NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 06. Juni 2026 | Lesezeit: ca. 8 Minuten

Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer zentralen Frage: Bin ich überhaupt betroffen? Viele Geschäftsführer und IT-Verantwortliche unterschätzen die Reichweite der Richtlinie – und riskieren damit empfindliche Bußgelder. Dieser Artikel führt Sie Schritt für Schritt durch die NIS2-Betroffenheitsprüfung und erklärt, welche Konsequenzen drohen, wenn Sie die Anforderungen ignorieren.

Was regelt §3 NIS2UmsuCG – und warum ist er so relevant?

Der zentrale Paragraf für die Betroffenheitsprüfung ist §3 NIS2UmsuCG, der den persönlichen Anwendungsbereich des Gesetzes definiert. Er legt fest, welche Einrichtungen als wesentliche oder wichtige Einrichtungen eingestuft werden und damit den umfassenden Pflichten des Gesetzes unterliegen.

Die Norm setzt die europäische NIS2-Richtlinie (EU 2022/2555) in deutsches Recht um und erweitert den bisherigen Anwendungsbereich der NIS1-Richtlinie erheblich. Statt wie bisher nur wenige kritische Infrastrukturbetreiber zu erfassen, zieht NIS2 den Kreis deutlich weiter: Schätzungsweise 29.000 bis 40.000 Unternehmen allein in Deutschland sind potenziell betroffen – viele davon sind sich dessen noch immer nicht bewusst.

Die drei Prüfdimensionen der NIS2-Betroffenheit

Um festzustellen, ob Ihr Unternehmen unter die NIS2-Pflichten fällt, müssen Sie drei Dimensionen überprüfen:

  1. Sektor-Zugehörigkeit (Anlage 1 oder Anlage 2 NIS2UmsuCG)
  2. Unternehmensgröße (Mitarbeiterzahl und Jahresumsatz/-bilanzsumme)
  3. Sonderregelungen (unabhängig von Größe und Sektor)

Alle drei Kriterien müssen zusammen betrachtet werden. Allein die Sektorzugehörigkeit reicht in den meisten Fällen nicht aus – die Größenkriterien sind entscheidend.

Schritt 1: Sektor-Check – Anlage 1 und Anlage 2 im Überblick

Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien von Sektoren:

Anlage 1: Sektoren mit hoher Kritikalität (wesentliche Einrichtungen)

Diese Sektoren gelten als besonders systemrelevant. Einrichtungen hier unterliegen den strengsten Anforderungen:

  • Energie (Strom, Gas, Fernwärme, Öl, Wasserstoff)
  • Verkehr (Luft, Bahn, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharma)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD, Rechenzentren, Cloud)
  • IKT-Dienste (Managed Services, Managed Security Services)
  • Weltraum (Betreiber von Bodeninfrastruktur)
  • Öffentliche Verwaltung (Bundes- und Landesebene)

Anlage 2: Sonstige kritische Sektoren (wichtige Einrichtungen)

Diese Sektoren werden als wichtig, aber weniger kritisch eingestuft. Die Pflichten sind geringfügig weniger streng, aber immer noch substanziell:

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe / Herstellung von Waren (u. a. Medizinprodukte, Maschinenbau, Fahrzeuge, Elektronik)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Praxistipp: Viele mittelständische Produktionsunternehmen sind überrascht, dass sie über Anlage 2 in den Geltungsbereich fallen. Prüfen Sie Ihre NACE-Wirtschaftsklassifikation sorgfältig.

Schritt 2: Größenkriterien – Ab wann gilt NIS2?

Selbst wenn Ihr Unternehmen in einem der genannten Sektoren tätig ist, greift NIS2 grundsätzlich erst ab einer bestimmten Unternehmensgröße. Die Schwellenwerte orientieren sich an der EU-Definition für kleine, mittlere und große Unternehmen:

Unternehmensgröße Mitarbeiter Jahresumsatz ODER Jahresbilanzsumme NIS2-relevant?
Kleinstunternehmen < 10 ≤ 2 Mio. € In der Regel nein
Kleinunternehmen 10–49 ≤ 10 Mio. € In der Regel nein
Mittleres Unternehmen 50–249 ≤ 50 Mio. € / ≤ 43 Mio. € Bilanz Ja (wichtige Einrichtung)
Großunternehmen ≥ 250 > 50 Mio. € / > 43 Mio. € Bilanz Ja (ggf. wesentliche Einrichtung)

Die Mindestgrenze liegt bei 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanzsumme von mindestens 10 Millionen Euro.

