NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 16. Mai 2026 | Lesedauer: ca. 8 Minuten

Viele Unternehmen in Deutschland stehen noch immer vor einer entscheidenden Frage: Bin ich überhaupt von NIS2 betroffen? Die Antwort darauf ist keine Kleinigkeit – denn wer die Richtlinie ignoriert, riskiert empfindliche Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Mit diesem Artikel erhalten Sie eine strukturierte NIS2-Betroffenheitsprüfung für Ihr Unternehmen in Deutschland 2025 – praxisnah, rechtsbasiert und direkt umsetzbar.

Was ist die NIS2-Richtlinie und warum ist sie relevant?

Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete europäische Vorgabe zur Netzwerk- und Informationssicherheit. In Deutschland wurde sie durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt, das auf dem novellierten BSI-Gesetz (BSIG) aufbaut.

Gegenüber der Vorgängerrichtlinie NIS1 hat sich der Anwendungsbereich massiv ausgeweitet: Statt einiger Dutzend kritischer Infrastrukturbetreiber fallen nun schätzungsweise 30.000 bis 40.000 Unternehmen allein in Deutschland unter die neuen Pflichten – darunter erstmals auch viele mittelständische Betriebe.

Der entscheidende Paragraph für die Betroffenheit ist § 3 NIS2UmsuCG, der definiert, wer als „wesentliche Einrichtung" oder „wichtige Einrichtung" eingestuft wird. Diese Einstufung bestimmt den Umfang der Pflichten und die Höhe möglicher Sanktionen.

Die zwei Kernfragen der NIS2-Betroffenheitsprüfung

Eine NIS2-Betroffenheitsprüfung basiert auf zwei unabhängigen Dimensionen, die beide erfüllt sein müssen (mit wenigen Ausnahmen):

  1. Tätigkeitsbereich: Gehört Ihr Unternehmen zu einem der regulierten Sektoren?
  2. Unternehmensgröße: Überschreiten Sie die definierten Schwellenwerte?

Schritt 1: Sektorale Zuordnung – Anlage 1 und Anlage 2 des NIS2UmsuCG

Das Gesetz unterscheidet zwei Kategorien von Sektoren, die in Anlage 1 (hochkritische Sektoren) und Anlage 2 (sonstige kritische Sektoren) gelistet sind.

Anlage 1 – Hochkritische Sektoren (§ 28 Abs. 1 NIS2UmsuCG)

Diese Sektoren gelten als besonders systemrelevant. Unternehmen hier können als wesentliche Einrichtungen eingestuft werden:

  • Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
  • Transport und Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastruktur
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmahersteller)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD, Cloud-Dienste, Rechenzentren, CDN)
  • IKT-Dienstverwaltung (Managed Service Provider, Managed Security Service Provider)
  • Öffentliche Verwaltung (Bundes- und Landesebene)
  • Weltraum (Betreiber von Bodeninfrastruktur)

Anlage 2 – Sonstige kritische Sektoren (§ 28 Abs. 2 NIS2UmsuCG)

Unternehmen in diesen Bereichen werden in der Regel als wichtige Einrichtungen klassifiziert:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemikalien (Herstellung, Erzeugung, Handel)
  • Lebensmittel (Herstellung, Verarbeitung, Vertrieb)
  • Verarbeitendes Gewerbe / Herstellung (Medizinprodukte, IT/Elektronik, Maschinenbau, Kraftfahrzeuge)
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Praxishinweis: Auch wenn Ihr Kerngeschäft außerhalb dieser Sektoren liegt – prüfen Sie Ihre Zulieferkette und Subunternehmer. Als kritischer Dienstleister für ein reguliertes Unternehmen können Sie mittelbar in die Pflicht genommen werden.

Schritt 2: Größenkriterien – Der Mittelstand im Fokus

Das NIS2UmsuCG übernimmt die EU-Schwellenwerte für Unternehmensgrößen. Grundsätzlich gilt: Kleinstunternehmen und kleine Unternehmen sind ausgenommen – sofern sie nicht in besonders kritischen Teilbereichen tätig sind.

Übersicht der Größenschwellen

Kategorie Mitarbeiterzahl Jahresumsatz ODER Jahresbilanzsumme
Kleinstunternehmen < 10 MA < 2 Mio. €
Kleines Unternehmen 10–49 MA < 10 Mio. €
Mittleres Unternehmen 50–249 MA ≥ 10 Mio. € / < 50 Mio. €
Großes Unternehmen ≥ 250 MA ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanz

Wichtige Ausnahmen von der Größenregel: Selbst kleine Unternehmen können betroffen sein, wenn sie:
- alleinige Anbieter eines kritischen Dienstes in einem Mitgliedstaat sind,
- ein Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte,
- sie als qualifizierte Vertrauensdiensteanbieter oder TLD-Registrierungsstellen tätig sind.

