NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 29. Mai 2026 | Lesezeit: ca. 8 Minuten

Die NIS2-Richtlinie ist seit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geltendes Recht in Deutschland – und dennoch fragen sich noch immer zahlreiche Geschäftsführer und IT-Verantwortliche: Bin ich überhaupt betroffen? Eine berechtigte Frage, denn die Antwort entscheidet darüber, ob ein Unternehmen umfangreiche Sicherheitspflichten erfüllen muss oder nicht. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland im Jahr 2025 – mit klaren Kriterien, einer Checkliste und konkreten Handlungsempfehlungen.

Was ist die NIS2-Richtlinie und warum ist sie relevant?

Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie von 2016. Sie verpflichtet Betreiber kritischer und wichtiger Infrastrukturen in der gesamten EU zu einem einheitlichen, erhöhten Cybersicherheitsniveau. In Deutschland wurde die Richtlinie durch das NIS2UmsuCG in nationales Recht überführt, das wesentliche Änderungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) mit sich bringt.

Der Kreis der betroffenen Unternehmen hat sich gegenüber der alten NIS-Richtlinie deutlich erweitert: Galten früher nur einige Hundert Betreiber kritischer Infrastrukturen, erfasst NIS2 nun schätzungsweise 29.000 bis 40.000 Einrichtungen allein in Deutschland. Wer die eigene Betroffenheit nicht kennt und nicht handelt, riskiert empfindliche Bußgelder.

Die rechtliche Grundlage: §3 NIS2UmsuCG

Der Ausgangspunkt jeder Betroffenheitsprüfung ist §3 NIS2UmsuCG, der die Begriffsbestimmungen und den Anwendungsbereich definiert. Er unterscheidet grundlegend zwischen zwei Kategorien von Einrichtungen:

  • Wesentliche Einrichtungen (essential entities): unterliegen strengeren Aufsichts- und Sicherheitsanforderungen
  • Wichtige Einrichtungen (important entities): unterliegen etwas geringeren, aber ebenfalls verbindlichen Anforderungen

Die Einstufung hängt von zwei zentralen Faktoren ab: dem Sektor, in dem ein Unternehmen tätig ist, und seiner Unternehmensgröße. Beide Kriterien müssen gemeinsam bewertet werden.

Schritt 1: Sektor-Check – Anlage 1 und Anlage 2 des NIS2UmsuCG

Das Gesetz unterteilt betroffene Sektoren in zwei Anlagen:

Anlage 1 – Sektoren mit hoher Kritikalität

Diese Sektoren gelten als besonders systemrelevant. Unternehmen, die hier tätig sind und die Größenkriterien erfüllen, werden in der Regel als wesentliche Einrichtungen eingestuft:

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luftfahrt, Schienenverkehr, Schifffahrt, Straßenverkehr)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD-Registries, Rechenzentren, Cloud)
  • IKT-Dienstemanagement (Managed Service Provider, Managed Security Provider)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren

Unternehmen in diesen Sektoren werden bei Erfüllung der Größenkriterien typischerweise als wichtige Einrichtungen eingestuft:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemische Industrie
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe / Herstellung von Waren (u. a. Medizinprodukte, Elektronik, Maschinenbau, Kraftfahrzeuge)
  • Digitale Dienste (Online-Marktplätze, Online-Suchmaschinen, Social-Media-Plattformen)
  • Forschungseinrichtungen

Wichtiger Hinweis: Unternehmen, die zwar in einem relevanten Sektor tätig sind, die Größenschwellen aber nicht erreichen, können dennoch als wesentliche oder wichtige Einrichtungen eingestuft werden, wenn sie eine besondere Systemrelevanz aufweisen (§3 Abs. 2 NIS2UmsuCG). Das BSI kann entsprechende Feststellungen treffen.

Schritt 2: Größenkriterien – Wer fällt unter die Regelgröße?

Neben der Sektorzugehörigkeit ist die Unternehmensgröße das zweite entscheidende Kriterium. Das NIS2UmsuCG orientiert sich dabei an den EU-weiten KMU-Schwellenwerten:

Kategorie Mitarbeiterzahl Jahresumsatz oder Jahresbilanzsumme
Mittleres Unternehmen ≥ 50 Mitarbeiter ≥ 10 Mio. €
Großes Unternehmen ≥ 250 Mitarbeiter ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme

Faustformel: Wer in einem relevanten Sektor (Anlage 1 oder 2) tätig ist und mindestens 50 Mitarbeiter beschäftigt und einen Jahresumsatz oder eine Jahresbilanzsumme von mindestens 10 Millionen Euro aufweist, ist grundsätzlich von NIS2 betroffen.

