NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 04. Juni 2026 | Lesezeit: ca. 8 Minuten

Die NIS2-Richtlinie der Europäischen Union ist seit ihrer nationalen Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht überführt worden – und betrifft weit mehr Unternehmen, als viele Geschäftsführer zunächst annehmen. Schätzungen des BSI zufolge fallen in Deutschland rund 29.000 bis 40.000 Unternehmen in den Anwendungsbereich der Richtlinie. Trotzdem haben Stand heute noch viele Betroffene ihre NIS2-Pflichten nicht vollständig erfüllt.

In diesem Artikel erfahren Sie, wie Sie systematisch prüfen, ob Ihr Unternehmen unter NIS2 fällt, welche Pflichten damit verbunden sind – und welche Konsequenzen drohen, wenn Sie die Anforderungen ignorieren.

Was ist die NIS2-Richtlinie und warum ist sie relevant?

NIS2 steht für „Network and Information Security Directive 2" – die überarbeitete EU-Richtlinie zur Cybersicherheit kritischer und wichtiger Infrastrukturen (Richtlinie (EU) 2022/2555). Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich. In Deutschland wurde sie durch das NIS2UmsuCG in nationales Recht umgesetzt, das zentrale Anforderungen im BSI-Gesetz (BSIG) verankert.

Der Ausgangspunkt für die Betroffenheitsprüfung ist § 3 NIS2UmsuCG in Verbindung mit den Anlagen 1 und 2 des Gesetzes. Diese definieren, welche Sektoren und Einrichtungstypen erfasst sind – und unter welchen Bedingungen ein Unternehmen als wesentliche oder wichtige Einrichtung eingestuft wird.

Schritt 1: Fällt Ihr Sektor unter NIS2?

Das erste Kriterium der NIS2-Betroffenheitsprüfung ist die Sektorzugehörigkeit. Die Anlagen 1 und 2 des NIS2UmsuCG unterscheiden zwischen hochkritischen Sektoren (Anlage 1) und sonstigen kritischen Sektoren (Anlage 2).

Anlage 1 – Hochkritische Sektoren

Sektor Beispiele
Energie Strom, Gas, Fernwärme, Öl, Wasserstoff
Verkehr Luftfahrt, Schiene, Schifffahrt, Straßenverkehr
Bankwesen Kreditinstitute
Finanzmarktinfrastrukturen Handelsplätze, zentrale Gegenparteien
Gesundheit Krankenhäuser, Labore, Pharmahersteller
Trinkwasser Wasserversorgung und -verteilung
Abwasser Abwasserentsorgung
Digitale Infrastruktur DNS-Anbieter, TLD-Register, Cloud-Dienste, Rechenzentren
IT-Dienstleistungen (B2B) Managed Security Services, IT-Outsourcing
Weltraum Betreiber von Bodeninfrastrukturen
Öffentliche Verwaltung Bundesbehörden, Landesbehörden

Anlage 2 – Sonstige kritische Sektoren

Sektor Beispiele
Post- und Kurierdienste Paketdienstleister
Abfallbewirtschaftung Entsorgungsunternehmen
Chemie Herstellung und Vertrieb chemischer Stoffe
Lebensmittel Verarbeitung und Vertrieb
Verarbeitendes Gewerbe Medizinprodukte, Maschinenbau, Kfz, Elektronik
Digitale Dienste Online-Marktplätze, Suchmaschinen, soziale Netzwerke
Forschung Forschungseinrichtungen

Wichtig: Allein die Sektorzugehörigkeit genügt nicht. Es müssen zusätzlich die Größenkriterien erfüllt sein – mit wenigen Ausnahmen.

Schritt 2: Erfüllen Sie die Größenkriterien?

Gemäß § 3 NIS2UmsuCG gelten die Anforderungen grundsätzlich für Unternehmen, die mindestens zwei der drei folgenden Kriterien erfüllen:

  • ≥ 50 Mitarbeitende (Vollzeitäquivalente)
  • ≥ 10 Millionen Euro Jahresumsatz
  • ≥ 10 Millionen Euro Jahresbilanzsumme

Dies entspricht der EU-Definition eines mittleren Unternehmens und darüber. Kleinunternehmen und Kleinstunternehmen sind in der Regel ausgenommen – es sei denn, sie erfüllen Sonderregelungen (dazu weiter unten mehr).

