NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 15. Mai 2026 | Lesezeit: ca. 8 Minuten
Seit der Umsetzung der NIS2-Richtlinie in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer entscheidenden Frage: Bin ich betroffen? Die Antwort darauf ist keine Kleinigkeit – denn wer unter die Richtlinie fällt und die Pflichten ignoriert, riskiert empfindliche Bußgelder nach § 65 BSIG. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Deutschland 2025 und zeigt, was jetzt konkret zu tun ist.
Was ist die NIS2-Richtlinie und warum ist sie relevant?
Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete und erheblich verschärfte Nachfolgerin der ursprünglichen NIS-Richtlinie von 2016. Ihr Ziel: ein einheitlich hohes Cybersicherheitsniveau in der gesamten Europäischen Union. Deutschland hat die Richtlinie mit dem NIS2UmsuCG in nationales Recht überführt, das im Kern das BSI-Gesetz (BSIG) grundlegend reformiert hat.
Das Besondere an NIS2: Der Anwendungsbereich wurde massiv ausgeweitet. Galten früher nur wenige hundert kritische Infrastrukturanlagen als reguliert, erfasst NIS2 nun schätzungsweise 29.000 bis 40.000 Unternehmen allein in Deutschland. Genau deshalb ist die Betroffenheitsprüfung so wichtig – viele Geschäftsführer und IT-Verantwortliche wissen noch nicht, dass ihr Unternehmen unter die neuen Pflichten fällt.
Die rechtliche Grundlage für den Anwendungsbereich findet sich in § 3 NIS2UmsuCG in Verbindung mit den Anlagen 1 und 2 des Gesetzes.
Schritt 1: In welchem Sektor ist Ihr Unternehmen tätig?
Die erste und wichtigste Frage bei der NIS2-Betroffenheitsprüfung ist die Sektorzugehörigkeit. Das NIS2UmsuCG unterscheidet zwei Kategorien von regulierten Sektoren:
Anlage 1 – Sektoren mit hoher Kritikalität (ehemals KRITIS-Kernbereiche)
Diese Sektoren gelten als besonders kritisch und werden am strengsten reguliert:
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Fernwärme, Erdöl, Wasserstoff |
| Verkehr | Luftfahrt, Schiene, Schifffahrt, Straßenverkehr |
| Bankwesen | Kreditinstitute, Zahlungsabwickler |
| Finanzmarktinfrastruktur | Börsen, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Medizingerätehersteller |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Abwasserentsorgung und -behandlung |
| Digitale Infrastruktur | DNS-Anbieter, TLD-Registries, Rechenzentren, Cloud |
| IKT-Dienstemanagement | Managed Service Provider, Managed Security Provider |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastruktur |
Anlage 2 – Sonstige kritische Sektoren
Diese Sektoren sind ebenfalls reguliert, aber unter etwas weniger strengen Anforderungen:
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Postdienstleister |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Herstellung und Vertrieb chemischer Stoffe |
| Lebensmittel | Verarbeitung und Vertrieb von Lebensmitteln |
| Verarbeitendes Gewerbe | Hersteller kritischer Produkte (Medizinprodukte, Elektronik, Fahrzeuge, Maschinenbau) |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Wichtig: Wenn Ihr Unternehmen in einem dieser Sektoren tätig ist, müssen Sie direkt zu Schritt 2 übergehen. Wenn nicht, ist Ihre NIS2-Betroffenheitsprüfung an dieser Stelle beendet – Sie fallen (zunächst) nicht unter die Richtlinie.
Schritt 2: Erfüllt Ihr Unternehmen die Größenkriterien?
Die reine Sektorzugehörigkeit reicht nicht aus. Grundsätzlich gilt: NIS2 richtet sich an mittlere und große Unternehmen. Die Schwellenwerte orientieren sich an der EU-Empfehlung 2003/361/EG:
Die entscheidenden Schwellenwerte
- Mittleres Unternehmen: 50 oder mehr Mitarbeitende UND/ODER Jahresumsatz oder Jahresbilanzsumme von mindestens 10 Millionen Euro
- Großes Unternehmen: 250 oder mehr Mitarbeitende UND/ODER Jahresumsatz von mindestens 50 Millionen Euro oder Jahresbilanzsumme von mindestens 43 Millionen Euro
Unternehmen, die die Schwelle von 50 Mitarbeitenden oder 10 Millionen Euro Umsatz nicht erreichen, sind in der Regel ausgenommen – es sei denn, das BSI stuft sie aufgrund besonderer Kritikalität individuell ein (sogenannte Einzelfallentscheidung nach § 3 Abs. 4 NIS2UmsuCG).