Besonderheiten bei der Größenberechnung

  • Verbundene Unternehmen und Partnerunternehmen werden bei der Größenberechnung einbezogen – ein Tochterunternehmen mit 30 Mitarbeitern kann also trotzdem betroffen sein, wenn die Muttergesellschaft die Schwellen überschreitet.
  • Unabhängig von der Größe betroffen sind z. B. qualifizierte Vertrauensdiensteanbieter, TLD-Registrare und bestimmte Anbieter öffentlicher elektronischer Kommunikationsnetze.

Wesentliche vs. wichtige Einrichtungen – Was ist der Unterschied?

Die Unterscheidung ist nicht nur akademisch – sie hat direkte Auswirkungen auf Aufsichtsintensität und mögliche Sanktionen:

Kriterium Wesentliche Einrichtung Wichtige Einrichtung
Typische Sektoren Anlage 1 Anlage 2
Aufsicht durch BSI Proaktiv (ex-ante) Reaktiv (ex-post)
Maximales Bußgeld 10 Mio. € oder 2 % des weltweiten Jahresumsatzes 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes
Registrierungspflicht Ja, aktiv beim BSI Ja, aktiv beim BSI
Nachweispflicht Regelmäßige Audits, Zertifizierungen Auf Anfrage / anlassbezogen

Beide Kategorien müssen technische und organisatorische Sicherheitsmaßnahmen gemäß §30 BSIG umsetzen sowie Sicherheitsvorfälle nach §32 BSIG melden.

Interaktiver Selbsttest: Bin ich betroffen?

Beantworten Sie die folgenden Fragen, um eine erste Einschätzung zu erhalten:

✅ Checkliste NIS2-Betroffenheit

  • [ ] Sektorzugehörigkeit: Ist mein Unternehmen in einem Sektor der Anlage 1 oder Anlage 2 tätig?
  • [ ] Mitarbeiterzahl: Beschäftigt mein Unternehmen (inkl. verbundener Unternehmen) 50 oder mehr Mitarbeiter?
  • [ ] Umsatz/Bilanzsumme: Übersteigt der Jahresumsatz oder die Bilanzsumme 10 Millionen Euro?
  • [ ] Sonderfall: Bin ich ein qualifizierter Vertrauensdiensteanbieter, DNS-Resolver, TLD-Registrar oder öffentlicher Kommunikationsanbieter?
  • [ ] Systemrelevanz: Hat das BSI mein Unternehmen als besonders systemrelevant eingestuft oder ist eine solche Einstufung wahrscheinlich?

Auswertung:
- Erste drei Fragen mit Ja beantwortet → Sehr wahrscheinlich betroffen (wesentlich oder wichtig)
- Vierte Frage mit Ja → Betroffen, unabhängig von der Größe
- Fünfte Frage mit Ja → Einzelfallprüfung empfohlen, rechtliche Beratung anraten

Hinweis: Dieser Selbsttest ersetzt keine rechtliche Prüfung. Bei Unsicherheiten empfiehlt sich die Konsultation eines auf IT-Recht spezialisierten Anwalts sowie die Nutzung des offiziellen BSI-Informationsangebots unter bsi.bund.de.

Konsequenzen bei Nichterfüllung: Bußgelder nach §65 BSIG

Wer die eigene Betroffenheit ignoriert oder die gesetzlichen Anforderungen nicht umsetzt, riskiert erhebliche Sanktionen. §65 BSIG sieht folgende Bußgelder vor:

  • Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
  • Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes

Besonders brisant: Die persönliche Haftung der Geschäftsleitung ist in §38 BSIG verankert. Geschäftsführer und Vorstände können bei schuldhafter Verletzung ihrer Aufsichtspflichten persönlich in Haftung genommen werden. Ein Regress gegen die Unternehmensleitung ist ausdrücklich möglich.

Neben Bußgeldern drohen bei schwerwiegenden Verstößen:
- Öffentliche Bekanntmachung des Verstoßes (§63 BSIG)
- Anordnung von Maßnahmen zur Mängelbeseitigung
- Im Extremfall: vorübergehendes Tätigkeitsverbot für Führungskräfte

Handlungsempfehlungen: 7 Schritte zur NIS2-Compliance

Wenn Sie festgestellt haben, dass Ihr Unternehmen unter NIS2 fällt, sollten Sie strukturiert vorgehen:

  1. Betroffenheit rechtssicher dokumentieren: Erstellen Sie eine schriftliche Bewertung Ihrer Sektorzugehörigkeit und Unternehmensgröße – auch verbundene Unternehmen berücksichtigen.

