NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 07. Juni 2026 | Lesezeit: ca. 9 Minuten

Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer entscheidenden Frage: Bin ich betroffen – und wenn ja, welche Pflichten gelten für mich? Die Antwort ist alles andere als trivial. Wer die NIS2-Betroffenheitsprüfung vernachlässigt, riskiert nicht nur erhebliche Bußgelder nach §65 BSIG, sondern auch operative und reputationsbezogene Schäden. Dieser Artikel liefert Ihnen einen strukturierten Überblick, einen Selbsttest und konkrete Handlungsempfehlungen.

Was ist die NIS2-Richtlinie – und warum ist 2025 entscheidend?

Die NIS2-Richtlinie der EU (Richtlinie 2022/2555) ist die überarbeitete Fassung der ursprünglichen NIS-Richtlinie von 2016. Sie erweitert den Anwendungsbereich erheblich: Statt einiger Dutzend kritischer Betreiber sind nun schätzungsweise 29.000 bis 40.000 Unternehmen allein in Deutschland betroffen. Das NIS2UmsuCG, das die Richtlinie in nationales Recht umsetzt, verankert die konkreten Anforderungen im novellierten BSI-Gesetz (BSIG).

Für IT-Verantwortliche und Geschäftsführer bedeutet das: Die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 ist keine Kür, sondern Pflicht. Wer jetzt noch keine Klarheit über seinen Status hat, verliert wertvolle Zeit für die Umsetzung der Sicherheitsanforderungen.

Wer fällt unter NIS2? Die zwei Kernanforderungen

Die Einordnung unter NIS2 basiert auf zwei kumulativen Kriterien: dem Sektor, in dem das Unternehmen tätig ist, und seiner Größe.

Kriterium 1: Zugehörigkeit zu einem regulierten Sektor (§3 NIS2UmsuCG)

Das NIS2UmsuCG unterscheidet zwei Anlagenkategorien, die den Sektoren der EU-Richtlinie entsprechen:

Anlage 1 – Sektoren mit hoher Kritikalität (Wesentliche Einrichtungen):

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Wasser, Straße)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD-Registries, Cloud-Anbieter, Rechenzentren, CDN, Vertrauensdiensteanbieter)
  • IKT-Dienste für den öffentlichen Sektor (B2B)
  • Weltraum

Anlage 2 – Weitere kritische Sektoren (Wichtige Einrichtungen):

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemische Industrie (Herstellung, Erzeugung, Handel)
  • Lebensmittelproduktion und -vertrieb
  • Verarbeitendes Gewerbe / Herstellung (u. a. Medizinprodukte, Fahrzeuge, Maschinenbau, Elektronik)
  • Digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Wichtig: Auch wenn Ihr Unternehmen nicht zum Kernbereich eines Sektors gehört, können Lieferketten und Subunternehmer indirekt in den Anwendungsbereich fallen – entweder durch vertragliche Anforderungen oder direkt durch eigene Sektorzugehörigkeit.

Kriterium 2: Größenschwellen

Selbst bei Sektorzugehörigkeit gilt NIS2 grundsätzlich nur ab einer bestimmten Unternehmensgröße:

Unternehmenstyp Mitarbeiterzahl Jahresumsatz ODER Jahresbilanzsumme
Mittleres Unternehmen ≥ 50 Mitarbeitende ≥ 10 Mio. €
Großes Unternehmen ≥ 250 Mitarbeitende ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanz

Achtung: Für bestimmte Einrichtungen gelten keine Größenschwellen – unabhängig von Mitarbeiterzahl und Umsatz sind automatisch erfasst:

  • Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste
  • Qualifizierte Vertrauensdiensteanbieter
  • TLD-Registries und DNS-Dienstanbieter
  • Betreiber kritischer Anlagen nach §28 BSIG (ehemals KRITIS)
  • Einrichtungen der Bundesverwaltung

Wesentliche vs. wichtige Einrichtungen: Ein entscheidender Unterschied

Die Zuordnung zur Kategorie "wesentlich" oder "wichtig" hat direkte Auswirkungen auf die Pflichten und Sanktionen:

Wesentliche Einrichtungen (§28 Abs. 1 NIS2UmsuCG)

  • Große Unternehmen aus Anlage 1
  • Mittlere Unternehmen aus Anlage 1, sofern als besonders kritisch eingestuft
  • Qualifizierte Vertrauensdiensteanbieter und DNS-Provider unabhängig von der Größe

Folgen: Stärkere Aufsichtspflichten, proaktive Überwachung durch das BSI, höhere Bußgeldrahmen (bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes).

