NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 01. Juni 2026 | Lesezeit: ca. 8 Minuten
Die NIS2-Richtlinie ist seit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) fester Bestandteil der deutschen Regulierungslandschaft. Dennoch herrscht in vielen Unternehmen noch immer Unsicherheit: Bin ich überhaupt betroffen? Diese Frage ist keine Formalität – sie entscheidet darüber, ob umfangreiche Sicherheitspflichten, Meldepflichten und Bußgeldrisiken in Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes auf Ihr Unternehmen zukommen. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 und darüber hinaus.
Was regelt §3 NIS2UmsuCG?
Der Anwendungsbereich des deutschen NIS2-Gesetzes ist in §3 NIS2UmsuCG definiert. Danach unterliegen dem Gesetz alle Einrichtungen, die:
- einer der in Anlage 1 (wesentliche Einrichtungen) oder Anlage 2 (wichtige Einrichtungen) genannten Sektoren angehören, und
- bestimmte Größenkriterien erfüllen – in der Regel mindestens 50 Mitarbeitende oder mindestens 10 Millionen Euro Jahresumsatz, sowie
- ihren Sitz oder wesentliche Tätigkeiten in Deutschland haben.
Ergänzend dazu können bestimmte Einrichtungen unabhängig von ihrer Größe erfasst sein – etwa kritische Infrastrukturbetreiber oder qualifizierte Vertrauensdiensteanbieter.
Welche Sektoren sind betroffen?
Anlage 1: Wesentliche Einrichtungen (hochkritische Sektoren)
Die Anlage 1 zum NIS2UmsuCG umfasst Sektoren, die als besonders kritisch für die öffentliche Sicherheit und wirtschaftliche Stabilität gelten:
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Fernwärme, Erdöl, Wasserstoff |
| Verkehr | Luftfahrt, Schienenverkehr, Schifffahrt, Straßenverkehr |
| Bankwesen | Kreditinstitute, Zahlungsdienstleister |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Pharmaunternehmen |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Abwasserentsorgungsbetriebe |
| Digitale Infrastruktur | Internet-Knoten, DNS-Dienste, TLD-Registries, Rechenzentrumsdienste, CDN, Cloud, Vertrauensdienste |
| IKT-Dienstleistungsmanagement (B2B) | Managed Service Provider (MSP), Managed Security Service Provider (MSSP) |
| Öffentliche Verwaltung | Bundesbehörden, Landesbehörden |
| Weltraum | Betreiber von Bodeninfrastruktur |
Anlage 2: Wichtige Einrichtungen
Wichtige Einrichtungen unterliegen weniger strengen Aufsichtspflichten, müssen aber ebenfalls Sicherheits- und Meldepflichten erfüllen:
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paket- und Briefdienstleister |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemische Industrie | Herstellung, Handel gefährlicher Stoffe |
| Lebensmittel | Großhändler, Lebensmittelverarbeiter |
| Verarbeitendes Gewerbe | Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen mit kritischer Bedeutung |
Wichtig: Auch Zulieferer und Dienstleister, die eng mit Unternehmen aus Anlage 1 oder 2 zusammenarbeiten, sollten ihre Lieferkettenposition kritisch prüfen – denn die NIS2-Pflichten erstrecken sich indirekt über Vertragsklauseln auf die gesamte Supply Chain.
Die Größenkriterien: Wer ist konkret betroffen?
Die Einstufung als wesentliche oder wichtige Einrichtung hängt maßgeblich von der Unternehmensgröße ab. Das NIS2UmsuCG orientiert sich dabei an der EU-Empfehlung 2003/361/EG zur Definition von Unternehmensgrößen:
| Kategorie | Mitarbeitende | Jahresumsatz ODER Jahresbilanzsumme |
|---|---|---|
| Wesentliche Einrichtung | ≥ 250 | > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme |
| Wichtige Einrichtung | ≥ 50 | > 10 Mio. € Umsatz oder > 10 Mio. € Bilanzsumme |
| Unabhängig von Größe | Beliebig | Beliebig (bei besonderer gesellschaftlicher Bedeutung) |
Sonderregelungen: Größenunabhängige Erfassung
Bestimmte Einrichtungen unterliegen dem NIS2UmsuCG unabhängig von ihrer Größe, wenn sie:
- als Betreiber kritischer Anlagen gemäß BSI-Kritisverordnung (BSI-KritisV) eingestuft sind,
- qualifizierte Vertrauensdiensteanbieter oder TLD-Registries betreiben,
- der öffentlichen Verwaltung auf Bundes- oder Landesebene angehören,
- als einziger Anbieter eines Dienstes in einem Mitgliedsstaat tätig sind.
