NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 31. Mai 2026 | Lesezeit: ca. 8 Minuten
Viele Geschäftsführer und IT-Verantwortliche stellen sich dieselbe dringende Frage: Ist mein Unternehmen von der NIS2-Richtlinie betroffen – und wenn ja, was muss ich jetzt tun? Die Antwort ist komplexer als ein einfaches Ja oder Nein, denn die deutsche Umsetzung der EU-Richtlinie 2022/2555 im NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) sowie das überarbeitete BSI-Gesetz (BSIG) definieren Betroffenheit anhand mehrerer Kriterien gleichzeitig. Dieser Artikel führt Sie strukturiert durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025, erklärt die relevanten Sektoren und Größenschwellen und zeigt, welche Konsequenzen eine Nichterfüllung hat.
Was regelt §3 NIS2UmsuCG – die rechtliche Grundlage
§3 NIS2UmsuCG definiert den persönlichen Anwendungsbereich des Gesetzes. Er unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities, EE) und wichtigen Einrichtungen (Important Entities, IE) und legt fest, welche Organisationen verpflichtend unter das Gesetz fallen. Entscheidend sind dabei drei Faktoren:
- Sektorzugehörigkeit (Anlage 1 oder Anlage 2 NIS2UmsuCG)
- Unternehmensgröße (Mitarbeiterzahl und Jahresumsatz bzw. Jahresbilanzsumme)
- Kritikalität der erbrachten Dienste (in bestimmten Fällen unabhängig von der Größe)
Das BSI führt auf Basis dieser Kriterien ein Register betroffener Einrichtungen. Unternehmen, die unter die Regelungen fallen, sind gemäß §33 BSIG zur Registrierung beim BSI verpflichtet.
Schritt 1: Sektorzugehörigkeit prüfen – Anlage 1 und Anlage 2
Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)
Anlage 1 umfasst elf Sektoren, die als besonders kritisch für das Funktionieren von Staat und Gesellschaft gelten:
| Sektor | Beispiele betroffener Unternehmen |
|---|---|
| Energie | Strom-, Gas-, Fernwärme-, Wasserstoffversorger |
| Transport und Verkehr | Flughäfen, Eisenbahnen, Reedereien, ÖPNV |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Kommunale und private Abwasserbetriebe |
| Digitale Infrastruktur | IXPs, DNS-Resolver, TLD-Registries, Cloud-Anbieter |
| ICT-Dienste (B2B) | Managed Service Provider, Managed Security Provider |
| Öffentliche Verwaltung | Bundesbehörden, Landesbehörden |
| Weltraum | Bodenstationsbetreiber für kritische Weltrauminfrastrukturen |
Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)
Anlage 2 ergänzt den Anwendungsbereich um sieben weitere Sektoren:
| Sektor | Beispiele betroffener Unternehmen |
|---|---|
| Post- und Kurierdienste | Paketdienstleister, Briefdienste |
| Abfallbewirtschaftung | Entsorgungsunternehmen, Recyclingbetriebe |
| Chemie | Hersteller gefährlicher Chemikalien, Distributoren |
| Lebensmittel | Großhändler, Lebensmittelproduzenten |
| Verarbeitendes Gewerbe | Hersteller medizinischer Geräte, Elektronik, Maschinenbau |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen (öffentlich und privat) |
Wichtig: Allein die Sektorzugehörigkeit reicht in den meisten Fällen nicht aus. Erst in Kombination mit der Unternehmensgröße ergibt sich die vollständige Betroffenheit.
Schritt 2: Größenkriterien – Ab wann gilt NIS2?
Die Schwellenwerte im Überblick
Die EU-Richtlinie und das NIS2UmsuCG orientieren sich an der EU-Empfehlung 2003/361/EG zur Unternehmensgrößenklassifikation. Folgende Schwellenwerte sind maßgeblich:
Wesentliche Einrichtung (Anlage 1, §3 Abs. 1 NIS2UmsuCG):
- Mindestens 250 Mitarbeiter (Vollzeitäquivalente) oder
- Jahresumsatz von mehr als 50 Millionen Euro und Jahresbilanzsumme von mehr als 43 Millionen Euro
Wichtige Einrichtung (Anlage 1 oder 2, §3 Abs. 2 NIS2UmsuCG):
- Mindestens 50 Mitarbeiter (Vollzeitäquivalente) oder
- Jahresumsatz von mehr als 10 Millionen Euro und Jahresbilanzsumme von mehr als 10 Millionen Euro
Ausnahmen: Größenunabhängige Betroffenheit
In bestimmten Fällen greift NIS2 unabhängig von der Unternehmensgröße. Dazu zählen laut §3 Abs. 3 NIS2UmsuCG unter anderem:
- Qualifizierte Vertrauensdiensteanbieter und Trust-Service-Provider nach eIDAS
- Betreiber öffentlicher elektronischer Kommunikationsnetze oder -dienste
- Unternehmen, die als einziger Anbieter eines für staatliche oder gesellschaftliche Grundfunktionen kritischen Dienstes in einem Mitgliedstaat tätig sind
- Kritische Anlagen im Sinne des KRITIS-Dachgesetzes (KritisSchG), sofern dort benannt
Selbsttest: Ist Ihr Unternehmen betroffen?
