NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 05. Juni 2026 | Lesedauer: ca. 8 Minuten

Die NIS2-Richtlinie der Europäischen Union und ihre deutsche Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) haben die Landschaft der IT-Sicherheitspflichten in Deutschland grundlegend verändert. Doch eine Frage beschäftigt IT-Verantwortliche und Geschäftsführer nach wie vor: Betrifft mich das überhaupt?

Die Antwort ist komplexer als viele denken. Wer sich zu früh in Sicherheit wiegt oder die eigene Betroffenheit falsch einschätzt, riskiert empfindliche Bußgelder nach §65 BSIG — in Einzelfällen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland und gibt Ihnen konkrete Handlungsempfehlungen für 2025 und darüber hinaus.

Was regelt §3 NIS2UmsuCG und warum ist er so wichtig?

Der §3 NIS2UmsuCG definiert den persönlichen Anwendungsbereich der deutschen NIS2-Umsetzung. Er legt fest, welche Einrichtungen als „wesentlich" oder „wichtig" eingestuft werden und damit den Pflichten des Gesetzes unterliegen. Maßgeblich sind dabei drei Kriterien, die kumulativ oder alternativ erfüllt sein können:

  1. Sektorzugehörigkeit (Anlage 1 oder Anlage 2 des NIS2UmsuCG)
  2. Größenkriterien (Mitarbeiterzahl und/oder Jahresumsatz/-bilanzsumme)
  3. Besondere Relevanz (z. B. als Kritische Infrastruktur oder aufgrund nationaler Bedeutung)

Wer alle drei Aspekte nicht sorgfältig prüft, kann zu falschen Schlüssen kommen — in beide Richtungen. Sowohl unnötige Compliance-Aufwände als auch das Verpassen echter Pflichten sind kostspielig.

Welche Sektoren sind betroffen? Anlage 1 vs. Anlage 2

Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien von regulierten Sektoren, die in Anlage 1 und Anlage 2 des Gesetzes aufgeführt sind.

Anlage 1 — Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Diese Sektoren gelten als besonders kritisch und beherbergen in der Regel wesentliche Einrichtungen:

  • Energie (Strom, Gas, Wärme, Öl, Wasserstoff)
  • Verkehr (Luft, Bahn, Schiff, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS-Dienste, TLD-Registries, Rechenzentren, Cloud-Anbieter)
  • IKT-Dienstemanagement (Managed Service Provider, Managed Security Service Provider)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2 — Sonstige kritische Sektoren (wichtige Einrichtungen)

Hier finden sich Sektoren, die ebenfalls reguliert sind, jedoch unter erleichterten Aufsichtsbedingungen stehen:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemikalien
  • Lebensmittel
  • Herstellung (u. a. Medizinprodukte, Maschinen, Fahrzeuge, Elektronik)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Wichtig: Allein die Sektorzugehörigkeit reicht nicht. Zusätzlich müssen die Größenkriterien erfüllt sein — mit wenigen Ausnahmen.

Die Größenkriterien: 50 Mitarbeiter und 10 Millionen Euro

Die Größenschwelle ist der zweite Schlüsselfaktor der NIS2-Betroffenheitsprüfung. Grundsätzlich gilt:

Kategorie Mitarbeiter Jahresumsatz ODER Jahresbilanzsumme
Mittleres Unternehmen (Mindestgröße) ≥ 50 ≥ 10 Mio. €
Großes Unternehmen ≥ 250 ≥ 50 Mio. € Umsatz ODER ≥ 43 Mio. € Bilanzsumme
Kleinst- und Kleinunternehmen < 50 < 10 Mio. €

Unternehmen mit weniger als 50 Mitarbeitern und unter 10 Millionen Euro Jahresumsatz sind grundsätzlich ausgenommen — es sei denn, sie fallen unter eine der gesetzlich definierten Ausnahmen (z. B. alleiniger Anbieter eines kritischen Dienstes in einem Mitgliedstaat, oder explizite Benennung durch die zuständige Behörde).

Achtung: Verbundene Unternehmen

Bei der Berechnung der Mitarbeiterzahl und des Umsatzes sind verbundene Unternehmen und Partnerunternehmen gemäß der EU-KMU-Definition einzubeziehen. Ein Tochterunternehmen mit 30 Mitarbeitern kann also trotzdem betroffen sein, wenn die Muttergesellschaft die Schwellenwerte überschreitet.

Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?