Wesentliche vs. wichtige Einrichtungen: Der Unterschied in der Praxis
Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen ist nicht nur terminologisch – sie hat direkte Auswirkungen auf die Aufsichtsintensität und die Bußgeldrisiken:
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Aufsicht | Proaktiv (ex-ante) durch BSI | Reaktiv (ex-post) durch BSI |
| Regelmäßige Audits | Ja, obligatorisch | Nur bei konkretem Anlass |
| Meldepflichten | Identisch | Identisch |
| Sicherheitspflichten | Identisch | Identisch |
| Max. Bußgeld | 10 Mio. € oder 2 % Weltumsatz | 7 Mio. € oder 1,4 % Weltumsatz |
| Geschäftsführerhaftung | Ja (§38 NIS2UmsuCG) | Ja (§38 NIS2UmsuCG) |
Der Selbsttest: Fällt Ihr Unternehmen unter NIS2?
Gehen Sie diese Checkliste systematisch durch. Wenn Sie alle Fragen einer Stufe mit „Ja" beantworten, sind Sie betroffen.
Stufe 1: Sektorprüfung
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig?
- [ ] Sind die Tätigkeiten wesentlich – also kein untergeordnetes Nebengeschäft?
Stufe 2: Größenprüfung
- [ ] Beschäftigt mein Unternehmen 50 oder mehr Mitarbeitende (Vollzeitäquivalent)?
- [ ] Liegt der Jahresumsatz oder die Jahresbilanzsumme über 10 Millionen Euro?
Stufe 3: Geografische Zuordnung
- [ ] Hat mein Unternehmen seinen Sitz in Deutschland oder erbringt wesentliche Dienste für Nutzer in Deutschland?
Sonderprüfung (bei Verneinung von Stufe 1 oder 2)
- [ ] Bin ich als KRITIS-Betreiber nach BSI-KritisV eingestuft?
- [ ] Bin ich ein qualifizierter Vertrauensdiensteanbieter?
- [ ] Bin ich der einzige Anbieter eines systemrelevanten Dienstes in Deutschland?
Ergebnis: Wenn Sie mindestens Stufe 1 und 2 vollständig bejahen, sind Sie als wichtige Einrichtung eingestuft. Bei über 250 Mitarbeitenden und Überschreitung der entsprechenden Umsatzschwellen gelten Sie als wesentliche Einrichtung. Bei der Sonderprüfung ist eine Einzelfallbewertung erforderlich.
Konsequenzen bei Nichterfüllung: Das Bußgeldregime nach §65 BSIG
Wer trotz Betroffenheit die NIS2-Pflichten ignoriert, riskiert erhebliche Sanktionen. §65 BSIG (in der durch das NIS2UmsuCG novellierten Fassung) sieht folgende Bußgelder vor:
- Wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
- Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes.
Persönliche Haftung der Geschäftsführung
Ein besonders kritischer Punkt: Nach §38 NIS2UmsuCG haften Geschäftsführer und Vorstände persönlich für die Umsetzung der Cybersicherheitspflichten. Sie müssen:
- Risikomanagement-Maßnahmen genehmigen und deren Umsetzung überwachen,
- an Schulungen zu Cybersicherheitsthemen teilnehmen,
- bei Pflichtverstößen mit ihrem Privatvermögen haften.
Diese persönliche Haftungsregelung unterscheidet NIS2 fundamental von früheren IT-Sicherheitsgesetzen und ist ein starkes Signal des Gesetzgebers.
Was müssen betroffene Unternehmen konkret tun?
Wenn Ihre Betroffenheitsprüfung positiv ausfällt, sind folgende Maßnahmen verpflichtend:
1. Registrierungspflicht beim BSI
Betroffene Einrichtungen müssen sich beim BSI registrieren und grundlegende Angaben zur Organisation, zu den Diensten und zu den Ansprechpartnern für Cybersicherheit übermitteln.
