NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 16. Juli 2026 | Lesedauer: ca. 8 Minuten
Die Uhr läuft – und viele Unternehmen in Deutschland haben noch immer keine Klarheit darüber, ob sie unter die NIS2-Richtlinie fallen. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist in Kraft, das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Aufsichtstätigkeit intensiviert, und die ersten Bußgeldverfahren nach §65 BSIG werfen ihre Schatten voraus. Höchste Zeit also für eine systematische NIS2-Betroffenheitsprüfung – bevor es zu spät ist.
In diesem Artikel erfahren Sie, welche Unternehmen in Deutschland 2025 und darüber hinaus betroffen sind, wie Sie Ihre eigene Betroffenheit in wenigen Schritten prüfen können und welche Konsequenzen eine Nichterfüllung nach sich zieht.
Was ist die NIS2-Richtlinie und warum betrifft sie Ihr Unternehmen?
Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Sie zielt darauf ab, das Cybersicherheitsniveau kritischer und wichtiger Einrichtungen in der gesamten EU zu erhöhen. In Deutschland wurde die Richtlinie durch das NIS2UmsuCG in nationales Recht umgesetzt, das zentrale Anforderungen im novellierten BSI-Gesetz (BSIG) verankert.
Der entscheidende Paragraph für die Betroffenheitsfrage ist §3 NIS2UmsuCG in Verbindung mit den Anlagen 1 und 2 des Gesetzes. Dort sind sowohl die relevanten Sektoren als auch die Größenkriterien definiert, die darüber entscheiden, ob ein Unternehmen als „wesentliche Einrichtung" oder „wichtige Einrichtung" einzustufen ist – oder gar nicht unter die Regulierung fällt.
Die entscheidende Neuigkeit im Vergleich zur alten NIS-Richtlinie: Der Kreis der betroffenen Unternehmen wurde massiv ausgeweitet. Während die ursprüngliche Richtlinie vor allem auf Betreiber kritischer Infrastrukturen (KRITIS) zielte, erfasst NIS2 nun auch mittelständische Unternehmen in deutlich mehr Sektoren.
Wer ist betroffen? Die zwei Anlagen im Überblick
Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Unternehmen aus den Sektoren der Anlage 1 werden als wesentliche Einrichtungen eingestuft, wenn sie die Größenkriterien erfüllen. Diese Sektoren gelten als besonders systemrelevant:
- Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharma)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Internet Exchange Points, DNS, TLD-Registries, Cloud-Dienste, Rechenzentren)
- IKT-Dienstleistungsmanagement (B2B)
- Öffentliche Verwaltung (Bundesebene, Landesebene)
- Weltraum
Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)
Unternehmen aus Anlage 2 fallen als wichtige Einrichtungen unter die NIS2-Regulierung. Die Anforderungen sind hier etwas weniger streng, aber weiterhin substanziell:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemie (Herstellung, Erzeugung, Handel)
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
- Verarbeitendes Gewerbe / Herstellung (u.a. Medizinprodukte, Maschinenbau, Fahrzeuge, Elektronik)
- Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
- Forschung
Die Größenkriterien: Wann ist Ihr Unternehmen groß genug?
Die Sektorzugehörigkeit allein reicht nicht aus. Es gelten zusätzlich Größenschwellen, die kumulativ erfüllt sein müssen. Grundlage ist die EU-Empfehlung 2003/361/EG zur Unternehmensgrößendefinition.
| Einrichtungstyp | Mitarbeiterzahl | Jahresumsatz ODER Bilanzsumme |
|---|---|---|
| Wesentliche Einrichtung (Anlage 1, groß) | ≥ 250 MA | > 50 Mio. € Umsatz oder > 43 Mio. € Bilanz |
| Wesentliche Einrichtung (Anlage 1, mittel – bestimmte Sektoren) | ≥ 50 MA | > 10 Mio. € Umsatz oder > 10 Mio. € Bilanz |
| Wichtige Einrichtung (Anlage 2, mittel) | ≥ 50 MA | > 10 Mio. € Umsatz oder > 10 Mio. € Bilanz |
| Unabhängig von Größe (z.B. KRITIS-Betreiber, TLD-Registries, qualifizierte Vertrauensdiensteanbieter) | — | — |
Wichtiger Hinweis: Einige Einrichtungstypen fallen unabhängig von ihrer Größe unter NIS2 – etwa Betreiber kritischer Anlagen nach dem KRITIS-Dachgesetz, Anbieter öffentlicher elektronischer Kommunikationsnetze oder qualifizierte Vertrauensdiensteanbieter.
Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?
