NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 27. Juni 2026 | Lesezeit: ca. 8 Minuten
Die NIS2-Richtlinie ist seit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) deutsches Recht – und viele Unternehmen stellen sich noch immer die entscheidende Frage: Sind wir überhaupt betroffen? Die Antwort ist komplexer als ein einfaches Ja oder Nein, denn sie hängt von Branchenzugehörigkeit, Unternehmensgröße und der Art Ihrer Tätigkeit ab. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland – mit konkreten Kriterien, einem strukturierten Selbsttest und klaren Handlungsempfehlungen für 2025 und darüber hinaus.
Was ist die NIS2-Betroffenheitsprüfung – und warum ist sie so wichtig?
Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Unternehmen in kritischen und wichtigen Sektoren zu erheblich verschärften Cybersicherheitsmaßnahmen. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht überführt, das zentrale Pflichten im Bundessicherheitsgesetz (BSIG) verankert. § 3 NIS2UmsuCG definiert den Anwendungsbereich und legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden.
Die Betroffenheitsprüfung ist der erste und kritischste Schritt: Wer sie überspringt oder falsch durchführt, riskiert entweder unbemerkte Compliance-Lücken mit erheblichen Bußgeldern – oder investiert unnötig Ressourcen in Maßnahmen, zu denen keine gesetzliche Pflicht besteht.
Schritt 1: Gehört Ihr Unternehmen zu einem erfassten Sektor?
Das NIS2UmsuCG unterscheidet zwei Anlagenkategorien, die direkt aus der europäischen NIS2-Richtlinie übernommen wurden:
Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Diese Sektoren gelten als besonders systemrelevant. Unternehmen hier unterliegen den strengsten Anforderungen:
- Energie (Strom, Gas, Öl, Wasserstoff, Fernwärme)
- Verkehr (Luft, Schiene, Wasser, Straße)
- Bankwesen und Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (DNS, TLD-Registries, Rechenzentren, Cloud-Anbieter, CDN, Vertrauensdiensteanbieter)
- IKT-Dienstemanagement (Managed Service Provider, Managed Security Service Provider)
- Weltraum
- Öffentliche Verwaltung (Bundesbehörden, Landesbehörden)
Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)
Diese Sektoren sind ebenfalls reguliert, aber mit geringfügig weniger strengen Aufsichtspflichten:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Chemische Industrie (Herstellung und Handel gefährlicher Stoffe)
- Lebensmittelwirtschaft (Produktion und Vertrieb)
- Verarbeitendes Gewerbe / Herstellung (Medizinprodukte, Maschinenbau, Fahrzeugbau, Elektronik)
- Digitale Anbieter (Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke)
- Forschungseinrichtungen
Wichtig: Die bloße Zugehörigkeit zu einem dieser Sektoren reicht nicht aus. Es müssen zusätzlich Größenschwellenwerte erfüllt sein – außer in definierten Ausnahmefällen.
Schritt 2: Erfüllt Ihr Unternehmen die Größenschwellenwerte?
Die EU-Kommission definiert die relevante Unternehmensgröße anhand zweier kumulativer Kriterien:
| Kategorie | Beschäftigte | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Mittleres Unternehmen | ≥ 50 | ≥ 10 Mio. € |
| Großes Unternehmen | ≥ 250 | ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme |
| Kleinunternehmen | < 50 | < 10 Mio. € → in der Regel nicht erfasst |
Die Schwellenwerte orientieren sich an der EU-Definition für KMU (Empfehlung 2003/361/EG). Mittlere Unternehmen (50+ Mitarbeitende, 10+ Mio. € Umsatz) in Anlage-1- oder Anlage-2-Sektoren fallen grundsätzlich in den NIS2-Anwendungsbereich.
Ausnahmen: Wann gilt die Größenschwelle nicht?
§ 3 NIS2UmsuCG sieht Ausnahmen vor, bei denen auch kleinere Einrichtungen erfasst werden können:
- Kritische Infrastrukturen (KRITIS): Bereits nach bisherigem KRITIS-Recht erfasste Betreiber bleiben reguliert, unabhängig von der Größe.
- Einzige Anbieter: Unternehmen, die in einem Mitgliedstaat der einzige Anbieter eines systemrelevanten Dienstes sind.
- Hohe Auswirkungen auf öffentliche Ordnung oder Sicherheit: Wenn ein Ausfall des Dienstes erhebliche gesellschaftliche oder wirtschaftliche Folgen hätte.
- Vertrauensdiensteanbieter und bestimmte DNS-/TLD-Anbieter: Unabhängig von der Größe erfasst.