Die folgende Checkliste gibt Ihnen eine erste Orientierung für die NIS2-Betroffenheitsprüfung Ihres Unternehmens in Deutschland 2025. Beachten Sie: Diese Checkliste ersetzt keine rechtliche Beratung.
NIS2-Betroffenheits-Checkliste
- [ ] Sektorzugehörigkeit: Ist mein Unternehmen einem Sektor der Anlage 1 oder Anlage 2 des NIS2UmsuCG zuzuordnen?
- [ ] Mitarbeiterzahl: Beschäftigt mein Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
- [ ] Umsatz/Bilanz: Überschreitet mein Jahresumsatz und meine Bilanzsumme jeweils 10 Millionen Euro?
- [ ] Größenunabhängige Kriterien: Bin ich Vertrauensdiensteanbieter, Betreiber kritischer Infrastruktur oder alleiniger Anbieter kritischer Dienste?
- [ ] Konzernverbund: Gehöre ich zu einer Unternehmensgruppe, deren Gesamtgröße die Schwellenwerte überschreitet?
- [ ] Lieferkette: Erbringt mein Unternehmen IT- oder OT-Dienstleistungen für betroffene Einrichtungen (Managed Services, Outsourcing)?
Ergebnis: Treffen zwei oder mehr der ersten drei Kriterien zu, ist eine tiefergehende Prüfung dringend erforderlich. Trifft eines der letzten drei Punkte zu, sollten Sie ebenfalls rechtliche und technische Beratung einholen.
Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?
Die Unterscheidung ist nicht nur begrifflicher Natur – sie hat direkte Auswirkungen auf Aufsichtsintensität, Nachweispflichten und mögliche Sanktionen.
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektor | Anlage 1 | Anlage 1 (mittlere Größe) oder Anlage 2 |
| Unternehmensgröße | Groß (≥250 MA oder ≥50 Mio. € Umsatz) | Mittel (≥50 MA oder ≥10 Mio. € Umsatz) |
| BSI-Aufsicht | Proaktiv: ex-ante-Kontrollen möglich | Reaktiv: anlassbezogene Prüfungen |
| Bußgeldrahmen (§65 BSIG) | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
| Registrierungspflicht | Ja, §33 BSIG | Ja, §33 BSIG |
| Meldepflichten | Ja, §32 BSIG (3-stufig: 24h/72h/1 Monat) | Ja, §32 BSIG (3-stufig) |
Konsequenzen bei Nichterfüllung: §65 BSIG lässt keine Zweifel
Wer glaubt, die Pflichten aus NIS2 aussitzen zu können, unterschätzt den gesetzlichen Sanktionsrahmen erheblich. §65 BSIG sieht folgende Bußgelder vor:
Für wesentliche Einrichtungen:
- Bis zu 10.000.000 Euro oder
- 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens (der jeweils höhere Betrag gilt)
Für wichtige Einrichtungen:
- Bis zu 7.000.000 Euro oder
- 1,4 % des gesamten weltweiten Jahresumsatzes
Darüber hinaus sieht §61 BSIG vor, dass das BSI bei schwerwiegenden oder anhaltenden Verstößen temporäre Tätigkeitsverbote für Geschäftsleitungsmitglieder aussprechen kann. Das ist ein Novum im deutschen Verwaltungsrecht und unterstreicht den Stellenwert, den der Gesetzgeber der Cybersicherheit beimisst.
Zusätzlich drohen bei Sicherheitsvorfällen:
- Reputationsschäden durch öffentliche Bekanntmachung von Verstößen (§64 BSIG)
- Zivilrechtliche Haftung gegenüber Kunden und Partnern
- DSGVO-Bußgelder, wenn ein Sicherheitsvorfall auch personenbezogene Daten betrifft (Doppelregulierung)
7 konkrete Handlungsempfehlungen für Unternehmen
Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, sollten Sie folgende Schritte zeitnah einleiten:
-
Betroffenheit rechtssicher dokumentieren: Erstellen Sie ein internes Dokument, das Ihre Sektorzugehörigkeit, Mitarbeiterzahl und Finanzkennzahlen festhält und die Einordnung als wesentliche oder wichtige Einrichtung begründet.