  2. Beim BSI registrieren: Betroffene Einrichtungen sind verpflichtet, sich im BSI-Portal zu registrieren. Halten Sie alle relevanten Informationen (Sektor, Größe, Ansprechpartner) bereit.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den Anforderungen aus §30 BSIG (Risikoanalyse, Incident Response, Business Continuity, Supply Chain Security, Kryptographie etc.).

  4. ISMS aufbauen oder erweitern: Ein Informationssicherheits-Managementsystem (ISMS) – idealerweise nach ISO/IEC 27001 – bildet die strukturelle Grundlage für NIS2-Compliance.

  5. Meldeprozesse etablieren: Implementieren Sie einen klaren Prozess für die Meldung von Sicherheitsvorfällen an das BSI. Die Fristen sind eng: Erstmeldung innerhalb von 24 Stunden, detaillierte Folgemeldung innerhalb von 72 Stunden (§32 BSIG).

  6. Lieferkette prüfen: NIS2 schreibt ausdrücklich Sicherheitsanforderungen an die Lieferkette vor. Prüfen Sie Verträge mit IT-Dienstleistern und kritischen Zulieferern.

  7. Schulungen und Awareness: Schulen Sie Ihre Geschäftsleitung und Mitarbeiter regelmäßig zu Cybersicherheitsrisiken – §38 BSIG verpflichtet die Leitungsebene zur aktiven Teilnahme an Schulungsmaßnahmen.

Häufige Fehler bei der Betroffenheitsprüfung

In der Praxis beobachten wir immer wieder dieselben Fallstricke:

  • Unterschätzen der Konzernstruktur: Tochtergesellschaften, die allein unter den Schwellenwerten liegen, werden irrtümlich als nicht betroffen eingestuft.
  • Falsche Sektorzuordnung: Ein IT-Dienstleister, der ausschließlich Krankenhäuser bedient, kann als Anbieter im Gesundheitssektor selbst betroffen sein.
  • Abwarten auf behördliche Benachrichtigung: Das Gesetz sieht keine aktive Benachrichtigung durch das BSI vor – die Eigenverantwortung liegt beim Unternehmen.
  • NIS2 als IT-Thema behandeln: Compliance ist Chefsache. Ohne Einbindung der Geschäftsleitung drohen Haftungsrisiken und ineffiziente Umsetzung.

Fazit und nächste Schritte

Die NIS2-Betroffenheitsprüfung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess – denn Unternehmensstruktur, Sektorzugehörigkeit und gesetzliche Vorgaben können sich ändern. Wer heute noch unsicher ist, ob er unter die Richtlinie fällt, sollte spätestens jetzt handeln.

Ihre nächsten drei Schritte:
1. Führen Sie den Selbsttest oben durch und dokumentieren Sie das Ergebnis schriftlich.
2. Melden Sie Ihr Unternehmen beim BSI an, sofern eine Betroffenheit festgestellt wurde.
3. Beauftragen Sie eine Gap-Analyse und starten Sie den ISMS-Aufbau.

Ihr nächster Schritt: NIS2-Compliance strukturiert angehen

Die manuelle Dokumentation aller NIS2-Anforderungen – von der Risikoanalyse über die Lieferkettensicherheit bis zur Vorfallmeldung – ist aufwändig und fehleranfällig. Spezialisierte NIS2-Compliance-Software und ISMS-Tools helfen Ihnen dabei, Betroffenheit zu dokumentieren, Maßnahmen zu verwalten, Fristen zu überwachen und Nachweise revisionssicher zu archivieren. Lösungen wie ein digitales ISMS ermöglichen es, Ihre Compliance-Aktivitäten zu zentralisieren und jederzeit gegenüber dem BSI nachweisen zu können. Informieren Sie sich über verfügbare Tools – ein strukturierter Einstieg spart langfristig Zeit, Ressourcen und schützt vor Haftungsrisiken.

Dieser Artikel stellt keine Rechtsberatung dar. Für eine verbindliche Beurteilung Ihrer konkreten Betroffenheit empfehlen wir die Konsultation eines auf IT- und Cybersicherheitsrecht spezialisierten Rechtsanwalts sowie die Nutzung der offiziellen BSI-Ressourcen.