Die Einstufung hat unmittelbare praktische Konsequenzen für die Aufsichtsintensität und die Bußgeldhöhen:
Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht durch das BSI. Das bedeutet: Das BSI kann anlassunabhängig Prüfungen, Audits und Inspektionen anordnen. Die Meldepflichten sind strikt, und die maximalen Bußgelder nach §65 BSIG betragen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der jeweils höhere Betrag gilt).
Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht – das BSI wird in der Regel erst bei konkreten Anhaltspunkten für Verstöße aktiv. Die maximalen Bußgelder betragen hier bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
In beiden Fällen können Geschäftsführer und Vorstände persönlich haftbar gemacht werden, wenn sie ihre Pflichten zur Überwachung der Cybersicherheitsmaßnahmen vernachlässigt haben – ein Aspekt, der in der Praxis häufig unterschätzt wird.
Selbsttest: Fällt Ihr Unternehmen unter NIS2?
Nutzen Sie diese strukturierte Checkliste, um Ihre Betroffenheit vorläufig selbst einzuschätzen. Bitte beachten Sie, dass die abschließende Beurteilung durch Rechts- und IT-Sicherheitsexperten erfolgen sollte.
Schritt 1: Sektorzugehörigkeit prüfen
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 tätig?
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 2 tätig?
- [ ] Erbringt mein Unternehmen wesentliche Dienstleistungen für einen dieser Sektoren (z.B. als IT-Dienstleister oder Zulieferer)?
Schritt 2: Größenkriterien prüfen
- [ ] Beschäftigt mein Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
- [ ] Liegt der Jahresumsatz über 10 Millionen Euro oder die Bilanzsumme über 10 Millionen Euro?
Schritt 3: Sonderregelungen prüfen
- [ ] Bin ich Betreiber einer kritischen Anlage nach KRITIS-Dachgesetz?
- [ ] Bin ich Anbieter von öffentlichen elektronischen Kommunikationsnetzen?
- [ ] Bin ich qualifizierter Vertrauensdiensteanbieter (eIDAS)?
- [ ] Handelt es sich um eine Einrichtung der Bundesverwaltung?
Auswertung: Wenn Sie in Schritt 1 mindestens eine Frage mit „Ja" beantwortet haben und in Schritt 2 beide Fragen mit „Ja" beantwortet haben, ist Ihre Betroffenheit sehr wahrscheinlich. Bei einem „Ja" in Schritt 3 besteht unabhängig von der Größe eine Betroffenheit.
Registrierungspflicht: Was Sie konkret tun müssen
Wenn Ihr Unternehmen unter NIS2 fällt, besteht nach §33 BSIG eine Registrierungspflicht beim BSI. Betroffene Einrichtungen müssen sich über das BSI-Portal registrieren und dabei folgende Angaben machen:
- Name und Rechtsform der Einrichtung
- Adresse und Kontaktdaten
- Sektor und Teilsektor gemäß Anlage 1 oder 2
- IP-Adressbereiche und zugehörige Domainnamen
Die Registrierung ist keine optionale Formalität – sie ist Voraussetzung für die gesamte weitere Compliance-Kette und wird vom BSI aktiv überwacht.
Konsequenzen bei Nichterfüllung: §65 BSIG ist kein Papiertiger
Die Bußgeldvorschriften des BSIG wurden mit der NIS2-Umsetzung erheblich verschärft. §65 BSIG sieht für Ordnungswidrigkeiten bei wesentlichen Einrichtungen Geldbußen von bis zu 10 Millionen Euro vor – bei wichtigen Einrichtungen bis zu 7 Millionen Euro. Für umsatzstarke Konzerne können diese Beträge durch die prozentuale Umsatzregelung noch deutlich überschritten werden.
Doch Bußgelder sind nicht die einzige Konsequenz:
- Anordnung von Maßnahmen: Das BSI kann konkrete technische und organisatorische Maßnahmen anordnen und deren Umsetzung erzwingen.
- Tätigkeitsverbote: In schwerwiegenden Fällen können Geschäftsführern und leitenden Angestellten vorübergehende Berufsverbote ausgesprochen werden.
- Reputationsschäden: Das BSI kann in bestimmten Fällen die Öffentlichkeit über Verstöße informieren.
- Zivilrechtliche Haftung: Schadensersatzansprüche Dritter bei Sicherheitsvorfällen, die auf unzureichende Schutzmaßnahmen zurückzuführen sind.
- Persönliche Managerhaftung: Geschäftsführer und Vorstände können persönlich in Anspruch genommen werden, wenn sie ihrer Überwachungspflicht nicht nachgekommen sind.
