschäftsführung und leitende Mitarbeiter durch – §38 BSIG fordert explizit die Kompetenz der Leitungsebene.
-
Technische Maßnahmen umsetzen: Implementieren Sie die in §30 BSIG genannten Mindestmaßnahmen: Patch-Management, Multi-Faktor-Authentifizierung, Verschlüsselung, Backup-Konzepte und Incident-Response-Planung.
Fazit: Nächste Schritte für Ihr Unternehmen
Die NIS2-Betroffenheitsprüfung ist kein bürokratisches Übel, sondern ein strategischer Ausgangspunkt für eine robustere Cybersicherheitsarchitektur. Angesichts steigender Bedrohungslagen – das BSI-Lagebericht 2025 verzeichnet erneut Rekordzahlen bei Ransomware-Angriffen auf den Mittelstand – ist NIS2-Compliance gleichzeitig ein Schutz für Ihr Unternehmen.
Ihre nächsten Schritte im Überblick:
1. Führen Sie die Betroffenheitsprüfung anhand der Sektoren (Anlage 1 & 2) und Größenkriterien durch
2. Dokumentieren Sie das Ergebnis und holen Sie bei Unklarheiten rechtliche Beratung ein
3. Registrieren Sie sich beim BSI, falls Betroffenheit festgestellt wurde
4. Starten Sie mit dem Aufbau oder der Anpassung Ihres ISMS nach §30 BSIG
5. Definieren Sie Meldeprozesse und schulen Sie Ihre Geschäftsleitung
Jetzt Betroffenheit digital prüfen und ISMS-Dokumentation aufbauen
Wenn Sie die Betroffenheitsprüfung strukturiert und rechtssicher durchführen möchten, empfiehlt sich der Einsatz einer spezialisierten NIS2-Compliance-Software. Moderne Lösungen führen Sie automatisiert durch die Sektorenanalyse, generieren eine dokumentierte Betroffenheitsbewertung und unterstützen Sie beim Aufbau der gesamten ISMS-Dokumentation – von der Risikoanalyse über Richtlinienvorlagen bis hin zu Meldeprozessen nach §32 BSIG. Das spart nicht nur Zeit, sondern schafft auch die Nachweisbarkeit gegenüber dem BSI, die im Prüfungsfall entscheidend ist.
Quellen: NIS2-Richtlinie (EU) 2022/2555; NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG); BSIG in der Fassung des NIS2UmsuCG; BSI-Grundschutz-Kompendium 2025; ENISA NIS Investments Report 2024