NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?

Veröffentlicht am 17. Mai 2026 | Lesedauer: ca. 8 Minuten

Seit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) stehen tausende deutsche Unternehmen vor einer zentralen Frage: Bin ich überhaupt betroffen? Die Antwort darauf ist keine Kleinigkeit – denn wer die Pflichten der NIS2-Richtlinie ignoriert, riskiert empfindliche Bußgelder nach §65 BSIG. Dieser Artikel hilft Ihnen, Ihre NIS2-Betroffenheit systematisch zu prüfen und die richtigen Schlüsse für Ihr Unternehmen zu ziehen.

Was ist die NIS2-Richtlinie und wen betrifft sie?

Die NIS2-Richtlinie (EU 2022/2555) ist die europäische Grundlage für ein einheitliches Cybersicherheitsniveau kritischer und wichtiger Einrichtungen innerhalb der EU. Deutschland hat diese Richtlinie durch das NIS2UmsuCG in nationales Recht überführt, das im Kern das BSI-Gesetz (BSIG) novelliert.

Der entscheidende Paragraph für die Betroffenheitsprüfung ist §3 NIS2UmsuCG, der definiert, welche Einrichtungen als „wesentlich" oder „wichtig" einzustufen sind. Diese Einstufung bestimmt nicht nur die Pflichten, sondern auch das Bußgeldrisiko bei Verstößen.

Laut BSI-Schätzungen fallen in Deutschland rund 29.000 Unternehmen unter den Anwendungsbereich der NIS2-Richtlinie – deutlich mehr als noch unter der Vorgängerregelung (NIS1/KRITIS). Umso wichtiger ist eine strukturierte NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 und 2026.

Die zwei Prüfkriterien: Sektor und Größe

Ob Ihr Unternehmen unter NIS2 fällt, hängt grundsätzlich von zwei unabhängigen Kriterien ab, die beide erfüllt sein müssen:

  1. Tätigkeitsfeld: Ihr Unternehmen ist in einem der regulierten Sektoren tätig (Anlage 1 oder Anlage 2 NIS2UmsuCG).
  2. Unternehmensgröße: Ihr Unternehmen überschreitet bestimmte Schwellenwerte bei Mitarbeiterzahl oder Umsatz.

Schritt 1: Prüfung des Sektors (Anlage 1 & Anlage 2)

Das NIS2UmsuCG unterscheidet zwischen hochkritischen Sektoren (Anlage 1) und sonstigen kritischen Sektoren (Anlage 2). Aus dieser Zuordnung ergibt sich, ob eine Einrichtung als „wesentlich" oder „wichtig" gilt.

Anlage 1 – Hochkritische Sektoren (Auswahl):

  • Energie (Strom, Gas, Öl, Wärme, Wasserstoff)
  • Verkehr (Luftfahrt, Bahn, Schifffahrt, Straßenverkehr)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen (Krankenhäuser, Labore, Pharmaunternehmen)
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD, Rechenzentren, Cloud)
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Anlage 2 – Sonstige kritische Sektoren (Auswahl):

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie
  • Lebensmittel
  • Verarbeitendes Gewerbe / Maschinenbau
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung

Praxishinweis: Viele mittelständische Unternehmen unterschätzen ihre Betroffenheit. Ein Automobilzulieferer aus dem verarbeitenden Gewerbe kann ebenso reguliert sein wie ein regionaler Energieversorger.

Schritt 2: Prüfung der Unternehmensgröße

Die Größenschwellen orientieren sich an der EU-Empfehlung 2003/361/EG zur KMU-Definition:

Kategorie Mitarbeiter Jahresumsatz oder Bilanzsumme
Kleinstunternehmen < 10 < 2 Mio. €
Kleinunternehmen 10–49 2–10 Mio. €
Mittleres Unternehmen 50–249 10–50 Mio. €
Großunternehmen ≥ 250 ≥ 50 Mio. €

Wichtig: Die Schwellenwerte gelten kumulativ mit der Sektorzugehörigkeit. Ein Unternehmen mit 60 Mitarbeitern im Bereich Abfallwirtschaft (Anlage 2) fällt unter NIS2, ein gleichgroßes Unternehmen im Textileinzelhandel dagegen nicht.

Ausnahmen nach oben: Bestimmte Einrichtungen können unabhängig von ihrer Größe unter NIS2 fallen – etwa wenn sie der einzige Anbieter eines systemrelevanten Dienstes in einem Mitgliedstaat sind oder wenn eine besondere Abhängigkeit von ihren Diensten besteht (§3 Abs. 4 NIS2UmsuCG).

Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?

Die Einstufung als wesentliche Einrichtung (WE) oder wichtige Einrichtung (WiE) hat direkte Auswirkungen auf die Aufsichtsintensität und die Bußgeldhöhe.

Wesentliche Einrichtungen

Betreiber aus Anlage 1, die die Großunternehmensschwelle (≥ 250 MA oder ≥ 50 Mio. € Umsatz) überschreiten, gelten in der Regel als wesentliche Einrichtungen. Auch mittlere Unternehmen aus bestimmten Teilsektoren der Anlage 1 (z.B. DNS-Anbieter, TLD-Registrare) können als wesentlich eingestuft werden.