Wichtige Einrichtungen (§28 Abs. 2 NIS2UmsuCG)

  • Mittlere und große Unternehmen aus Anlage 2
  • Mittlere Unternehmen aus Anlage 1, die nicht als wesentlich eingestuft sind

Folgen: Reaktive Aufsicht (BSI handelt anlassbezogen), Bußgeldrahmen bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (§65 BSIG).

Interaktiver Selbsttest: Fällt Ihr Unternehmen unter NIS2?

Nutzen Sie die folgende Checkliste als schnelle Orientierung. Beantworten Sie jede Frage mit Ja oder Nein:

Schritt 1: Sektorzugehörigkeit prüfen

  • [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 (z. B. Energie, Gesundheit, digitale Infrastruktur) tätig?
  • [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 2 (z. B. Chemie, Lebensmittel, verarbeitendes Gewerbe) tätig?
  • [ ] Erbringt mein Unternehmen IKT-Dienste für Unternehmen in Anlage 1 oder 2 (als Dienstleister/MSP)?

Mindestens eine Antwort "Ja"? → Weiter zu Schritt 2.
Alle Antworten "Nein"? → Wahrscheinlich nicht direkt betroffen (aber Lieferketten-Compliance beachten!).

Schritt 2: Größenschwelle prüfen

  • [ ] Beschäftigt mein Unternehmen 50 oder mehr Mitarbeitende?
  • [ ] Übersteigt der Jahresumsatz 10 Mio. € oder die Jahresbilanzsumme 10 Mio. €?

Beide Antworten "Ja"? → Ihr Unternehmen fällt unter NIS2. Weiter zu Schritt 3.
Eine Antwort "Nein"? → Derzeit wahrscheinlich nicht direkt betroffen – aber regelmäßige Prüfung empfohlen, da Wachstum die Schwelle verschieben kann.

Schritt 3: Registrierungspflicht beachten

  • [ ] Haben Sie Ihr Unternehmen bereits beim BSI registriert (§33 BSIG)?
  • [ ] Haben Sie einen Ansprechpartner für Cybersicherheit benannt?
  • [ ] Verfügen Sie über ein dokumentiertes Sicherheitskonzept nach §30 BSIG?

➡ Noch nicht erledigt? → Sofortiger Handlungsbedarf!

Welche Pflichten ergeben sich aus der NIS2-Betroffenheit?

Wer unter NIS2 fällt, muss konkret handeln. Die Kernpflichten gemäß §30 BSIG umfassen:

  1. Risikoanalyse und Sicherheitskonzept – Dokumentierte Bewertung aller relevanten Cyberrisiken
  2. Incident Response – Verfahren zur Erkennung, Behandlung und Meldung von Sicherheitsvorfällen (§32 BSIG: Meldepflicht binnen 24 Stunden an das BSI für erhebliche Vorfälle)
  3. Business Continuity Management (BCM) – Notfallpläne, Backup-Strategien, Krisenmanagement
  4. Lieferkettensicherheit – Sicherheitsanforderungen an Lieferanten und Dienstleister
  5. Sicherheit bei Erwerb, Entwicklung und Wartung – Secure-by-Design-Prinzipien
  6. Schulungen und Awareness – Regelmäßige Cybersicherheits-Trainings für alle Mitarbeitenden
  7. Kryptografie und Verschlüsselung – Einsatz angemessener kryptografischer Maßnahmen
  8. Zugangskontrolle und Multi-Faktor-Authentifizierung – Zero-Trust-Prinzipien
  9. Vulnerability Management – Schwachstellenmanagement und Patch-Prozesse
  10. Registrierung beim BSI – Pflicht für alle betroffenen Einrichtungen nach §33 BSIG

Konsequenzen bei Nichterfüllung: §65 BSIG macht Ernst

Viele Unternehmen unterschätzen die Ernsthaftigkeit der NIS2-Sanktionen. Das BSIG sieht in §65 empfindliche Bußgelder vor:

Kategorie Maximales Bußgeld
Wesentliche Einrichtungen 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
Wichtige Einrichtungen 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
Verstöße gegen Meldepflichten Bis zu 500.000 €

Besonders relevant: §65 BSIG ermöglicht auch die persönliche Haftung der Geschäftsführung. Geschäftsführer und Vorstände können bei grober Fahrlässigkeit oder Vorsatz persönlich in Regress genommen werden – eine Entwicklung, die die Bedeutung des Themas auf Führungsebene unterstreicht.

Das BSI hat inzwischen eine aktive Aufsichtspraxis entwickelt und führt sowohl anlassunabhängige als auch anlassbezogene Überprüfungen durch. Die Behörde kann Nachweise zu implementierten Sicherheitsmaßnahmen anfordern, Prüfungen durch akkreditierte Stellen verlangen und im Extremfall den Betrieb einschränken.