Ausnahmen von der Größenschwelle
In bestimmten Fällen greift NIS2 unabhängig von der Unternehmensgröße:
- Anbieter von DNS-Diensten, TLD-Registries und bestimmte Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
- Anbieter von Trust Services (qualifizierte Vertrauensdiensteanbieter)
- Unternehmen, die als einziger Anbieter eines kritischen Dienstes in einem EU-Mitgliedstaat gelten
- Unternehmen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte
Schritt 3: Wesentliche oder wichtige Einrichtung?
Wenn Sie die Sektorzugehörigkeit und die Größenkriterien bejaht haben, ist die nächste Frage: Sind Sie eine „wesentliche" oder eine „wichtige" Einrichtung? Diese Klassifizierung bestimmt, wie streng Sie reguliert werden.
Wesentliche Einrichtungen (Essential Entities)
Wesentliche Einrichtungen sind Unternehmen aus Anlage 1, die zugleich die Kriterien eines großen Unternehmens erfüllen (250+ MA oder 50 Mio. € Umsatz). Ebenfalls wesentlich: qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Resolver – unabhängig von der Größe.
Konsequenzen: Proaktive Aufsicht durch das BSI, umfangreiche Nachweispflichten, höhere Bußgelder bei Verstößen (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach § 65 BSIG).
Wichtige Einrichtungen (Important Entities)
Wichtige Einrichtungen sind:
- Mittlere Unternehmen aus Anlage 1 (50–249 MA oder 10–49 Mio. € Umsatz)
- Unternehmen jeder Größe aus Anlage 2, sofern sie die Mittelschwelle überschreiten
Konsequenzen: Reaktive Aufsicht (Prüfungen nur bei Verdacht oder Vorfall), etwas weniger strenge Anforderungen, aber immer noch erhebliche Bußgelder (bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes nach § 65 BSIG).
Selbsttest: Bin ich von NIS2 betroffen?
Nutzen Sie diese kompakte Checkliste für Ihre erste Einschätzung:
- [ ] Sektorzugehörigkeit: Mein Unternehmen ist in einem Sektor der Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig.
- [ ] Mitarbeitende: Mein Unternehmen beschäftigt 50 oder mehr Mitarbeitende (Vollzeitäquivalente).
- [ ] Umsatz/Bilanzsumme: Mein Unternehmen erzielt einen Jahresumsatz oder eine Jahresbilanzsumme von mindestens 10 Millionen Euro.
- [ ] Keine Ausnahme: Mein Unternehmen ist kein kleines kommunales Versorgungsunternehmen oder eine vergleichbare ausgenommene Einrichtung.
- [ ] Registrierung: Mein Unternehmen hat sich beim BSI über das KRITIS-Dachgesetz-Portal registriert (Pflicht ab festgelegten Fristen).
Ergebnis: Wenn Sie die ersten drei Punkte bejahen und kein Ausnahmetatbestand greift, ist Ihr Unternehmen mit hoher Wahrscheinlichkeit von NIS2 betroffen. Eine rechtssichere Beurteilung sollte in Zusammenarbeit mit einem Fachanwalt für IT-Recht oder einem zertifizierten Informationssicherheitsbeauftragten erfolgen.
Was droht bei Nichterfüllung? Die Bußgeldrisiken nach § 65 BSIG
Viele Unternehmen unterschätzen das Sanktionsregime unter NIS2. Das BSIG in seiner aktuellen Fassung sieht in § 65 empfindliche Geldbußen vor:
| Einrichtungstyp | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtung | 10.000.000 € oder 2 % des globalen Jahresumsatzes (der höhere Betrag gilt) |
| Wichtige Einrichtung | 7.000.000 € oder 1,4 % des globalen Jahresumsatzes (der höhere Betrag gilt) |
Zusätzlich kann das BSI bei wesentlichen Einrichtungen Geschäftsführer und Vorstände persönlich für Verstöße verantwortlich machen – eine Regelung, die in der Praxis besonders aufhorchen lässt. Auch temporäre Betriebsverbote oder die Untersagung von Führungsaufgaben sind als Zwangsmaßnahmen möglich (§ 64 BSIG).