Wesentliche vs. Wichtige Einrichtungen: Was ist der Unterschied?

Die Unterscheidung zwischen wesentlichen Einrichtungen (§ 28 Abs. 1 NIS2UmsuCG) und wichtigen Einrichtungen (§ 28 Abs. 2 NIS2UmsuCG) hat erhebliche praktische Konsequenzen:

Wesentliche Einrichtungen

  • Strengere Aufsichtspflichten (proaktive Überwachung durch BSI)
  • Regelmäßige Audits und Überprüfungen möglich
  • Höhere Bußgelder: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsleitung (§ 38 NIS2UmsuCG)

Wichtige Einrichtungen

  • Reaktive Aufsicht (BSI handelt nach Vorfällen oder Hinweisen)
  • Niedrigere Bußgelder: bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Gleichwertige technische und organisatorische Pflichten

Fazit: Die technischen Anforderungen sind für beide Kategorien weitgehend identisch. Der Unterschied liegt primär in der Intensität der Aufsicht und der Höhe möglicher Sanktionen.

Selbsttest: NIS2-Betroffenheitsprüfung in 5 Schritten

Nutzen Sie diese strukturierte Checkliste als ersten Orientierungsrahmen. Eine abschließende Rechtsauskunft ersetzt sie nicht.

✅ Schritt-für-Schritt-Checkliste

Schritt 1 – Sektorzuordnung prüfen
- [ ] Identifizieren Sie Ihre primären Geschäftstätigkeiten
- [ ] Gleichen Sie diese mit Anlage 1 und Anlage 2 des NIS2UmsuCG ab
- [ ] Berücksichtigen Sie auch Nebentätigkeiten und Tochtergesellschaften

Schritt 2 – Unternehmensgrößen ermitteln
- [ ] Stellen Sie die aktuelle Mitarbeiterzahl fest (Vollzeitäquivalente)
- [ ] Ermitteln Sie den Jahresumsatz des letzten Geschäftsjahres
- [ ] Prüfen Sie, ob Verbundunternehmen oder Partnerunternehmen die Schwelle überschreiten

Schritt 3 – Ausnahmetatbestände prüfen
- [ ] Sind Sie ein Kleinstunternehmen außerhalb hochkritischer Teilbereiche?
- [ ] Sind Sie ausschließlich für Behörden tätig (teils eigene Regelungen)?

Schritt 4 – Einrichtungstyp bestimmen
- [ ] Anlage 1 + ≥ 250 MA → wahrscheinlich wesentliche Einrichtung
- [ ] Anlage 1 + 50–249 MA → wahrscheinlich wichtige Einrichtung
- [ ] Anlage 2 + ≥ 50 MA → wahrscheinlich wichtige Einrichtung

Schritt 5 – Registrierungspflicht beachten
- [ ] Betroffene Unternehmen müssen sich beim BSI registrieren (§ 33 NIS2UmsuCG)
- [ ] Frist und Verfahren: Über das BSI-Portal (bsi.bund.de)

Konsequenzen bei Nichterfüllung – Was droht bei Verstößen?

Die Sanktionsregelungen des § 65 BSIG sind keine leeren Drohungen. Das BSI hat seit Inkrafttreten des NIS2UmsuCG deutlich mehr Befugnisse erhalten und macht aktiv von diesen Gebrauch.

Bußgeldrahmen im Überblick

Verstoß Einrichtungstyp Maximales Bußgeld
Verletzung von Sicherheitspflichten (§ 30 BSIG) Wesentliche Einrichtung 10 Mio. € oder 2 % des Weltumsatzes
Verletzung von Sicherheitspflichten (§ 30 BSIG) Wichtige Einrichtung 7 Mio. € oder 1,4 % des Weltumsatzes
Verletzung von Meldepflichten (§ 32 BSIG) Beide Kategorien Bis zu 500.000 €
Nichtregistrierung (§ 33 BSIG) Beide Kategorien Bis zu 100.000 €

Persönliche Haftung der Geschäftsleitung

Ein oft unterschätzter Aspekt: Gemäß § 38 NIS2UmsuCG können Geschäftsführer und Vorstände persönlich haftbar gemacht werden, wenn Cybersicherheitsmaßnahmen nicht genehmigt oder überwacht wurden. Die Delegation an die IT-Abteilung entbindet die Führungsebene nicht von der Verantwortung.

