NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 27. Mai 2026 | Lesezeit: ca. 8 Minuten
Die NIS2-Richtlinie der EU ist seit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) deutsches Recht. Trotzdem herrscht in vielen Unternehmen noch immer Unsicherheit: Bin ich überhaupt betroffen? Welche Pflichten treffen mein Unternehmen – und welche Konsequenzen drohen, wenn ich untätig bleibe? Dieser Artikel liefert Ihnen eine strukturierte NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025/2026 und zeigt Ihnen konkret, wie Sie Ihre Einstufung korrekt vornehmen.
Was regelt §3 NIS2UmsuCG – und warum ist er für Sie entscheidend?
Der §3 NIS2UmsuCG definiert den persönlichen Anwendungsbereich des Gesetzes. Er legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" einzustufen sind und damit den vollständigen Pflichtenkatalog erfüllen müssen. Die Einordnung hängt von zwei Hauptkriterien ab:
- Sektor: Gehört Ihr Unternehmen zu einem der in Anlage 1 oder Anlage 2 des NIS2UmsuCG genannten Sektoren?
- Größe: Überschreitet Ihr Unternehmen die Schwellenwerte für Mitarbeiterzahl und Umsatz bzw. Bilanzsumme?
Wer beide Kriterien erfüllt, ist regulierter Adressat des Gesetzes – mit weitreichenden Pflichten in den Bereichen Risikomanagement, Meldewesen, Lieferkettensicherheit und Geschäftsführerhaftung.
Schritt 1: Sektorzugehörigkeit prüfen – Anlage 1 und Anlage 2
Das NIS2UmsuCG unterscheidet zwei Kategorien von regulierten Sektoren, die inhaltlich aus den Anhängen I und II der europäischen NIS2-Richtlinie (EU 2022/2555) übernommen wurden.
Anlage 1: Sektoren mit hoher Kritikalität (führt zur Einstufung als „wesentliche Einrichtung")
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Fernwärme, Öl, Wasserstoff |
| Verkehr | Luft-, Schienen-, Straßen-, Schifffahrt |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastruktur | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Laboratorien, Pharmahersteller |
| Trinkwasser | Wasserversorgung und -verteilung |
| Abwasser | Abwasserentsorgung |
| Digitale Infrastruktur | IXPs, DNS-Dienste, TLD-Registrare, Rechenzentren, Cloud |
| ICT-Dienstleistungsmanagement (B2B) | Managed Service Provider, Managed Security Service Provider |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastruktur |
Anlage 2: Sonstige kritische Sektoren (führt zur Einstufung als „wichtige Einrichtung")
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefzusteller |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Herstellung, Erzeugung, Handel mit Chemikalien |
| Lebensmittel | Produktion, Verarbeitung, Großhandel |
| Verarbeitendes Gewerbe | Medizinprodukte, Maschinenbau, Kfz, Elektronik |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Wichtig: Auch Zulieferer und Dienstleister, die wesentliche Funktionen für Unternehmen in Anlage 1 oder 2 erbringen, können indirekt in den Regulierungsbereich fallen – insbesondere über die Anforderungen an das Lieferkettenmanagement (§30 NIS2UmsuCG).
Schritt 2: Größenkriterien prüfen
Die bloße Sektorzugehörigkeit genügt in den meisten Fällen nicht. Zusätzlich müssen Größenschwellen überschritten werden, die sich an den EU-Definitionen für kleine, mittlere und große Unternehmen orientieren (KMU-Definition der EU-Empfehlung 2003/361/EG).
Relevante Schwellenwerte im Überblick
| Unternehmensgröße | Mitarbeiter | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Mittleres Unternehmen (Mindestgröße) | ≥ 50 | ≥ 10 Mio. € |
| Großes Unternehmen | ≥ 250 | ≥ 50 Mio. € Umsatz ODER ≥ 43 Mio. € Bilanz |
Faustformel: Wer mindestens 50 Mitarbeitende beschäftigt und einen Jahresumsatz oder eine Bilanzsumme von mindestens 10 Millionen Euro aufweist, kann grundsätzlich in den Anwendungsbereich fallen – sofern der Sektor passt.
