NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 28. Mai 2026 | Lesedauer: ca. 8 Minuten

Die NIS2-Richtlinie ist seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) deutsches Recht – und viele Unternehmen fragen sich noch immer: Bin ich eigentlich betroffen? Die Antwort ist entscheidend, denn wer unter die Richtlinie fällt und die Pflichten ignoriert, riskiert empfindliche Bußgelder nach §65 BSIG. Wer hingegen irrtümlich glaubt, nicht betroffen zu sein, und entsprechend keine Maßnahmen ergreift, läuft in eine gefährliche Compliance-Lücke.

Dieser Artikel führt Sie Schritt für Schritt durch die NIS2 Betroffenheitsprüfung für Unternehmen in Deutschland 2025 und gibt Ihnen konkrete Handlungsempfehlungen, wie Sie Ihre Situation rechtssicher einschätzen können.

Was regelt §3 NIS2UmsuCG – und warum ist er Ihr Ausgangspunkt?

Der Anwendungsbereich der NIS2-Pflichten ergibt sich primär aus §3 NIS2UmsuCG (in Verbindung mit dem novellierten BSIG). Dort wird definiert, welche Einrichtungen als wesentlich oder wichtig eingestuft werden und damit dem Gesetz unterliegen. Die Einordnung hängt von zwei zentralen Faktoren ab:

  1. Sektorzugehörigkeit – Ist Ihr Unternehmen in einem der regulierten Sektoren tätig?
  2. Unternehmensgröße – Überschreiten Sie die definierten Schwellenwerte bei Mitarbeiterzahl und Umsatz?

Erst wenn beide Kriterien erfüllt sind, greift die volle Regulierung. Zusätzlich gibt es Sonderfälle, bei denen die Größe keine Rolle spielt – dazu später mehr.

Schritt 1: Sektorzugehörigkeit prüfen – Anlage 1 und Anlage 2

Das NIS2UmsuCG unterscheidet zwischen zwei Anlagen, die verschiedene Sektoren und Teilsektoren aufführen.

Anlage 1 – Sektoren mit hoher Kritikalität

Diese Sektoren gelten als besonders kritisch für das gesellschaftliche und wirtschaftliche Funktionieren Deutschlands:

Sektor Beispiele für betroffene Einrichtungen
Energie Strom-, Gas-, Fernwärme-, Ölversorgung, Wasserstoff
Verkehr Luftfahrt, Schiene, Schifffahrt, Straßenverkehr
Bankwesen Kreditinstitute, Zahlungsdienstleister
Finanzmarktinfrastruktur Handelsplätze, zentrale Gegenparteien
Gesundheitswesen Krankenhäuser, Labore, Pharmahersteller
Trinkwasser Wasserversorgungsunternehmen
Abwasser Abwasserentsorgungsunternehmen
Digitale Infrastruktur IXPs, DNS-Anbieter, TLD-Registries, Rechenzentren, CDN
IKT-Dienstemanagement (B2B) Managed Service Provider, Managed Security Service Provider
Öffentliche Verwaltung Bundesbehörden, Landesbehörden
Weltraum Betreiber von Bodeninfrastruktur für Weltraumfahrt

Anlage 2 – Sonstige kritische Sektoren

Zusätzlich wurden in Anlage 2 elf weitere Sektoren erfasst, die zwar weniger kritisch eingestuft, aber dennoch reguliert werden:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Industrie (Herstellung, Erzeugung, Handel)
  • Lebensmittelindustrie (Produktion und Vertrieb)
  • Verarbeitendes Gewerbe / Herstellung (u. a. Medizinprodukte, Maschinenbau, Fahrzeuge, Elektronik)
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschungseinrichtungen

Praxis-Hinweis: Viele mittelständische Industrieunternehmen sind über Anlage 2 betroffen, ohne es zu wissen – insbesondere im Maschinen- und Anlagenbau oder in der Automobilzulieferkette.

Schritt 2: Größenkriterien – Die Schwellenwerte im Überblick

Sektorzugehörigkeit allein reicht nicht aus. Entscheidend ist auch die Unternehmensgröße. Die EU-Kommission und das NIS2UmsuCG orientieren sich an der EU-Definition für KMU:

Größenklassen und ihre Bedeutung

Unternehmensklasse Mitarbeiter Jahresumsatz ODER Jahresbilanzsumme NIS2-Relevanz
Großunternehmen ≥ 250 MA > 50 Mio. € Umsatz Wesentliche ODER wichtige Einrichtung
Mittleres Unternehmen 50–249 MA 10–50 Mio. € Umsatz Wichtige Einrichtung (Anlage 2) oder wesentlich (Anlage 1)
Kleines Unternehmen < 50 MA < 10 Mio. € Umsatz Grundsätzlich nicht betroffen (Ausnahmen möglich)

Wichtig: Die Schwellenwerte werden nach dem sogenannten Kumulationsprinzip berechnet. Verbundene Unternehmen und Partnerunternehmen müssen ihre Daten konsolidieren. Wer Teil eines Konzerns ist, sollte die Konzernzahlen heranziehen – was dazu führen kann, dass eine rechtlich eigenständige Tochtergesellschaft plötzlich als "mittleres Unternehmen" gilt.