Zu den häufigsten Verstößen, die zu Bußgeldern führen können, gehören:
- Fehlende oder unzureichende Risikoanalysen und Sicherheitskonzepte
- Nicht gemeldete Sicherheitsvorfälle (Meldepflicht: 24 Stunden für Erstmeldung, 72 Stunden für detaillierte Meldung, 1 Monat für Abschlussbericht)
- Fehlende Registrierung beim BSI
- Unzureichendes Business Continuity Management
- Mangelnde Lieferkettensicherheit (Supply Chain Security)
Konkrete Handlungsempfehlungen: Was jetzt zu tun ist
Wenn Ihre Betroffenheitsprüfung ergeben hat, dass NIS2 für Sie gilt – oder wenn Sie noch unsicher sind – empfehlen sich folgende Schritte:
-
Sektorzugehörigkeit rechtssicher klären: Beauftragen Sie einen auf IT-Recht spezialisierten Rechtsanwalt oder einen CISO mit NIS2-Expertise, um Ihre Einstufung verbindlich zu prüfen.
-
Registrierung beim BSI vornehmen: Betroffene Einrichtungen müssen sich beim BSI registrieren. Nutzen Sie das offizielle Meldeportal des BSI und halten Sie Fristen ein.
-
Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Anforderungen aus §§ 30–38 BSIG (technische und organisatorische Maßnahmen) und identifizieren Sie Lücken.
-
ISMS aufbauen oder anpassen: Ein Informationssicherheitsmanagementsystem nach ISO/IEC 27001 bildet eine solide Grundlage für die NIS2-Compliance. Bestehende ISMS müssen auf die NIS2-spezifischen Anforderungen erweitert werden.
-
Meldeprozesse etablieren: Definieren Sie klare interne Prozesse für die Erkennung, Klassifizierung und Meldung von Sicherheitsvorfällen – inklusive der 24-Stunden-Frist für die Frühwarnung.
-
Lieferkette analysieren: Überprüfen Sie kritische Dienstleister und Zulieferer auf deren Sicherheitsniveau. NIS2 verpflichtet Sie, auch die Sicherheit Ihrer Supply Chain im Blick zu behalten.
-
Schulungen für Führungskräfte: Gemäß § 38 BSIG sind Geschäftsleitungen persönlich für die Umsetzung der Cybersicherheitsmaßnahmen verantwortlich. Regelmäßige Schulungen sind Pflicht – und schützen Sie persönlich vor Haftung.
-
Dokumentation lückenlos aufbauen: Alle getroffenen Maßnahmen, Risikoanalysen und Vorfallsmeldungen müssen nachvollziehbar dokumentiert werden, um im BSI-Audit bestehen zu können.
Fazit: Betroffenheitsprüfung ist der erste Pflichtschritt
Die NIS2-Betroffenheitsprüfung ist kein optionaler Schritt – sie ist der notwendige Ausgangspunkt jeder NIS2-Compliance-Initiative. Wer seinen Anwendungsbereich nicht kennt, kann keine angemessenen Maßnahmen ergreifen und läuft blind in potenzielle Bußgeldsanktionen.
Ihre nächsten Schritte auf einen Blick:
- ✅ Sektorzugehörigkeit prüfen (Anlage 1 oder 2)
- ✅ Größenkriterien verifizieren (50+ MA / 10 Mio. € Umsatz)
- ✅ Einrichtungstyp bestimmen (wesentlich oder wichtig)
- ✅ Beim BSI registrieren
- ✅ Gap-Analyse anstoßen und ISMS aufbauen
Die Uhr tickt – und das BSI intensiviert seine Prüfaktivitäten nachweislich. Unternehmen, die jetzt handeln, sichern sich einen entscheidenden Vorsprung.
Nächster Schritt: NIS2-Compliance effizient umsetzen
Wenn Sie nach der Betroffenheitsprüfung festgestellt haben, dass NIS2 für Ihr Unternehmen gilt, steht die eigentliche Compliance-Arbeit noch bevor. Spezialisierte NIS2-Compliance-Softwarelösungen und ISMS-Plattformen können Ihnen dabei helfen, Risikoanalysen zu strukturieren, Richtliniendokumente rechtskonform zu erstellen, Meldeprozesse zu automatisieren und Nachweise für BSI-Audits revisionssicher zu archivieren. Viele dieser Plattformen bieten integrierte Betroffenheitsprüfungs-Werkzeuge, mit denen Sie Ihre Einstufung systematisch und dokumentiert durchführen können – ein wertvoller erster Schritt auf dem Weg zur vollständigen NIS2-Konformität.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für eine verbindliche Beurteilung Ihrer NIS2-Betroffenheit empfehlen wir die Konsultation eines Fachanwalts für IT-Recht oder eines zertifizierten Informationssicherheitsberaters.