- Einrichtungen der öffentlichen Verwaltung: Größenunabhängig reguliert.
Schritt 3: Wesentliche vs. wichtige Einrichtung – was ist der Unterschied?
Die Einstufung hat erhebliche praktische Konsequenzen für Aufsicht und Bußgeldhöhe:
Wesentliche Einrichtungen (Essential Entities)
- Große Unternehmen in Anlage-1-Sektoren
- Mittlere Unternehmen in bestimmten Anlage-1-Sektoren (z. B. Digitale Infrastruktur)
- Unterliegen proaktiver Aufsicht durch das BSI
- Registrierungspflicht beim BSI nach § 33 BSIG
- Höchstbußgeld: 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (§ 65 BSIG)
Wichtige Einrichtungen (Important Entities)
- Mittlere und große Unternehmen in Anlage-2-Sektoren
- Mittlere Unternehmen in Anlage-1-Sektoren, die nicht als wesentlich eingestuft sind
- Unterliegen reaktiver Aufsicht (BSI wird nur bei Vorfällen oder Hinweisen tätig)
- Registrierungspflicht besteht ebenfalls
- Höchstbußgeld: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (§ 65 BSIG)
Selbsttest: Ist Ihr Unternehmen NIS2-pflichtig?
Nutzen Sie diese Checkliste für eine erste Einschätzung. Wenn Sie alle drei Fragen mit Ja beantworten, sind Sie wahrscheinlich NIS2-pflichtig:
Checkliste NIS2-Betroffenheit
- [ ] Sektor: Mein Unternehmen ist in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig.
- [ ] Größe: Mein Unternehmen hat mindestens 50 Mitarbeitende und einen Jahresumsatz oder eine Jahresbilanzsumme von mindestens 10 Millionen Euro.
- [ ] Kein Ausschluss: Mein Unternehmen ist nicht explizit vom Anwendungsbereich ausgenommen (z. B. Verfassungsschutz, Bundeswehr, bestimmte staatliche Stellen).
Sonderprüfung – auch ohne Größenschwelle relevant:
- [ ] Ist mein Unternehmen bereits als KRITIS-Betreiber eingestuft?
- [ ] Bin ich einziger Anbieter eines kritischen Dienstes in Deutschland?
- [ ] Biete ich Vertrauensdienste (eIDAS-Dienste) oder TLD-/DNS-Dienste an?
⚠️ Hinweis: Dieser Selbsttest ersetzt keine rechtliche oder fachkundige Beratung. Bei Unsicherheiten empfiehlt das BSI, direkt Kontakt aufzunehmen oder einen zertifizierten NIS2-Berater hinzuzuziehen.
Die Konsequenzen bei Nichterfüllung: § 65 BSIG im Blick behalten
Viele Unternehmen unterschätzen das Sanktionsregime. Das BSIG in der durch das NIS2UmsuCG novellierten Fassung sieht in § 65 BSIG ein abgestuftes Bußgeldsystem vor:
| Verstoß | Einrichtungstyp | Maximales Bußgeld |
|---|---|---|
| Schwerwiegende Pflichtverstöße (z. B. fehlende Sicherheitsmaßnahmen) | Wesentlich | 10 Mio. € oder 2 % Weltumsatz |
| Schwerwiegende Pflichtverstöße | Wichtig | 7 Mio. € oder 1,4 % Weltumsatz |
| Verletzung der Meldepflichten | Wesentlich & Wichtig | Bis zu 500.000 € |
| Verstoß gegen Registrierungspflicht | Wesentlich & Wichtig | Bis zu 100.000 € |
Besonders bemerkenswert: Das NIS2UmsuCG sieht in § 38 BSIG vor, dass Geschäftsleitungen persönlich haften können, wenn sie ihren Aufsichtspflichten nicht nachkommen. Geschäftsführer und Vorstände können für Schäden durch Pflichtverletzungen in Regress genommen werden – eine Regelung, die in der Unternehmenspraxis erhebliche Aufmerksamkeit erfordert.
Hinzu kommen operative Konsequenzen: Das BSI kann bei wesentlichen Einrichtungen Sicherheitsaudits anordnen, bei schwerwiegenden Verstößen Dienste vorübergehend untersagen und verantwortliche Manager von Leitungsaufgaben suspendieren (§ 64 BSIG).
Konkrete Handlungsempfehlungen: So gehen Sie vor
Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter die NIS2-Richtlinie fallen, sollten Sie strukturiert vorgehen:
-
Formale Betroffenheitsanalyse dokumentieren: Halten Sie schriftlich fest, auf welcher rechtlichen Grundlage Sie als wesentliche oder wichtige Einrichtung eingestuft sind. Dies ist Grundlage für alle weiteren Schritte und dient als Nachweis bei Audits.
