NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 30. Mai 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie der EU hat die Cybersicherheitslandschaft in Deutschland grundlegend verändert. Mit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und den Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sind tausende Unternehmen erstmals gesetzlich zu umfassenden Sicherheitsmaßnahmen verpflichtet – viele davon wissen es noch nicht.
Die entscheidende Frage für IT-Verantwortliche und Geschäftsführer lautet daher: Fällt mein Unternehmen unter NIS2? Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Deutschland 2025/2026, erklärt die relevanten Kriterien und zeigt, welche Konsequenzen eine Nichterfüllung hat.
Was ist die NIS2-Betroffenheitsprüfung und warum ist sie so wichtig?
Die Betroffenheitsprüfung ist der erste und wichtigste Schritt auf dem Weg zur NIS2-Compliance. Gemäß §3 NIS2UmsuCG müssen Einrichtungen, die unter den Anwendungsbereich des Gesetzes fallen, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und umfangreiche Sicherheitsmaßnahmen implementieren.
Wer diese Prüfung versäumt oder falsch durchführt, riskiert nicht nur empfindliche Bußgelder – er bleibt auch in einem regulatorischen Graubereich, der im Ernstfall zur persönlichen Haftung der Geschäftsleitung führen kann.
Die zwei Grundfragen der Betroffenheitsprüfung
Die NIS2-Betroffenheit hängt von zwei zentralen Kriterien ab, die kumulativ erfüllt sein müssen:
- Sektorale Zugehörigkeit: Ist Ihr Unternehmen in einem der regulierten Sektoren tätig?
- Größenschwelle: Überschreitet Ihr Unternehmen die definierten Größenkriterien?
Wird eine der beiden Fragen verneint, greift die NIS2-Pflicht in der Regel nicht – es sei denn, es handelt sich um eine sogenannte Einrichtung mit besonderer Bedeutung (§28 Abs. 3 BSIG), bei der das BSI unabhängig von der Größe tätig werden kann.
Schritt 1: Sektorale Zugehörigkeit prüfen (Anlage 1 & 2 NIS2UmsuCG)
Das NIS2UmsuCG unterscheidet zwischen zwei Anlagenlisten, die insgesamt 18 Sektoren umfassen.
Anlage 1 – Sektoren mit hoher Kritikalität (11 Sektoren)
Diese Sektoren gelten als besonders kritisch und unterliegen den strengsten Anforderungen:
| Sektor | Beispiele betroffener Unternehmen |
|---|---|
| Energie | Stromerzeuger, Gasversorger, Kraftwerksbetreiber |
| Verkehr | Flughäfen, Bahnbetreiber, Schifffahrtsunternehmen |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastrukturen | Börsen, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Wasserversorger, Wasseraufbereitungsanlagen |
| Abwasser | Betreiber kommunaler Kläranlagen |
| Digitale Infrastruktur | Rechenzentren, Cloud-Anbieter, DNS-Betreiber |
| Verwaltung von IKT-Diensten (B2B) | Managed Service Provider (MSP) |
| Öffentliche Verwaltung | Bundesbehörden, Landesbehörden |
| Weltraum | Satellitenbetreiber, Bodenstationen |
Anlage 2 – Sonstige kritische Sektoren (7 Sektoren)
Diese Sektoren sind ebenfalls reguliert, jedoch mit etwas weniger strengen Anforderungen:
| Sektor | Beispiele betroffener Unternehmen |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Logistikunternehmen |
| Abfallbewirtschaftung | Entsorgungsunternehmen, Recyclingbetriebe |
| Chemie | Chemikalienhersteller, Distributoren |
| Lebensmittel | Lebensmittelproduzenten, Großhändler |
| Verarbeitendes Gewerbe | Maschinenbau, Fahrzeughersteller, Medizinprodukte |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen, Universitäten |
Praxishinweis: Viele mittelständische Unternehmen im verarbeitenden Gewerbe und in der Logistik unterschätzen ihre Betroffenheit. Prüfen Sie Ihren NACE-Code und vergleichen Sie ihn sorgfältig mit den Sektordefinitionen im NIS2UmsuCG.