Die Unterscheidung zwischen wesentlichen Einrichtungen (Essential Entities, EE) und wichtigen Einrichtungen (Important Entities, IE) ist nicht nur terminologisch bedeutsam — sie bestimmt die Intensität der Aufsicht und die Höhe möglicher Bußgelder.

Wesentliche Einrichtungen

  • Große Unternehmen aus Anlage-1-Sektoren
  • Mittlere Unternehmen in bestimmten Anlage-1-Sektoren (z. B. Digitale Infrastruktur, qualifizierte Vertrauensdiensteanbieter, TLD-Registries)
  • Unterliegen proaktiver Aufsicht durch das BSI
  • Maximales Bußgeld: 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

Wichtige Einrichtungen

  • Große Unternehmen aus Anlage-2-Sektoren
  • Mittlere Unternehmen aus Anlage-1- und Anlage-2-Sektoren (soweit nicht wesentlich)
  • Unterliegen reaktiver Aufsicht (BSI wird in der Regel erst bei Vorfällen oder Hinweisen tätig)
  • Maximales Bußgeld: 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Die Pflichten selbst — Risikomanagement, Meldepflichten, Sicherheitsmaßnahmen — sind für beide Kategorien weitgehend identisch. Der Unterschied liegt primär in der Kontrollintensität.

Selbsttest: Fällt Ihr Unternehmen unter NIS2?

Nutzen Sie diese strukturierte Checkliste für eine erste Einschätzung Ihrer Betroffenheit:

Schritt 1: Sektorzugehörigkeit prüfen

  • [ ] Ist Ihr Unternehmen in einem der Sektoren aus Anlage 1 tätig?
  • [ ] Ist Ihr Unternehmen in einem der Sektoren aus Anlage 2 tätig?
  • [ ] Erbringen Sie digitale Dienste (Cloud, Rechenzentrum, Managed Services)?

➡️ Nein zu allen Punkten? Wahrscheinlich nicht betroffen. Trotzdem weiter prüfen (Lieferkette!).

Schritt 2: Größenkriterien prüfen

  • [ ] Beschäftigt Ihr Unternehmen (inkl. verbundene Unternehmen) 50 oder mehr Mitarbeiter?
  • [ ] Liegt der Jahresumsatz oder die Bilanzsumme bei 10 Millionen Euro oder mehr?

➡️ Beides mit Nein beantwortet? Grundsätzlich ausgenommen — außer Sie sind alleiniger kritischer Anbieter.

Schritt 3: Sonderregelungen prüfen

  • [ ] Sind Sie der einzige Anbieter eines essenziellen Dienstes in Deutschland?
  • [ ] Wurden Sie explizit durch das BSI oder eine andere Behörde als kritisch eingestuft?
  • [ ] Sind Sie ein qualifizierter Vertrauensdiensteanbieter oder DNS-Dienst?

➡️ Mindestens ein Ja? Dann sind Sie betroffen, unabhängig von der Unternehmensgröße.

Schritt 4: Lieferketten-Check

  • [ ] Sind Sie wesentlicher Zulieferer oder Dienstleister für ein NIS2-betroffenes Unternehmen?
  • [ ] Fordern Ihre Kunden NIS2-Nachweise oder Sicherheitszertifikate?

➡️ Formal vielleicht nicht direkt betroffen, aber de facto reguliert — über vertragliche Anforderungen Ihrer Kunden.

Konsequenzen bei Nichterfüllung: Bußgelder nach §65 BSIG

Die finanziellen Risiken einer NIS2-Nichterfüllung sind erheblich und sollten kein Unternehmen unterschätzen. §65 BSIG sieht folgende Sanktionen vor:

Einrichtungstyp Maximales Bußgeld
Wesentliche Einrichtungen 10.000.000 € oder 2 % des weltweiten Jahresumsatzes
Wichtige Einrichtungen 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes

Darüber hinaus sieht das Gesetz vor, dass Geschäftsführer und Vorstände persönlich haftbar gemacht werden können, wenn sie ihre Aufsichtspflichten verletzt haben. Das BSI kann bei wesentlichen Einrichtungen zudem im Wiederholungsfall Leitungspersonen vorübergehend von ihren Aufgaben entbinden — eine drastische Maßnahme, die den Ernst der Lage unterstreicht.