-
Beim BSI registrieren: Wesentliche und wichtige Einrichtungen müssen sich beim BSI registrieren (§ 33 BSIG). Nutzen Sie das BSI-Meldeportal und halten Sie die erforderlichen Kontaktdaten und Sektorinformationen bereit.
-
Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Cybersicherheitsmaßnahmen mit den Anforderungen des § 30 BSIG (Risikoanalyse, Incident Response, Business Continuity, Supply-Chain-Sicherheit, Kryptographie, Zugangskontrollen, MFA, etc.).
-
Verantwortlichkeiten klären: Benennen Sie einen NIS2-Verantwortlichen in der Geschäftsleitung und stellen Sie sicher, dass die Leitungsebene gemäß § 38 BSIG nachweislich in die Cybersicherheits-Governance eingebunden ist.
-
Meldeprozesse einrichten: Etablieren Sie Prozesse für die gesetzlich vorgeschriebene Meldekette bei Sicherheitsvorfällen: Frühwarnung innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden, Abschlussbericht nach einem Monat (§ 32 BSIG).
-
Lieferkette prüfen: Analysieren Sie kritische Drittanbieter und Dienstleister hinsichtlich ihrer Cybersicherheitsstandards – NIS2 fordert explizit das Sicherheitsmanagement in der Lieferkette.
-
Schulungen und Awareness durchführen: § 38 BSIG verpflichtet Leitungsorgane, an Schulungen zu Cybersicherheitsrisiken teilzunehmen und diese auch für Mitarbeitende anzubieten.
-
Externe Unterstützung einholen: Bei Unklarheiten zur Betroffenheit oder bei komplexen Unternehmensstrukturen (Konzerne, grenzüberschreitende Dienste) ist rechtliche und technische Fachberatung empfehlenswert.
Sonderfall: Konzerne und grenzüberschreitende Unternehmen
Eine häufig unterschätzte Komplexität entsteht bei Unternehmensgruppen. Die Größenschwellenwerte werden auf Konzernebene berechnet: Ein deutsches Tochterunternehmen mit 30 Mitarbeitenden kann dennoch NIS2-pflichtig sein, wenn die Muttergesellschaft die Schwellenwerte überschreitet. Ebenso müssen Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, prüfen, in welchem Staat sie als Hauptniederlassung gelten – dies bestimmt, welche nationale Aufsichtsbehörde zuständig ist.
Fazit: Betroffenheitsprüfung ist kein einmaliger Akt
Die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland ist der unverzichtbare erste Schritt auf dem Weg zur Compliance – aber kein einmaliges Ereignis. Unternehmen wachsen, Geschäftsfelder ändern sich, neue Tochtergesellschaften entstehen. Empfehlen Sie sich selbst eine jährliche Überprüfung der Betroffenheit, insbesondere bei strukturellen Veränderungen.
Ihre nächsten Schritte auf einen Blick:
- ✅ Sektorzugehörigkeit anhand Anlage 1 und 2 des NIS2UmsuCG prüfen
- ✅ Größenschwellenwerte (50+ MA, 10 Mio. € Umsatz) verifizieren
- ✅ Einstufung als wesentliche oder wichtige Einrichtung festhalten
- ✅ Registrierung beim BSI anstoßen (§ 33 BSIG)
- ✅ Gap-Analyse starten und Maßnahmenplan entwickeln
Nächster Schritt: NIS2-Compliance systematisch angehen
Die Betroffenheitsprüfung ist das Fundament – aber der eigentliche Aufwand liegt in der strukturierten Umsetzung der Anforderungen. NIS2-Compliance-Softwarelösungen helfen Ihnen dabei, die Betroffenheit automatisiert zu dokumentieren, ein ISMS gemäß den Anforderungen des § 30 BSIG aufzubauen, Risikobewertungen zu strukturieren und Meldepflichten fristgerecht zu verwalten. Tools wie ISMS-Plattformen mit integrierter NIS2-Mapping-Funktion ermöglichen es, den Umsetzungsstand transparent nachzuverfolgen und bei BSI-Anfragen oder internen Audits schnell belastbare Nachweise zu liefern. Suchen Sie nach Lösungen, die speziell auf die deutschen BSIG-Anforderungen zugeschnitten sind und eine direkte Anbindung an die BSI-Meldewege unterstützen.
Dieser Artikel wurde auf Basis des NIS2UmsuCG, des novellierten BSIG sowie der BSI-Orientierungshilfen (Stand: Juni 2026) erstellt. Er dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Fachberatung.