Schritt 2: Größenschwellen prüfen
Selbst wenn Ihr Unternehmen einem regulierten Sektor angehört, greift die NIS2-Pflicht nur dann, wenn bestimmte Größenkriterien erfüllt sind. Dabei orientiert sich der Gesetzgeber an der EU-Definition für kleine, mittlere und große Unternehmen:
Überblick der Größenschwellen
| Unternehmensgröße | Mitarbeiterzahl | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Große Einrichtung | ≥ 250 Mitarbeiter | ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanz |
| Mittlere Einrichtung | ≥ 50 Mitarbeiter | ≥ 10 Mio. € Umsatz oder ≥ 10 Mio. € Bilanz |
| Kleine Einrichtung | < 50 Mitarbeiter | < 10 Mio. € Umsatz |
Achtung: Die Schwellenwerte gelten für das Gesamtunternehmen inklusive verbundener Unternehmen. Konzernstrukturen und Beteiligungen können dazu führen, dass ein vermeintlich kleines Tochterunternehmen dennoch die Kriterien erfüllt.
Schritt 3: Einstufung als wesentliche oder wichtige Einrichtung
Erfüllt Ihr Unternehmen die sektoralen und größenbezogenen Kriterien, wird es entweder als wesentliche Einrichtung (WE) oder als wichtige Einrichtung (WiE) eingestuft. Diese Einstufung ist entscheidend für die Intensität der aufsichtlichen Überwachung.
Wesentliche Einrichtungen (§28 Abs. 1 BSIG)
Als wesentliche Einrichtungen gelten:
- Große Unternehmen aus den Sektoren der Anlage 1
- Bestimmte Einrichtungen unabhängig von ihrer Größe (z.B. qualifizierte Vertrauensdiensteanbieter, TLD-Registries)
Diese unterliegen der proaktiven Aufsicht durch das BSI: regelmäßige Überprüfungen, Nachweise über Sicherheitsmaßnahmen und detaillierte Meldepflichten.
Wichtige Einrichtungen (§28 Abs. 2 BSIG)
Als wichtige Einrichtungen gelten:
- Mittlere und große Unternehmen aus den Sektoren der Anlage 2
- Mittlere Unternehmen aus den Sektoren der Anlage 1
Diese unterliegen der reaktiven Aufsicht: Das BSI wird in der Regel erst bei konkreten Anhaltspunkten oder Vorfällen tätig.
Interaktiver Selbsttest: Bin ich betroffen?
Nutzen Sie diese Checkliste für eine erste Einschätzung Ihrer Betroffenheit:
☐ Frage 1: Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
☐ Frage 2: Beschäftigt mein Unternehmen (inkl. verbundene Unternehmen) mehr als 50 Mitarbeiter?
☐ Frage 3: Überschreitet der Jahresumsatz oder die Jahresbilanzsumme die Grenze von 10 Millionen Euro?
☐ Frage 4: Bietet mein Unternehmen wesentliche Dienste für andere Einrichtungen oder die Gesellschaft an?
☐ Frage 5: Bin ich Managed Service Provider (MSP) oder Cloud-Dienstleister?
Auswertung: Wenn Sie Frage 1 und mindestens eine der Fragen 2 oder 3 mit Ja beantwortet haben, sind Sie sehr wahrscheinlich von NIS2 betroffen und sollten umgehend eine professionelle Betroffenheitsprüfung veranlassen. Eine Bejahung von Frage 5 kann unabhängig von der Größe zur Betroffenheit führen.
Was passiert bei Nichterfüllung? Bußgelder nach §65 BSIG
Die Zeiten unverbindlicher Cybersicherheits-Empfehlungen sind vorbei. Das neue BSIG sieht erhebliche Sanktionen für Verstöße vor:
Bußgeldrahmen nach §65 BSIG
| Einrichtungstyp | Maximales Bußgeld |
|---|---|
| Wesentliche Einrichtungen | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
| Wichtige Einrichtungen | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt) |
Darüber hinaus sieht §64 BSIG vor, dass das BSI bei wesentlichen Einrichtungen im Wiederholungsfall ein vorübergehendes Tätigkeitsverbot für Geschäftsleitungsmitglieder aussprechen kann. Dies unterstreicht die persönliche Haftung der Geschäftsführung.