Bußgelder werden nicht nur bei Sicherheitsvorfällen verhängt, sondern bereits bei:
- Versäumten Registrierungspflichten beim BSI
- Nicht fristgerechter Meldung von Sicherheitsvorfällen (innerhalb von 24 Stunden Erstmeldung, 72 Stunden Folgemeldung)
- Fehlendem Risikomanagement oder fehlender Dokumentation
- Mangelhafte Umsetzung der technischen und organisatorischen Mindestmaßnahmen

7 konkrete Handlungsempfehlungen für betroffene Unternehmen

Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, empfehlen wir folgende priorisierte Schritte:

  1. Betroffenheit dokumentieren: Halten Sie schriftlich fest, auf welcher Grundlage (Sektor, Größe, Sonderregelung) Sie betroffen sind. Dies ist Grundlage für alle weiteren Maßnahmen.

  2. Beim BSI registrieren: Wesentliche und wichtige Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Nutzen Sie dazu das BSI-Portal und halten Sie Fristen ein.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre bestehenden Sicherheitsmaßnahmen mit den Anforderungen des §30 BSIG (technische und organisatorische Maßnahmen). Identifizieren Sie Lücken systematisch.

  4. ISMS aufbauen oder anpassen: Implementieren Sie ein Informationssicherheits-Managementsystem nach ISO/IEC 27001 oder einem äquivalenten Standard. NIS2 schreibt kein spezifisches Framework vor, aber ISO 27001 ist der de-facto-Standard.

  5. Meldeprozesse etablieren: Definieren Sie klare interne Prozesse für die Erkennung, Bewertung und Meldung von Sicherheitsvorfällen. Die 24-Stunden-Frist für Erstmeldungen ist eng.

  6. Lieferkette einbeziehen: Prüfen Sie Ihre wichtigsten Lieferanten und Dienstleister auf Sicherheitsstandards. NIS2 fordert explizit das Management von Lieferkettenrisiken.

  7. Management sensibilisieren und schulen: Die Geschäftsführung muss NIS2-Maßnahmen nicht nur genehmigen, sondern aktiv überwachen. Regelmäßige Schulungen sind Pflicht — und können im Ernstfall die persönliche Haftung mindern.

Fazit: Jetzt handeln, nicht abwarten

Die NIS2-Betroffenheitsprüfung ist kein einmaliger Akt, sondern ein kontinuierlicher Prozess. Unternehmen wachsen, Sektordefinitionen werden präzisiert, und das BSI konkretisiert seine Auslegungen laufend. Wer heute sorgfältig prüft und dokumentiert, ist morgen besser aufgestellt — und im Ernstfall auch gegenüber Aufsichtsbehörden.

Ihre nächsten Schritte auf einen Blick:

  • Betroffenheit anhand von Sektor und Größe prüfen (§3 NIS2UmsuCG)
  • Einrichtungstyp (wesentlich vs. wichtig) bestimmen
  • Registrierung beim BSI anstoßen
  • Gap-Analyse und Maßnahmenplan aufsetzen
  • Lieferkette und Managementebene einbinden

So unterstützen Sie digitale Compliance-Tools bei der NIS2-Umsetzung

Die manuelle Verwaltung aller NIS2-Anforderungen — von der Erstregistrierung über das Risikomanagement bis zur Vorfallsdokumentation — ist aufwändig und fehleranfällig. Spezialisierte ISMS- und NIS2-Compliance-Softwarelösungen können Ihnen dabei helfen, die Betroffenheitsprüfung strukturiert durchzuführen, relevante Dokumente automatisch zu generieren, Fristen zu überwachen und Nachweise für BSI-Prüfungen revisionssicher zu archivieren. Viele Anbieter bieten Vorlagen für Richtlinien, Risikoregister und Meldeprozesse, die speziell auf die Anforderungen des NIS2UmsuCG zugeschnitten sind. Ein solches Tool ist kein Ersatz für fachkundige Beratung — aber ein wirksamer Hebel, um den Compliance-Aufwand dauerhaft beherrschbar zu halten und Ihre Organisation für BSI-Audits vorzubereiten.

Dieser Artikel wurde sorgfältig auf Basis der geltenden Rechtslage zum 05. Juni 2026 erstellt. Er ersetzt keine Rechtsberatung im Einzelfall. Bei spezifischen Fragen zur NIS2-Betroffenheit empfehlen wir die Konsultation eines auf IT-Recht spezialisierten Anwalts oder die direkte Kontaktaufnahme mit dem BSI.