Ausnahmen und Sonderfälle
Bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter NIS2:
- Betreiber kritischer Anlagen gemäß KRITIS-Dachgesetz (KritisG)
- Qualifizierte Vertrauensdiensteanbieter und TLD-Registrare
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Bestimmte Einrichtungen der öffentlichen Verwaltung auf Bundes- und Landesebene
- Einrichtungen, die von einer zuständigen Behörde als wesentlich oder wichtig identifiziert wurden
Schritt 3: Wesentliche vs. wichtige Einrichtung – Was ist der Unterschied?
Die Unterscheidung hat unmittelbare Konsequenzen für die Aufsichtsintensität und die Bußgeldhöhe.
Wesentliche Einrichtungen (§28 Abs. 1 NIS2UmsuCG)
- Große Unternehmen in Sektoren der Anlage 1
- Mittlere Unternehmen in bestimmten Sektoren (z. B. digitale Infrastruktur, Vertrauensdienste)
- Unterliegen der proaktiven Aufsicht durch das BSI
- BSI kann anlassunabhängige Prüfungen und Audits anordnen
Wichtige Einrichtungen (§28 Abs. 2 NIS2UmsuCG)
- Mittlere und große Unternehmen in Sektoren der Anlage 1, die nicht als wesentlich gelten
- Unternehmen jeder Größe in Sektoren der Anlage 2 (ab Mittelgröße)
- Unterliegen der reaktiven Aufsicht: Das BSI wird in der Regel erst bei konkreten Anhaltspunkten für Verstöße tätig
Praxishinweis: In der Praxis bedeutet „wichtige Einrichtung" nicht, dass Sie weniger tun müssen. Die Sicherheitspflichten (§30 NIS2UmsuCG) sind nahezu identisch – der Unterschied liegt primär in der Häufigkeit und Art der Aufsichtsmaßnahmen.
Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?
Gehen Sie diese Checkliste Schritt für Schritt durch:
- [ ] Schritt 1 – Sektor: Ist Ihr Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
- [ ] Schritt 2 – Mitarbeiter: Beschäftigt Ihr Unternehmen mindestens 50 Personen (Vollzeitäquivalente inkl. verbundene Unternehmen)?
- [ ] Schritt 3 – Umsatz/Bilanz: Beträgt Ihr Jahresumsatz oder Ihre Jahresbilanzsumme mindestens 10 Millionen Euro?
- [ ] Schritt 4 – Sonderregelungen: Fällt Ihr Unternehmen unter eine der größenunabhängigen Ausnahmen (KRITIS, Vertrauensdienste, öffentliche Verwaltung)?
- [ ] Schritt 5 – Lieferkette: Erbringen Sie wesentliche Dienstleistungen für eine betroffene Einrichtung, sodass Sie über Lieferkettenanforderungen indirekt reguliert werden?
Ergebnis: Wenn Sie Schritt 1 + Schritt 2 + Schritt 3 oder Schritt 4 mit „Ja" beantwortet haben, sind Sie mit hoher Wahrscheinlichkeit von NIS2 betroffen und sollten umgehend handeln.
Was droht bei Nichterfüllung? Bußgelder nach §65 BSIG
Der Gesetzgeber hat die Nichteinhaltung der NIS2-Anforderungen mit empfindlichen Sanktionen belegt. §65 des Bundessicherheitsgesetzes (BSIG n. F.) sieht folgende Bußgeldrahmen vor:
| Einrichtungstyp | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
| Wichtige Einrichtungen | Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
Hinzu kommen mögliche persönliche Haftungsrisiken für Geschäftsführer und Vorstände (§38 NIS2UmsuCG), die die Umsetzung von Cybersicherheitsmaßnahmen aktiv zu billigen und zu überwachen haben. Eine Enthaftung durch Delegation an die IT-Abteilung ist nach dem Wortlaut des Gesetzes nicht möglich.
Das BSI kann darüber hinaus:
- Öffentliche Bekanntmachungen über Verstöße anordnen
- Zertifizierungen und Genehmigungen aussetzen
- Natürliche Personen in Leitungsfunktionen vorübergehend von der Ausübung ihrer Tätigkeit ausschließen
Konkrete Handlungsempfehlungen: Was Sie jetzt tun müssen
Wenn Sie festgestellt haben, dass Ihr Unternehmen von NIS2 betroffen ist, empfehlen wir folgende priorisierte Schritte:
-
Betroffenheit dokumentieren: Halten Sie Ihre Einordnung (wesentlich oder wichtig) schriftlich fest und begründen Sie sie anhand der gesetzlichen Kriterien. Dies dient als Nachweis gegenüber Aufsichtsbehörden.