Wichtige Ausnahmen: Wer fällt unabhängig von der Größe unter NIS2?

§3 NIS2UmsuCG sieht Sonderregelungen vor, nach denen bestimmte Einrichtungen unabhängig von ihrer Größe als wesentliche Einrichtungen gelten:

  • Betreiber kritischer Anlagen nach §28 BSIG (bisherige KRITIS-Betreiber)
  • Qualifizierte Vertrauensdiensteanbieter und DNS-Diensteanbieter
  • TLD-Namenregister und Anbieter öffentlicher Telekommunikationsnetze
  • Einrichtungen der Bundesverwaltung
  • Einrichtungen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte (sog. kritische Einrichtungen nach §28 Abs. 1 BSIG)

Schritt 3: Wesentliche vs. wichtige Einrichtungen – Was ist der Unterschied?

Die Einstufung als wesentliche Einrichtung (Essential Entity, EE) oder wichtige Einrichtung (Important Entity, IE) hat direkte Auswirkungen auf die Intensität der Aufsicht und die Höhe möglicher Bußgelder.

Wesentliche Einrichtungen (§3 Abs. 1 NIS2UmsuCG)

  • Große Unternehmen aus Anlage 1
  • Mittlere Unternehmen aus ausgewählten Anlage-1-Sektoren (z. B. digitale Infrastruktur)
  • Besonders systemrelevante Einrichtungen unabhängig von der Größe
  • Aufsicht: proaktiv, anlassnachunabhängige Kontrollen durch das BSI möglich
  • Bußgeld bei Verstoß: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (§65 BSIG)

Wichtige Einrichtungen (§3 Abs. 2 NIS2UmsuCG)

  • Mittlere und große Unternehmen aus Anlage 1 und 2, die nicht als wesentlich eingestuft sind
  • Aufsicht: reaktiv, anlassbasierte Kontrollen
  • Bußgeld bei Verstoß: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (§65 BSIG)

Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?

Beantworten Sie die folgenden Fragen, um eine erste Einschätzung zu erhalten:

Frage 1 – Sektor: Ist Ihr Unternehmen in einem der in Anlage 1 oder Anlage 2 des NIS2UmsuCG genannten Sektoren tätig?
- ☐ Ja → weiter zu Frage 2
- ☐ Nein → wahrscheinlich nicht betroffen (Ausnahmen prüfen)

Frage 2 – Mitarbeiterzahl: Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter?
- ☐ Ja → weiter zu Frage 3
- ☐ Nein → wahrscheinlich nicht betroffen (Sonderregeln prüfen)

Frage 3 – Umsatz/Bilanz: Liegt Ihr Jahresumsatz oder Ihre Jahresbilanzsumme bei 10 Millionen Euro oder mehr?
- ☐ Ja → Sie sind wahrscheinlich betroffen → weiter zu Frage 4
- ☐ Nein → wahrscheinlich nicht betroffen

Frage 4 – Einrichtungstyp: Haben Sie mehr als 250 Mitarbeiter oder einen Umsatz über 50 Mio. €, oder betreiben Sie kritische Infrastruktur nach §28 BSIG?
- ☐ Ja → Wesentliche Einrichtung (höhere Anforderungen)
- ☐ Nein → Wichtige Einrichtung (Standardanforderungen)

Hinweis: Dieser Selbsttest ersetzt keine rechtliche Prüfung. Bei Unsicherheiten empfehlen sich eine juristische Beratung sowie die Nutzung der offiziellen BSI-Orientierungshilfen.

Konsequenzen bei Nichterfüllung – Was droht Unternehmen?