Konkrete Handlungsempfehlungen für betroffene Unternehmen
Wenn Ihre Betroffenheitsprüfung ein positives Ergebnis ergibt, sollten Sie unverzüglich die folgenden Schritte einleiten:
-
Betroffenheit offiziell dokumentieren: Halten Sie die Ergebnisse Ihrer Betroffenheitsprüfung schriftlich fest – einschließlich der Begründung (Sektor, Größenkriterien, ggf. Sonderregelungen). Dieses Dokument bildet die Grundlage Ihrer gesamten NIS2-Compliance.
-
Beim BSI registrieren: Führen Sie die Registrierung über das offizielle BSI-Registrierungsportal durch. Halten Sie alle erforderlichen Angaben (IP-Adressbereiche, Domainnamen, Ansprechpartner) bereit.
-
Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen IT-Sicherheitsstand mit den Anforderungen aus §30 BSIG (Risikomanagement-Maßnahmen). Identifizieren Sie Lücken in den Bereichen Incident Response, Zugangskontrollen, Kryptografie, Lieferkettensicherheit und Business Continuity.
-
Informationssicherheits-Managementsystem (ISMS) aufbauen oder anpassen: Ein ISMS nach ISO/IEC 27001 oder BSI IT-Grundschutz bildet die ideale Grundlage für die NIS2-Compliance. Wenn noch kein ISMS existiert, sollte dessen Aufbau höchste Priorität haben.
-
Meldeprozesse für Sicherheitsvorfälle etablieren: Gemäß §32 BSIG besteht eine gestufte Meldepflicht: Frühwarnung innerhalb von 24 Stunden, vollständiger Bericht innerhalb von 72 Stunden, Abschlussbericht nach einem Monat. Diese Prozesse müssen klar definiert und geübt sein.
-
Lieferkette analysieren: NIS2 verlangt ausdrücklich, dass auch die Cybersicherheit von Lieferanten und Dienstleistern berücksichtigt wird. Führen Sie eine Bestandsaufnahme Ihrer kritischen Drittanbieter durch und fordern Sie entsprechende Nachweise.
-
Management sensibilisieren und schulen: Da Geschäftsführer und Vorstände persönlich haften, müssen diese die NIS2-Anforderungen kennen und aktiv unterstützen. Entsprechende Schulungen sind keine Kür, sondern Pflicht.
-
Externe Expertise hinzuziehen: Insbesondere für kleinere Unternehmen ohne dedizierte IT-Sicherheitsabteilung empfiehlt sich die Zusammenarbeit mit einem auf NIS2 spezialisierten Berater oder MSSP (Managed Security Service Provider).
Fazit: Handeln Sie jetzt – nicht wenn es zu spät ist
Die NIS2-Betroffenheitsprüfung ist der erste und entscheidende Schritt auf dem Weg zur Compliance. Angesichts der verschärften Aufsichtstätigkeit des BSI und der erheblichen Bußgeldrisiken nach §65 BSIG ist Untätigkeit keine Option.
Ihre nächsten drei Schritte:
- Jetzt prüfen: Nutzen Sie den Selbsttest in diesem Artikel oder das offizielle BSI-Tool, um Ihre vorläufige Betroffenheit zu klären.
- Professionell bewerten lassen: Beauftragen Sie einen spezialisierten IT-Sicherheitsberater mit einer formalen Betroffenheitsprüfung und Gap-Analyse.
- Strukturiert umsetzen: Starten Sie den Aufbau oder die Anpassung Ihres ISMS auf Basis eines klar strukturierten Maßnahmenplans.
Die gute Nachricht: Wer frühzeitig handelt, kann die NIS2-Compliance als Chance begreifen – als Investition in die Resilienz und Wettbewerbsfähigkeit des eigenen Unternehmens.
💡 Praxistipp: NIS2-Compliance strukturiert angehen
Für Unternehmen, die ihre NIS2-Compliance effizient und nachweisbar umsetzen möchten, empfiehlt sich der Einsatz spezialisierter ISMS- und Compliance-Software. Solche Tools helfen dabei, die Betroffenheitsprüfung zu dokumentieren, Risikoanalysen durchzuführen, Maßnahmenpläne zu verwalten und die geforderten Nachweise für das BSI revisionssicher aufzubewahren. Viele Lösungen bieten zudem vorgefertigte NIS2-Richtlinienvorlagen und automatisierte Erinnerungen für wiederkehrende Aufgaben wie Lieferantenbewertungen oder Schulungsnachweise – ein erheblicher Zeitvorteil gegenüber rein manuellen Ansätzen. Wer strukturiert starten möchte, sollte zunächst prüfen, welche dieser Funktionen für das eigene Unternehmen besonders relevant sind.
Quellen: BSI-Gesetz (BSIG) in der Fassung des NIS2UmsuCG, NIS2-Richtlinie (EU) 2022/2555, ENISA NIS2 Implementation Guide 2024, Empfehlung 2003/361/EG der Europäischen Kommission (KMU-Definition)