-
Registrierung beim BSI: Betroffene Einrichtungen sind zur Registrierung beim BSI verpflichtet (§33 NIS2UmsuCG). Nutzen Sie dazu die Online-Registrierungsplattform des BSI.
-
Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Anforderungen des §30 NIS2UmsuCG (Risikomanagement, Incident Response, Business Continuity, Lieferkette, Verschlüsselung, Multi-Faktor-Authentifizierung u. a.).
-
ISMS aufbauen oder anpassen: Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 oder BSI IT-Grundschutz ist die empfohlene Grundlage. Es deckt den Großteil der NIS2-Anforderungen strukturiert ab.
-
Meldeprozesse etablieren: Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden als vollständige Meldung an das BSI gemeldet werden (§32 NIS2UmsuCG).
-
Lieferkette überprüfen: Identifizieren Sie kritische Dienstleister und Zulieferer. Fordern Sie Nachweise zur Cybersicherheit ein und passen Sie Verträge entsprechend an.
-
Schulungen für Führungskräfte: Sorgen Sie für nachweisliche Awareness-Schulungen auf Geschäftsführungsebene. Das Gesetz verlangt ausdrücklich, dass Leitungsorgane die Cybersicherheitsmaßnahmen billigen und überwachen.
-
Richtlinien und Dokumentation: Erstellen Sie oder aktualisieren Sie alle relevanten Sicherheitsrichtlinien – von der Passwort-Policy bis zum Notfallhandbuch. Lücken in der Dokumentation gelten bei Prüfungen als Indiz für unzureichende Umsetzung.
Fazit: Handeln Sie jetzt – nicht erst nach dem ersten Vorfall
Die NIS2-Betroffenheitsprüfung ist kein einmaliger Akt, sondern sollte regelmäßig wiederholt werden – insbesondere wenn sich Ihre Unternehmensgröße, Ihre Tätigkeitsfelder oder Ihre Lieferkettenstruktur verändern. Die Erfahrungen aus den ersten Aufsichtsjahren zeigen: Das BSI setzt die Anforderungen konsequent durch, und die ersten Bußgeldverfahren gegen säumige Einrichtungen haben Signalwirkung entfaltet.
Ihre nächsten Schritte auf einen Blick:
- Betroffenheit nach §3 NIS2UmsuCG rechtssicher prüfen und dokumentieren
- Beim BSI registrieren
- Gap-Analyse und ISMS-Aufbau initiieren
- Meldepflichten und Eskalationsprozesse implementieren
- Geschäftsführung und Vorstand aktiv einbinden
Ihr nächster Schritt: Betroffenheit digital prüfen und Dokumentation aufbauen
Wenn Sie die manuelle Prüfung strukturieren und gleichzeitig die notwendige ISMS-Dokumentation aufbauen möchten, lohnt der Einsatz einer spezialisierten NIS2-Compliance-Software. Moderne Plattformen führen Sie systematisch durch die Betroffenheitsprüfung, helfen beim Aufbau eines rechtssicheren ISMS und generieren automatisch die erforderlichen Richtlinien, Risikoanalysen und Nachweisdokumente – genau in dem Format, das das BSI bei Prüfungen erwartet. Eine solche Lösung reduziert den Aufwand erheblich und gibt Ihnen die Sicherheit, dass keine Pflicht übersehen wird. Sprechen Sie mit einem auf NIS2 spezialisierten Berater oder testen Sie eine entsprechende Software-Plattform mit einem kostenlosen Erstgespräch.
Dieser Artikel wurde nach bestem Wissen und Gewissen auf Basis der zum Veröffentlichungsdatum geltenden Rechtslage erstellt. Er ersetzt keine individuelle Rechts- oder Compliance-Beratung. Für verbindliche Einordnungen empfehlen wir die Hinzuziehung eines auf IT-Recht spezialisierten Rechtsanwalts oder eines zertifizierten ISMS-Beraters.