Wer die NIS2-Pflichten ignoriert, riskiert erhebliche rechtliche und finanzielle Konsequenzen. Der Bußgeldkatalog ist in §65 BSIG geregelt und umfasst mehrere Tatbestände:

Bußgelder nach §65 BSIG

  • Wesentliche Einrichtungen: Bis zu 10.000.000 € oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist
  • Wichtige Einrichtungen: Bis zu 7.000.000 € oder 1,4 % des weltweiten Jahresumsatzes

Neben den direkten Bußgeldern drohen:

  • Persönliche Haftung der Geschäftsleitung (§38 BSIG): Geschäftsführer und Vorstände können bei grober Fahrlässigkeit persönlich in Haftung genommen werden
  • Anordnung von Maßnahmen durch das BSI, einschließlich des vorübergehenden Entzugs von Leitungsbefugnissen bei wesentlichen Einrichtungen
  • Reputationsschäden durch öffentliche Bekanntmachung von Verstößen
  • Zivilrechtliche Haftung gegenüber Kunden und Partnern bei Sicherheitsvorfällen, die auf mangelnde Compliance zurückzuführen sind

Handlungsempfehlungen: 7 Schritte zur NIS2-Compliance

Wenn Sie festgestellt haben, dass Ihr Unternehmen betroffen ist, sollten Sie jetzt handeln. Hier sind die wichtigsten Schritte:

  1. Betroffenheit dokumentieren: Halten Sie schriftlich fest, auf welcher Grundlage (Sektor, Größe) Ihr Unternehmen unter NIS2 fällt. Diese Dokumentation ist bei behördlichen Prüfungen relevant.

  2. Registrierung beim BSI: Betroffene Einrichtungen müssen sich beim BSI registrieren (§33 BSIG). Stellen Sie sicher, dass Ihre Registrierung vollständig und aktuell ist.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den Anforderungen des §30 BSIG (Risikomanagement). Identifizieren Sie Lücken in den 10 Mindestmaßnahmen (u. a. Incident Response, Supply Chain Security, Kryptographie).

  4. ISMS aufbauen oder anpassen: Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS) auf Basis von ISO 27001 oder BSI IT-Grundschutz als strukturierte Grundlage.

  5. Meldepflichten etablieren: Richten Sie Prozesse für die Meldung erheblicher Sicherheitsvorfälle ein. Die Erstmeldung muss innerhalb von 24 Stunden erfolgen (§32 BSIG).

  6. Schulungen und Awareness: Sensibilisieren Sie Mitarbeiter und – gemäß §38 BSIG verpflichtend – die Geschäftsleitung für Cybersicherheitsrisiken.

  7. Lieferkette prüfen: Überprüfen Sie die Sicherheitsmaßnahmen Ihrer wichtigsten Zulieferer und Dienstleister und nehmen Sie entsprechende Anforderungen in Verträge auf.

Fazit: Jetzt handeln – Betroffenheit klären und Compliance aufbauen

Die NIS2-Betroffenheitsprüfung ist der unverzichtbare erste Schritt auf dem Weg zur Compliance. Angesichts der Bußgeldrisiken nach §65 BSIG und der persönlichen Haftung der Geschäftsleitung nach §38 BSIG ist Abwarten keine Option. Die gute Nachricht: Mit einer strukturierten Vorgehensweise lässt sich die Betroffenheit schnell klären und ein realistischer Umsetzungsplan erstellen.

Ihre nächsten Schritte auf einen Blick:

  • ✅ Sektor-Zugehörigkeit nach Anlage 1 und 2 prüfen
  • ✅ Größenkriterien (50+ MA, 10+ Mio. € Umsatz) verifizieren
  • ✅ Einstufung als wesentliche oder wichtige Einrichtung feststellen
  • ✅ BSI-Registrierung veranlassen
  • ✅ Gap-Analyse starten und ISMS-Dokumentation aufbauen

💡 Nützlicher Tipp für Ihren nächsten Schritt

Die manuelle Dokumentation aller NIS2-Anforderungen ist zeitaufwändig und fehleranfällig. Spezialisierte NIS2-Compliance-Softwarelösungen helfen Ihnen dabei, die Betroffenheitsprüfung strukturiert durchzuführen, alle erforderlichen ISMS-Dokumente revisionssicher zu erstellen, Maßnahmen zu verfolgen und Nachweise für BSI-Prüfungen zentral zu verwalten. Viele Lösungen bieten auch vorgefertigte Vorlagen, die auf die spezifischen Anforderungen des NIS2UmsuCG und des BSIG zugeschnitten sind – ein erheblicher Zeitvorteil für IT-Teams, die bereits am Limit arbeiten. Prüfen Sie, welche Tools am besten zu Ihrer Unternehmensgröße und Ihrem Sektor passen.

Quellen und weiterführende Informationen: BSI – Bundesamt für Sicherheit in der Informationstechnik (bsi.bund.de), NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), ENISA NIS2 Directive Implementation Guidance, EU-Richtlinie 2022/2555 (NIS2).