Konkrete Handlungsempfehlungen für betroffene Unternehmen

Wenn Sie nach der Betroffenheitsprüfung festgestellt haben, dass NIS2 auf Ihr Unternehmen zutrifft, empfehlen sich folgende Schritte:

  1. Betroffenheit dokumentieren: Halten Sie Ihre Sektorenzuordnung und Größenkennzahlen schriftlich fest – als Nachweis gegenüber dem BSI.

  2. Beim BSI registrieren: Nutzen Sie das offizielle BSI-Meldeportal für die Registrierung gemäß § 33 NIS2UmsuCG. Die Registrierung ist Pflicht und keine Option.

  3. GAP-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Anforderungen des § 30 BSIG (technisch-organisatorische Maßnahmen, Risikomanagement, Business Continuity).

  4. Incident-Response-Prozesse etablieren: NIS2 verlangt eine 24-Stunden-Erstmeldung bei erheblichen Sicherheitsvorfällen (§ 32 BSIG). Stellen Sie sicher, dass Ihre Meldekette funktioniert.

  5. Lieferkette analysieren: Prüfen Sie, welche Ihrer Lieferanten und Dienstleister ihrerseits betroffen sind – und fordern Sie entsprechende Nachweise ein.

  6. Schulungen für Führungskräfte: Die Geschäftsleitung muss nachweislich in Cybersicherheitsthemen geschult sein (§ 38 Abs. 3 NIS2UmsuCG).

  7. ISMS implementieren oder aktualisieren: Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 ist zwar nicht zwingend vorgeschrieben, gilt aber als anerkannte Methode zur Erfüllung der NIS2-Anforderungen.

  8. Rechtliche Beratung einholen: Bei komplexen Konzernstrukturen, grenzüberschreitenden Tätigkeiten oder Unklarheiten zur Sektorzuordnung sollten Sie einen auf IT-Recht spezialisierten Anwalt hinzuziehen.

Häufige Irrtümer bei der NIS2-Betroffenheitsprüfung

Irrtum 1: „Wir sind zu klein."
Unternehmen mit 55 Mitarbeitern und 12 Mio. € Umsatz in der Lebensmittelproduktion sind sehr wohl betroffen – auch wenn sie sich als „klein" bezeichnen würden.

Irrtum 2: „Wir sind kein IT-Unternehmen."
NIS2 reguliert nicht nur die IT-Branche. Ein Pharmaunternehmen, ein Logistikdienstleister oder ein Wasserversorger unterliegt denselben Pflichten.

Irrtum 3: „Das BSI kontrolliert das nicht wirklich."
Seit 2025 hat das BSI mehrere formelle Aufsichtsverfahren eingeleitet. Die Behörde verfügt über erweiterte Befugnisse für Vor-Ort-Prüfungen und kann externe Auditoren mandatieren.

Irrtum 4: „ISO 27001 reicht aus."
Eine bestehende ISO-27001-Zertifizierung ist ein guter Ausgangspunkt, aber keine vollständige NIS2-Compliance. Spezifische Anforderungen wie Registrierung, Meldepflichten und Supply-Chain-Governance gehen darüber hinaus.

Fazit: Nächste Schritte jetzt einleiten

Die NIS2-Betroffenheitsprüfung ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess – denn Unternehmen wachsen, Sektordefinitionen können präzisiert werden, und das BSI aktualisiert regelmäßig seine Orientierungshilfen.

Ihre nächsten drei Schritte:

  1. Heute: Führen Sie die oben beschriebene Selbstprüfung durch und dokumentieren Sie Ihr Ergebnis.
  2. Diese Woche: Starten Sie eine interne GAP-Analyse auf Basis der § 30 BSIG-Anforderungen.
  3. Diesen Monat: Registrieren Sie sich beim BSI (sofern noch nicht geschehen) und legen Sie einen Verantwortlichen für NIS2-Compliance fest.

Jetzt Compliance-Prozess strukturiert angehen

Die NIS2-Betroffenheitsprüfung ist der erste Schritt – aber nur einer von vielen auf dem Weg zur vollständigen Compliance. Spezialisierte ISMS- und NIS2-Compliance-Softwarelösungen helfen Ihnen dabei, Betroffenheit zu dokumentieren, Sicherheitsmaßnahmen zu verwalten, Meldepflichten zu tracken und Audit-Nachweise strukturiert bereitzuhalten. Plattformen wie diese ermöglichen es auch kleineren IT-Teams, den gesetzlichen Anforderungen effizient gerecht zu werden – ohne unnötigen administrativen Aufwand. Eine erste Orientierung bietet das BSI mit seinem IT-Grundschutz-Kompendium sowie den offiziellen NIS2-FAQ auf bsi.bund.de.

Dieser Artikel wurde auf Basis des NIS2UmsuCG und des novellierten BSIG in der Fassung von 2025 erstellt. Er dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Sicherheitsberatung.