Schritt 3: Wesentliche vs. wichtige Einrichtungen – Was ist der Unterschied?

Die Einstufung als wesentliche Einrichtung (WE) oder wichtige Einrichtung (WiE) hat direkte Auswirkungen auf den Umfang der Pflichten und die Höhe möglicher Sanktionen.

Wesentliche Einrichtungen (§30 BSIG)

  • Sektoren aus Anlage 1
  • Mittlere und große Unternehmen dieser Sektoren
  • Bestimmte Einrichtungen unabhängig von der Größe (z. B. qualifizierte Vertrauensdiensteanbieter, bestimmte DNS-Anbieter)

Pflichten: Risikomanagement, Meldepflichten, Registrierungspflicht beim BSI, Nachweispflichten durch Audits, Zertifizierungen oder Selbsterklärungen (§39 BSIG)

Bußgeld bei Verstoß (§65 BSIG): Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Wert höher ist.

Wichtige Einrichtungen (§31 BSIG)

  • Sektoren aus Anlage 1 (kleinere Unternehmen) und Anlage 2
  • Mittlere und große Unternehmen der Anlage-2-Sektoren

Pflichten: Im Wesentlichen identisch mit WE, jedoch geringere Aufsichtsintensität (reaktive statt proaktive Aufsicht durch das BSI)

Bußgeld bei Verstoß (§65 BSIG): Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

Schritt 4: Sonderfälle – Wann gilt die Größe nicht?

Es gibt Einrichtungen, die unabhängig von ihrer Größe als wesentlich oder wichtig eingestuft werden. Dies betrifft insbesondere:

  • Betreiber kritischer Anlagen (KRITIS) nach §28 BSIG
  • Alleinige Anbieter eines für das Gemeinwohl unverzichtbaren Dienstes in einem Mitgliedstaat
  • Einrichtungen mit potenziell schwerwiegenden Auswirkungen auf die öffentliche Sicherheit, nationale Sicherheit oder Gesundheit
  • Qualifizierte Vertrauensdiensteanbieter und Top-Level-Domain-Registries
  • Einrichtungen der öffentlichen Verwaltung

Wenn Sie in einem dieser Bereiche tätig sind, sollten Sie juristische Beratung in Anspruch nehmen – unabhängig von Ihrer Unternehmensgröße.

Interaktiver Selbsttest: Bin ich von NIS2 betroffen?

Nutzen Sie diese Checkliste als ersten Orientierungsrahmen. Hinweis: Diese Checkliste ersetzt keine rechtliche Beratung, gibt aber eine fundierte Ersteinschätzung.

✅ NIS2 Betroffenheitsprüfung – Schnellcheck

Frage 1: Sektorzugehörigkeit
- [ ] Mein Unternehmen ist in einem Sektor aus Anlage 1 tätig
- [ ] Mein Unternehmen ist in einem Sektor aus Anlage 2 tätig
- [ ] Keines von beiden → Wahrscheinlich nicht betroffen (weiter prüfen bei Sonderfällen)

Frage 2: Unternehmensgröße
- [ ] Wir beschäftigen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)
- [ ] Unser Jahresumsatz beträgt 10 Millionen Euro oder mehr
- [ ] Beides trifft zu → Größenschwelle überschritten

Frage 3: Einstufung
- [ ] Anlage 1 + Großunternehmen (≥ 250 MA / > 50 Mio. €) → Wesentliche Einrichtung
- [ ] Anlage 1 + Mittleres Unternehmen (50–249 MA / 10–50 Mio. €) → Wesentliche oder wichtige Einrichtung
- [ ] Anlage 2 + Mittleres oder Großunternehmen → Wichtige Einrichtung

Frage 4: Sonderfälle
- [ ] Wir sind einziger Anbieter eines kritischen Dienstes in Deutschland
- [ ] Wir sind als KRITIS-Betreiber registriert
- [ ] Wir sind Vertrauensdiensteanbieter nach eIDAS

Wenn Sie eine oder mehrere Fragen in Frage 4 mit Ja beantwortet haben: Betroffenheit prüfen – unabhängig von der Unternehmensgröße.

Konkrete Handlungsempfehlungen – Was jetzt zu tun ist

Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, empfehlen wir die folgenden Schritte:

  1. Registrierung beim BSI – Wesentliche und wichtige Einrichtungen sind verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik zu registrieren (§33 BSIG). Nutzen Sie das BSI-Meldeportal.

  2. Gap-Analyse durchführen – Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen aus §30 bzw. §31 BSIG. Typische Lücken finden sich bei Patch-Management, Incident Response und Supply-Chain-Sicherheit.