Zusätzlich zu Bußgeldern drohen:
- Reputationsschäden durch verpflichtende Veröffentlichung von Verstößen
- Zivilrechtliche Haftungsansprüche nach Sicherheitsvorfällen
- Nachweise gegenüber Geschäftspartnern und im Rahmen von Ausschreibungen
Die 7 wichtigsten Pflichten nach NIS2 im Überblick
Wer betroffen ist, muss gemäß §30 BSIG unter anderem folgende Maßnahmen umsetzen:
- Risikoanalyse und Informationssicherheitskonzept: Systematische Erfassung und Bewertung von Cyberrisiken
- Incident Management: Prozesse zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen
- Business Continuity Management (BCM): Backup-Strategien, Notfallpläne, Krisenmanagement
- Lieferkettensicherheit: Bewertung der Sicherheit von Lieferanten und Dienstleistern
- Sicherheit in der Netzwerk- und Informationssystems-Beschaffung: Sicherheitsanforderungen bei Einkauf von Hard- und Software
- Schulung und Awareness: Regelmäßige Mitarbeiterschulungen und Management-Training
- Kryptographie und Verschlüsselung: Einsatz angemessener kryptographischer Maßnahmen
Handlungsempfehlungen: So gehen Sie jetzt vor
Wenn Sie Ihre Betroffenheit festgestellt haben oder noch unsicher sind, empfehlen wir folgende konkrete Schritte:
-
Betroffenheitsprüfung durchführen: Prüfen Sie systematisch anhand von NACE-Codes und Unternehmensstruktur Ihre sektorale Zugehörigkeit. Nutzen Sie dafür auch das BSI-Tool zur Selbstregistrierung.
-
Registrierung beim BSI: Betroffene Unternehmen sind verpflichtet, sich über das BSI-Portal zu registrieren. Die Frist für die Erstregistrierung wurde mehrfach kommuniziert – handeln Sie ohne Verzug.
-
Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Anforderungen aus §30 BSIG. Identifizieren Sie konkrete Handlungslücken.
-
ISMS aufbauen oder anpassen: Falls noch nicht vorhanden, sollten Sie ein Informationssicherheits-Managementsystem (ISMS) etablieren – idealerweise nach ISO 27001 oder dem BSI IT-Grundschutz.
-
Meldeprozesse definieren: Richten Sie interne Prozesse ein, um Sicherheitsvorfälle fristgerecht zu melden (Erstmeldung innerhalb von 24 Stunden nach §32 BSIG).
-
Lieferkette analysieren: Erfassen Sie kritische Dienstleister und überprüfen Sie deren Sicherheitsstandards. Passen Sie Verträge entsprechend an.
-
Schulungsprogramm starten: Sensibilisieren Sie Mitarbeiter und Führungskräfte. NIS2 verlangt ausdrücklich, dass die Unternehmensleitung in Sicherheitsfragen geschult ist.
Fazit und nächste Schritte
Die NIS2-Betroffenheitsprüfung ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess – denn Unternehmensstruktur, Umsätze und Tätigkeitsbereiche können sich ändern. Gemäß §3 NIS2UmsuCG tragen Unternehmen selbst die Verantwortung dafür, ihre Betroffenheit korrekt zu bewerten und die daraus resultierenden Pflichten zu erfüllen.
Die wichtigsten Erkenntnisse auf einen Blick:
- NIS2 betrifft Unternehmen in 18 definierten Sektoren ab einer Größe von 50 Mitarbeitern oder 10 Mio. € Umsatz
- Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen bestimmt die Intensität der Aufsicht
- Bei Nichterfüllung drohen Bußgelder von bis zu 10 Mio. € oder 2 % des Jahresumsatzes
- Die persönliche Haftung der Geschäftsleitung ist explizit im BSIG verankert
Handeln Sie jetzt: Führen Sie zunächst die Betroffenheitsprüfung durch, dokumentieren Sie Ihr Ergebnis nachvollziehbar und leiten Sie bei Betroffenheit umgehend die Registrierung beim BSI ein.
Nächsten Schritt digital umsetzen: NIS2-Compliance-Software nutzen
Viele IT-Verantwortliche stehen vor der Herausforderung, NIS2-Anforderungen nicht nur zu verstehen, sondern auch rechtssicher zu dokumentieren und nachzuweisen. Spezialisierte NIS2-Compliance-Software kann dabei wertvolle Unterstützung leisten: von der strukturierten Betroffenheitsprüfung über die automatisierte Gap-Analyse bis hin zur lückenlosen Dokumentation aller Sicherheitsmaßnahmen und Vorfallmeldungen.
Achten Sie bei der Auswahl auf Tools, die speziell auf die Anforderungen des BSIG und des NIS2UmsuCG ausgerichtet sind, eine BSI-Grundschutz- oder ISO-27001-Ausrichtung mitbringen und Ihnen fertige ISMS-Dokumentvorlagen bereitstellen. So sparen Sie wertvolle Zeit und reduzieren das Risiko, bei einer BSI-Prüfung mit unvollständigen Nachweisen dazustehen.
Quellen: NIS2UmsuCG (BGBl. 2024), BSIG (aktuelle Fassung), BSI-Leitfaden zur NIS2-Umsetzung, ENISA NIS2 Implementation Guidance, EU-Richtlinie 2022/2555 (NIS2)