2. Risikomanagement implementieren (§30 NIS2UmsuCG)
Ein dokumentiertes Informationssicherheits-Risikomanagementsystem (ISMS) ist Pflicht. Es muss folgende Bereiche abdecken:
- Risikoanalyse und Sicherheitskonzepte
- Incident Response und Business Continuity
- Supply-Chain-Sicherheit
- Schwachstellenmanagement und Patch-Management
- Kryptografie und Verschlüsselung
- Zugangskontrollen und Multi-Faktor-Authentifizierung
3. Meldepflichten beachten (§32 NIS2UmsuCG)
Erhebliche Sicherheitsvorfälle müssen dem BSI gemeldet werden:
- Innerhalb von 24 Stunden: Erste Frühwarnung
- Innerhalb von 72 Stunden: Vollständige Meldung mit Erstbewertung
- Nach einem Monat: Abschlussbericht mit detaillierter Analyse
4. Schulungen für Führungskräfte durchführen
Die Geschäftsleitung muss nachweislich in Cybersicherheitsthemen geschult werden – dokumentiert und regelmäßig wiederholt.
7 konkrete Handlungsempfehlungen für Ihr Unternehmen
-
Betroffenheitsprüfung dokumentieren: Führen Sie die Selbstprüfung schriftlich durch und bewahren Sie die Ergebnisse auf – auch eine negative Betroffenheitsfeststellung sollte begründet dokumentiert sein.
-
Sektorzuordnung präzisieren: Prüfen Sie nicht nur Ihren Hauptgeschäftsbereich, sondern alle wesentlichen Tätigkeiten Ihres Unternehmens anhand der Anlage 1 und 2.
-
Mitarbeiterzahl und Umsatz korrekt ermitteln: Berücksichtigen Sie Tochtergesellschaften und verbundene Unternehmen gemäß EU-KMU-Definition – Schwellenwerte können sich durch Unternehmensverflechtungen erhöhen.
-
BSI-Registrierung zeitnah durchführen: Registrieren Sie sich beim BSI-Portal für KRITIS-Betreiber und NIS2-Einrichtungen, sobald Ihre Betroffenheit feststeht.
-
GAP-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Anforderungen des §30 NIS2UmsuCG und identifizieren Sie Lücken.
-
Lieferantenverträge prüfen: Ergänzen Sie Verträge mit kritischen IT-Dienstleistern um NIS2-konforme Sicherheitsklauseln und Auskunftspflichten.
-
Geschäftsführung sensibilisieren: Informieren Sie die Unternehmensleitung über die persönliche Haftung nach §38 NIS2UmsuCG und initiieren Sie entsprechende Schulungsmaßnahmen.
Fazit: Handeln, bevor das BSI anklopft
Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck – sie ist der erste und entscheidende Schritt zur Rechtssicherheit und zur echten Resilienz Ihres Unternehmens. Wer 2026 noch immer nicht weiß, ob er unter §3 NIS2UmsuCG fällt, riskiert nicht nur empfindliche Bußgelder nach §65 BSIG, sondern auch die persönliche Haftung der Geschäftsführung.
Ihre nächsten Schritte auf einen Blick:
- ✅ Selbsttest aus diesem Artikel schriftlich durchführen und dokumentieren
- ✅ Sektorzuordnung anhand Anlage 1 und Anlage 2 prüfen
- ✅ Mitarbeiterzahl und Umsatzschwellen prüfen
- ✅ Bei Betroffenheit: BSI-Registrierung einleiten
- ✅ GAP-Analyse starten und ISMS aufbauen oder aktualisieren
- ✅ Geschäftsführung informieren und schulen
Ihr nächster Schritt: Betroffenheit digital prüfen und ISMS aufbauen
Die manuelle Prüfung nach diesem Leitfaden ist ein guter Anfang – aber für eine rechtssichere, vollständige Compliance-Dokumentation empfiehlt sich der Einsatz spezialisierter NIS2-Compliance-Software. Moderne ISMS-Plattformen führen Sie strukturiert durch die Betroffenheitsprüfung, helfen bei der Erstellung aller erforderlichen Richtlinien- und Prozessdokumente (Risikoanalyse, Meldeprozesse, Business-Continuity-Pläne) und liefern prüfungssichere Nachweise für das BSI. Viele Lösungen bieten darüber hinaus integrierte Schulungsmodule speziell für Führungskräfte – damit auch die persönliche Haftungspflicht nach §38 NIS2UmsuCG abgesichert ist. Eine solche Software ist kein Luxus, sondern in einem zunehmend regulierten Umfeld ein unverzichtbares Werkzeug für IT-Verantwortliche und Geschäftsführer gleichermaßen.
Quellen: BSI (Bundesamt für Sicherheit in der Informationstechnik), NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), BSIG in der novellierten Fassung, ENISA Threat Landscape 2024, EU-Richtlinie 2022/2555 (NIS2), EU-Empfehlung 2003/361/EG (KMU-Definition)