  3. Risikomanagement-Framework etablieren – Implementieren Sie ein dokumentiertes Risikomanagementsystem gemäß §30 Abs. 2 BSIG. ISO 27001 oder der BSI IT-Grundschutz bieten bewährte Rahmenwerke.

  4. Meldeprozesse definieren – Sicherheitsvorfälle müssen dem BSI binnen 24 Stunden (Erstmeldung) und 72 Stunden (detaillierte Meldung) gemeldet werden (§32 BSIG). Definieren Sie intern, wer meldet, wie und wann.

  5. Lieferkette prüfen – NIS2 verpflichtet zur Sicherheit in der Lieferkette (§30 Abs. 2 Nr. 4 BSIG). Bewerten Sie die Cybersicherheit Ihrer kritischen Lieferanten und Dienstleister.

  6. Geschäftsführerhaftung beachten – Laut §38 BSIG trägt die Geschäftsführung persönliche Verantwortung für die Umsetzung der NIS2-Maßnahmen. Schulungen und dokumentierte Entscheidungen sind essenziell.

  7. Nachweise und Dokumentation sicherstellen – Wesentliche Einrichtungen müssen Nachweise über ihre Sicherheitsmaßnahmen vorlegen können – durch Audits, Zertifizierungen oder Selbsterklärungen (§39 BSIG).

  8. Rechtsberatung hinzuziehen – Bei Unklarheiten über die Einstufung oder bei Grenzfällen (z. B. Konzernstruktur, Mehrbranchenunternehmen) sollten Sie einen auf Cybersicherheitsrecht spezialisierten Anwalt konsultieren.

Die Konsequenzen bei Nichterfüllung – §65 BSIG im Detail

Viele Unternehmen unterschätzen das Bußgeldrisiko. §65 BSIG sieht ein abgestuftes Sanktionssystem vor:

Verstoß Wesentliche Einrichtung Wichtige Einrichtung
Fehlende Risikomanagementmaßnahmen Bis zu 10 Mio. € oder 2 % Weltumsatz Bis zu 7 Mio. € oder 1,4 % Weltumsatz
Verletzung der Meldepflicht Bis zu 10 Mio. € oder 2 % Weltumsatz Bis zu 7 Mio. € oder 1,4 % Weltumsatz
Verstoß gegen Registrierungspflicht Bis zu 500.000 € Bis zu 500.000 €
Persönliche Haftung Geschäftsführung Bis zu 2 Mio. € Bis zu 2 Mio. €

Neben Bußgeldern drohen Abschaltanordnungen, öffentliche Bekanntmachungen von Verstößen und im Extremfall der Entzug von Betriebslizenzen. Die Aufsicht liegt beim BSI, das seit 2024 deutlich mehr Personal und Befugnisse erhalten hat.

Fazit und nächste Schritte

Die NIS2 Betroffenheitsprüfung für Unternehmen in Deutschland 2026 ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Unternehmen wachsen, Sektordefinitionen können sich durch delegierte Rechtsakte der EU-Kommission ändern, und auch Unternehmensübernahmen oder neue Geschäftsfelder können eine neue Betroffenheit begründen.

Ihre nächsten Schritte zusammengefasst:

  1. Jetzt prüfen: Nutzen Sie den Schnellcheck in diesem Artikel als ersten Schritt.
  2. Sektorzugehörigkeit dokumentieren: Halten Sie schriftlich fest, welcher Anlage Sie zuzuordnen sind.
  3. BSI-Leitfäden studieren: Das BSI stellt unter bsi.bund.de aktuelle Orientierungshilfen zur Verfügung.
  4. Frist ernst nehmen: Wer noch nicht registriert ist, sollte dies umgehend nachholen.
  5. Compliance nachhaltig verankern: NIS2 ist kein einmaliges Audit, sondern ein dauerhafter Prozess.

💡 Nützlicher Tipp für Ihre NIS2-Compliance

Die manuelle Verwaltung aller NIS2-Anforderungen – von der Betroffenheitsprüfung über das Risikomanagement bis hin zur Dokumentation von Sicherheitsvorfällen – ist zeitaufwendig und fehleranfällig. Spezialisierte ISMS- und NIS2-Compliance-Software kann Ihnen helfen, Ihre Betroffenheit automatisiert zu prüfen, Maßnahmen zu tracken, Meldeprozesse zu standardisieren und Nachweise revisionssicher zu dokumentieren. Viele Lösungen bieten fertige Templates für §30-BSIG-Maßnahmen und unterstützen Sie bei der Erstellung der erforderlichen ISMS-Dokumentation. Suchen Sie nach Tools, die explizit auf NIS2 und BSI IT-Grundschutz ausgerichtet sind – das spart Zeit und reduziert das Risiko von Compliance-Lücken erheblich.

Dieser Artikel stellt keine Rechtsberatung dar. Bei konkreten Fragen zur NIS2-Betroffenheit Ihres Unternehmens wenden Sie sich an einen qualifizierten Rechtsanwalt oder Informationssicherheitsberater.