Ausnahmen von der Größenregel

In bestimmten Fällen greift NIS2 unabhängig von der Unternehmensgröße:

  • Kritische Infrastrukturen (KRITIS): Unternehmen, die bereits nach dem bisherigen KRITIS-Regime als Betreiber kritischer Infrastruktur eingestuft sind.
  • Vertrauensdiensteanbieter und TLD-Registries: Unabhängig von der Größe erfasst.
  • Anbieter öffentlicher elektronischer Kommunikationsnetze: Ebenfalls ohne Größenschwelle.
  • Einziger Anbieter in einem Mitgliedstaat: Wenn ein kleines Unternehmen der einzige Anbieter eines kritischen Dienstes in Deutschland ist, kann es trotzdem einbezogen werden.
  • Besondere Systemrelevanz: Das BSI kann im Einzelfall auch kleinere Unternehmen einbeziehen, wenn deren Ausfall schwerwiegende Auswirkungen hätte.

Schritt 3: Wesentliche oder wichtige Einrichtung?

Nicht alle betroffenen Unternehmen haben dieselben Pflichten. NIS2 unterscheidet zwischen zwei Kategorien mit unterschiedlich strengen Anforderungen und Bußgeldrahmen:

Wesentliche Einrichtungen (Essential Entities)

Als wesentliche Einrichtung gilt ein Unternehmen, wenn es:

  • In einem Sektor der Anlage 1 tätig ist und
  • Die Größenschwelle eines Großunternehmens überschreitet (≥ 250 Mitarbeitende, ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme) oder
  • Als KRITIS-Betreiber eingestuft ist.

Wesentliche Einrichtungen unterliegen der aktiven Aufsicht durch das BSI – das bedeutet proaktive Überprüfungen, auch ohne konkreten Anlassfall.

Wichtige Einrichtungen (Important Entities)

Als wichtige Einrichtung gilt ein Unternehmen, wenn es:

  • In einem Sektor der Anlage 1 oder 2 tätig ist,
  • Die allgemeinen Größenkriterien erfüllt (≥ 50 MA, ≥ 10 Mio. €),
  • Aber nicht als wesentliche Einrichtung eingestuft ist.

Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht – das BSI wird in der Regel nur bei Vorfällen oder Beschwerden aktiv.

Selbsttest: Bin ich von NIS2 betroffen?

Nutzen Sie diese kompakte Checkliste für eine erste Einschätzung:

Checkliste NIS2-Betroffenheit (Stand: 2026)

  • [ ] Mein Unternehmen ist in einem der Sektoren aus Anlage 1 oder Anlage 2 tätig.
  • [ ] Mein Unternehmen beschäftigt mindestens 50 Mitarbeitende.
  • [ ] Mein Jahresumsatz oder meine Bilanzsumme beträgt mindestens 10 Millionen Euro.
  • [ ] Mein Unternehmen erbringt kritische Dienste in Deutschland (auch als Zulieferer).
  • [ ] Mein Unternehmen ist bereits als KRITIS-Betreiber registriert.

Auswertung:
- 3 oder mehr Häkchen: Hohe Wahrscheinlichkeit der Betroffenheit – umgehend NIS2-Compliance-Prüfung einleiten.
- 1–2 Häkchen: Mögliche Betroffenheit – individuelle rechtliche Prüfung empfehlenswert.
- 0 Häkchen: Aktuell wahrscheinlich nicht direkt betroffen – regelmäßige Überprüfung dennoch ratsam.

Hinweis: Auch wenn Ihr Unternehmen selbst nicht direkt unter NIS2 fällt, können Sie als Zulieferer oder Dienstleister für eine betroffene Einrichtung indirekt verpflichtet sein, bestimmte Sicherheitsanforderungen zu erfüllen – über entsprechende Vertragsklauseln Ihrer Kunden.

Welche Pflichten entstehen bei Betroffenheit?

Wer unter NIS2 fällt, muss eine Reihe verbindlicher Maßnahmen umsetzen. Die wichtigsten im Überblick:

  1. Registrierung beim BSI (§ 33 BSIG): Betroffene Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik registrieren.
  2. Risikoanalyse und Informationssicherheitsmaßnahmen (§ 30 BSIG): Technische und organisatorische Maßnahmen entsprechend dem Stand der Technik, darunter Zugangskontrolle, Verschlüsselung, Notfallmanagement.
  3. Meldepflicht bei Sicherheitsvorfällen (§ 32 BSIG): Erhebliche Sicherheitsvorfälle müssen binnen 24 Stunden (Erstmeldung) und 72 Stunden (detaillierter Bericht) an das BSI gemeldet werden.
  4. Supply-Chain-Sicherheit (§ 30 Abs. 2 Nr. 4 BSIG): Sicherheitsanforderungen müssen auf Lieferanten und Dienstleister ausgeweitet werden.
  5. Schulungen für Geschäftsleitungen (§ 38 BSIG): Führungskräfte haften persönlich und müssen nachweislich für Cybersicherheit sensibilisiert werden.
  6. Regelmäßige Sicherheitsaudits: Überprüfung der implementierten Maßnahmen durch interne oder externe Audits.