7 konkrete Handlungsempfehlungen für betroffene Unternehmen

  1. Betroffenheitsprüfung dokumentieren: Halten Sie schriftlich fest, warum Ihr Unternehmen als wesentliche oder wichtige Einrichtung eingestuft ist – oder warum nicht. Diese Dokumentation kann bei Behördenanfragen entscheidend sein.

  2. BSI-Registrierung umgehend durchführen: Nutzen Sie das BSI-Portal für die vorgeschriebene Selbstregistrierung nach §33 BSIG. Fristen wurden für Bestandsunternehmen gesetzt – Versäumnisse sind bußgeldbewehrt.

  3. Gap-Analyse nach §30 BSIG durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstatus mit den geforderten Maßnahmen. Etablierte Frameworks wie ISO/IEC 27001 oder der BSI IT-Grundschutz bieten geeignete Referenzrahmen.

  4. Verantwortlichkeiten auf Geschäftsführungsebene verankern: NIS2 ist Chefsache. Benennen Sie einen NIS2-Verantwortlichen und stellen Sie sicher, dass die Geschäftsführung die Sicherheitskonzepte genehmigt und über Risiken informiert wird.

  5. Meldeprozesse für Sicherheitsvorfälle einrichten: Definieren Sie intern klare Eskalationspfade, sodass erhebliche Vorfälle innerhalb von 24 Stunden an das BSI gemeldet werden können (§32 BSIG).

  6. Lieferanten und Dienstleister einbeziehen: Fordern Sie von kritischen Dienstleistern Nachweise zu deren Sicherheitsniveau. Passen Sie Verträge entsprechend an.

  7. Schulungsprogramm aufsetzen: Führen Sie mindestens jährliche Cybersicherheits-Schulungen durch – das BSIG verlangt ausdrücklich die Einbindung aller Mitarbeitenden und der Leitungsebene.

Sonderfall: Kleinunternehmen und Lieferkette

Auch wenn Sie die Größenschwellen unterschreiten, sollten Sie NIS2 nicht ignorieren. Große Unternehmen sind verpflichtet, Sicherheitsanforderungen in ihre Lieferkette zu übertragen. Wer als Zulieferer, IT-Dienstleister oder Subunternehmer für betroffene Einrichtungen tätig ist, wird zunehmend mit vertraglichen Cybersicherheits-Anforderungen konfrontiert. Wer hier nicht liefern kann, verliert Aufträge – lange bevor das BSI anklopft.

Fazit: Jetzt handeln statt abwarten

Die NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland ist im Jahr 2025 keine optionale Übung mehr – sie ist rechtliche Pflicht und unternehmerische Notwendigkeit zugleich. Die wichtigsten nächsten Schritte auf einen Blick:

  • Sektor und Größe prüfen → Bin ich betroffen?
  • Einrichtungstyp bestimmen → Wesentlich oder wichtig?
  • BSI-Registrierung abschließen → §33 BSIG einhalten
  • Gap-Analyse durchführen → Was fehlt noch?
  • Maßnahmenplan erstellen → Priorisiert und terminiert
  • Geschäftsführung einbinden → Haftung bewusst machen

Wer diese Schritte systematisch angeht, ist nicht nur gesetzeskonform, sondern stärkt auch die eigene Resilienz gegen Cyberangriffe – die laut BSI-Lagebericht nach wie vor auf Rekordniveau liegen.

Ihr nächster Schritt: NIS2-Compliance effizient managen

Die Umsetzung der NIS2-Anforderungen bedeutet erheblichen Dokumentations- und Organisationsaufwand. Spezialisierte ISMS- und NIS2-Compliance-Softwarelösungen helfen Ihnen, die Betroffenheitsprüfung zu dokumentieren, Maßnahmenpakete zu verwalten, Meldeprozesse zu standardisieren und Nachweise für BSI-Prüfungen strukturiert bereitzuhalten. Viele Lösungen orientieren sich dabei an ISO 27001 und BSI IT-Grundschutz und ermöglichen so eine doppelte Compliance-Synergie. Informieren Sie sich über ISMS-Tools, die speziell für den deutschen Mittelstand konzipiert wurden – der Aufwand für manuelle Dokumentation lässt sich damit erheblich reduzieren.

Dieser Artikel wurde nach bestem Wissen und Gewissen auf Basis des NIS2UmsuCG, des BSIG in der aktuellen Fassung sowie der BSI-Veröffentlichungen erstellt. Er ersetzt keine individuelle Rechts- oder Compliance-Beratung. Bitte konsultieren Sie für unternehmensspezifische Fragen einen qualifizierten Berater.