-
Beim BSI registrieren: Melden Sie Ihr Unternehmen über das BSI-Portal an. Die Registrierungspflicht nach §33 BSIG gilt unmittelbar nach Inkrafttreten der Betroffenheit.
-
Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen des §30 BSIG (technische und organisatorische Maßnahmen, ToM). Der BSI-Grundschutz oder ISO 27001 bieten eine geeignete Referenzarchitektur.
-
Incident-Response-Prozesse etablieren: Implementieren Sie ein Meldeverfahren, das die 24-Stunden-Erstmeldung (Frühwarnung), die 72-Stunden-Folgemeldung und den Abschlussbericht nach einem Monat sicherstellt (§32 BSIG).
-
Geschäftsleitung einbinden: §38 BSIG verpflichtet die Geschäftsleitung zur persönlichen Verantwortung für die Umsetzung von Cybersicherheitsmaßnahmen. Schulungen und dokumentierte Entscheidungsprozesse sind Pflicht.
-
Lieferkette analysieren: Prüfen Sie nach §30 Abs. 2 Nr. 4 BSIG Ihre Zulieferer und Dienstleister auf Sicherheitsrisiken. Supply-Chain-Angriffe sind laut ENISA Threat Landscape 2024 eine der häufigsten Angriffsvektoren.
-
ISMS einführen oder anpassen: Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 oder auf Basis des BSI IT-Grundschutzes schafft die strukturelle Grundlage für dauerhaften NIS2-Compliance.
Sonderfall: Mittelstand und KMU – unterschätzte Betroffenheit
Gerade im deutschen Mittelstand herrscht häufig die Annahme: „NIS2 betrifft nur die Großen." Das ist ein gefährlicher Irrtum. Ein mittelständischer Maschinenbauer mit 80 Mitarbeitern und 15 Millionen Euro Jahresumsatz, der Komponenten für die Energie- oder Gesundheitsbranche fertigt, kann bereits als wichtige Einrichtung einzustufen sein. Gleiches gilt für IT-Dienstleister, die als Managed Service Provider für betroffene Einrichtungen tätig sind – auch wenn sie selbst nur 60 Mitarbeiter haben.
Das BSI schätzt, dass in Deutschland rund 29.000 Unternehmen unter NIS2 fallen. Zum Vergleich: Unter dem alten Recht waren es nur etwa 2.000 Betreiber kritischer Infrastrukturen. Die Ausweitung ist dramatisch – und viele Betroffene wissen noch immer nicht von ihrer Pflicht.
Fazit: Jetzt handeln, bevor das BSI anklopft
Die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 ist kein bürokratischer Selbstzweck. Sie ist der erste, unverzichtbare Schritt zu einer Cybersicherheitsstrategie, die den aktuellen Bedrohungslagen gerecht wird. Angesichts der Bußgeldrahmen aus §65 BSIG, der persönlichen Haftung der Geschäftsleitung nach §38 BSIG und der proaktiven Aufsichtspraxis des BSI gegenüber wesentlichen Einrichtungen ist Abwarten keine Option.
Ihre nächsten Schritte auf einen Blick:
- Sektorzugehörigkeit und Unternehmensgröße gegen Anlage 1/2 NIS2UmsuCG prüfen
- Einordnung als wesentliche oder wichtige Einrichtung dokumentieren
- BSI-Registrierung initiieren (§33 BSIG)
- Gap-Analyse zur NIS2-Compliance starten
- ISMS-Projekt aufsetzen oder bestehendes System anpassen
Nächste Schritte mit dem richtigen Tool
Die Komplexität der NIS2-Betroffenheitsprüfung und die anschließende Umsetzung der Compliance-Anforderungen lassen sich erheblich vereinfachen, wenn Sie auf eine dedizierte NIS2-Compliance-Software setzen. Moderne ISMS-Plattformen bieten integrierte Betroffenheitsprüfungen anhand der gesetzlichen Kriterien, automatisierte Lückenanalysen gegen §30 BSIG, vorgefertigte Dokumentationsvorlagen für Meldepflichten sowie ein strukturiertes Maßnahmenmanagement für Ihr gesamtes Team. Wenn Sie heute noch nicht wissen, ob Ihr Unternehmen betroffen ist, empfehlen wir: Starten Sie jetzt mit einem strukturierten digitalen Selbsttest – viele Anbieter stellen kostenlose Erstbewertungen bereit.
Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Compliance-Beratung. Für eine verbindliche Einschätzung wenden Sie sich an einen auf IT-Recht und Cybersicherheitsrecht spezialisierten Rechtsanwalt oder an akkreditierte BSI-IT-Sicherheitsdienstleister.