Konsequenzen bei Nichterfüllung: Bußgelder nach § 65 BSIG

Die Konsequenzen bei Verstößen gegen NIS2-Pflichten sind erheblich und sollten keinesfalls unterschätzt werden. § 65 BSIG sieht folgende Bußgeldrahmen vor:

Einrichtungstyp Maximales Bußgeld
Wesentliche Einrichtungen 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
Wichtige Einrichtungen 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)

Neben den finanziellen Strafen drohen:

  • Persönliche Haftung der Geschäftsleitung (§ 38 BSIG): Geschäftsführer und Vorstände können für Verstöße persönlich haftbar gemacht werden – auch ohne den Nachweis eines konkreten Schadens.
  • Zwangsweise Außerbetriebnahme von Systemen: Bei wesentlichen Einrichtungen kann das BSI im Extremfall Systeme abschalten lassen.
  • Reputationsschäden: Vorfälle und Bußgelder können nach § 32a BSIG veröffentlicht werden.

5 konkrete Handlungsempfehlungen für betroffene Unternehmen

Wenn Sie nach dieser Prüfung zu dem Schluss kommen, dass Ihr Unternehmen unter NIS2 fällt, sollten Sie die folgenden Schritte priorisieren:

  1. Betroffenheit offiziell dokumentieren: Erstellen Sie eine schriftliche Analyse auf Basis von § 3 NIS2UmsuCG, die Ihre Sektorzugehörigkeit, Unternehmensgröße und Einstufung (wesentlich/wichtig) festhält. Diese Dokumentation ist Ausgangspunkt aller weiteren Maßnahmen.

  2. Registrierung beim BSI einleiten: Nutzen Sie das BSI-Portal für die Registrierung. Die Frist ist abgelaufen – jede weitere Verzögerung erhöht das Bußgeldrisiko.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen des § 30 BSIG. Wo bestehen Lücken? Priorisieren Sie Maßnahmen nach Risiko.

  4. Meldeprozesse implementieren: Stellen Sie sicher, dass Sie in der Lage sind, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden zu identifizieren und an das BSI zu melden. Definieren Sie intern Verantwortlichkeiten und Eskalationspfade.

  5. Lieferkette prüfen und absichern: Fordern Sie von Ihren wichtigsten IT-Dienstleistern und Zulieferern Nachweise über deren Sicherheitsstandards ein. Passen Sie Verträge entsprechend an.

Fazit: Jetzt handeln, bevor es zu spät ist

Die NIS2-Betroffenheitsprüfung ist kein bürokratischer Selbstzweck – sie ist der erste, entscheidende Schritt zur Compliance und zum Schutz Ihrer Unternehmensinfrastruktur. Unternehmen in Deutschland, die in den Anwendungsbereich des NIS2UmsuCG fallen und ihre Pflichten noch nicht erfüllt haben, bewegen sich in einer Zone erheblichen rechtlichen und finanziellen Risikos.

Ihre nächsten Schritte zusammengefasst:

  • ✅ Sektorzugehörigkeit anhand Anlage 1 und 2 des NIS2UmsuCG prüfen
  • ✅ Größenkriterien (≥ 50 MA, ≥ 10 Mio. € Umsatz/Bilanz) verifizieren
  • ✅ Einstufung als wesentliche oder wichtige Einrichtung festlegen
  • ✅ Registrierung beim BSI vornehmen
  • ✅ Gap-Analyse und Maßnahmenplan erstellen
  • ✅ Geschäftsleitung schulen und Haftungsrisiken minimieren

Tools für Ihre NIS2-Compliance

Eine strukturierte NIS2-Betroffenheitsprüfung und die anschließende Umsetzung der gesetzlichen Anforderungen lassen sich erheblich effizienter gestalten, wenn Sie auf spezialisierte Compliance-Software zurückgreifen. Moderne ISMS- und NIS2-Compliance-Plattformen unterstützen Sie dabei, die Betroffenheit zu dokumentieren, Risikoanalysen zu erstellen, Maßnahmenpläne zu verwalten, Meldeprozesse abzubilden und Nachweise für Audits vorzuhalten – alles in einem zentralen System. Suchen Sie nach Lösungen, die explizit auf die Anforderungen des NIS2UmsuCG und des BSIG zugeschnitten sind und eine revisionssichere Dokumentation ermöglichen.

Quellen: BSI-Gesetz (BSIG), NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), Richtlinie (EU) 2022/2555, ENISA NIS2 Implementation Guidance 2024, BSI-Grundschutz-Kompendium 2025.