Folgen für wesentliche Einrichtungen:
- Proaktive Aufsicht durch das BSI (auch ohne konkreten Anlass)
- Höhere Anforderungen an Sicherheitsmaßnahmen
- Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (§65 Abs. 1 BSIG)

Wichtige Einrichtungen

Betreiber aus Anlage 2 sowie mittlere Unternehmen aus Anlage 1 gelten als wichtige Einrichtungen.

Folgen für wichtige Einrichtungen:
- Reaktive Aufsicht (BSI wird nur anlassbezogen tätig)
- Gleichwertige technische Sicherheitsanforderungen wie WE
- Bußgelder bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes (§65 Abs. 2 BSIG)

Selbsttest: Ist Ihr Unternehmen NIS2-pflichtig?

Nutzen Sie die folgende Checkliste als ersten Orientierungsrahmen für Ihre NIS2-Betroffenheitsprüfung:

✅ Checkliste NIS2-Betroffenheit (Deutschland 2025/2026)

  • [ ] Sektorzugehörigkeit: Ist mein Unternehmen in einem Sektor gemäß Anlage 1 oder 2 NIS2UmsuCG tätig?
  • [ ] Mitarbeiterzahl: Beschäftigt mein Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente)?
  • [ ] Umsatz/Bilanzsumme: Überschreitet mein Jahresumsatz oder meine Bilanzsumme 10 Mio. €?
  • [ ] Verbundene Unternehmen: Sind Muttergesellschaften oder Tochterunternehmen einzubeziehen (Partnerunternehmen und verbundene Unternehmen nach KMU-Definition)?
  • [ ] Sonderregelung: Bin ich möglicherweise unabhängig von der Größe betroffen (z.B. einziger Anbieter eines Dienstes, kritische Infrastruktur)?
  • [ ] Registrierungspflicht: Habe ich mein Unternehmen beim BSI registriert (Pflicht für betroffene Einrichtungen nach §33 BSIG)?

Ergebnis: Wenn Sie die ersten drei Punkte mit „Ja" beantwortet haben, besteht hohe Wahrscheinlichkeit einer NIS2-Betroffenheit. Eine rechtssichere Prüfung sollte mit juristischer und IT-sicherheitlicher Unterstützung erfolgen.

Konsequenzen bei Nichterfüllung: Die Bußgeldregelung nach §65 BSIG

Die Konsequenzen für NIS2-pflichtige Unternehmen, die ihre Pflichten nicht erfüllen, sind erheblich. Das BSI als zuständige nationale Behörde kann nach §65 BSIG folgende Sanktionen verhängen:

Einrichtungstyp Maximales Bußgeld Basis
Wesentliche Einrichtung 10.000.000 € Fixbetrag
Wesentliche Einrichtung 2 % des weltweiten Jahresumsatzes Falls höher als Fixbetrag
Wichtige Einrichtung 7.000.000 € Fixbetrag
Wichtige Einrichtung 1,4 % des weltweiten Jahresumsatzes Falls höher als Fixbetrag

Hinzu kommen mögliche persönliche Haftungsrisiken für Geschäftsführer und Vorstände gemäß §38 BSIG. Geschäftsleitungen müssen Cybersicherheitsmaßnahmen nicht nur anordnen, sondern auch aktiv überwachen – und können bei grober Fahrlässigkeit persönlich in Regress genommen werden.

Typische Verstöße, die zu Bußgeldern führen:
- Fehlende oder unzureichende Risikoanalysen
- Keine dokumentierten Maßnahmen zum Incident Management
- Ausbleibende Meldung von Sicherheitsvorfällen an das BSI (innerhalb von 24 Stunden erste Meldung, 72 Stunden Zwischenbericht)
- Keine Registrierung beim BSI

7 konkrete Handlungsempfehlungen für betroffene Unternehmen

Wenn Ihre Betroffenheitsprüfung ergibt, dass Sie unter NIS2 fallen, sollten Sie folgende Schritte einleiten:

  1. Betroffenheit dokumentieren: Halten Sie schriftlich fest, auf welcher Grundlage (Sektor, Größe) Sie als wesentliche oder wichtige Einrichtung eingestuft sind. Dies ist Grundlage aller weiteren Maßnahmen.

  2. BSI-Registrierung durchführen: Betroffene Einrichtungen sind nach §33 BSIG verpflichtet, sich beim BSI zu registrieren. Dies erfolgt über das BSI-Portal. Versäumnisse hier sind bereits bußgeldbewehrt.

  3. Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den Anforderungen des §30 BSIG (technische und organisatorische Maßnahmen). Nutzen Sie dafür den BSI IT-Grundschutz oder ISO 27001 als Rahmenwerk.

  4. ISMS aufbauen oder anpassen: Ein Informationssicherheits-Managementsystem (ISMS) ist das strukturelle Fundament der NIS2-Compliance. Dokumentieren Sie Richtlinien, Verantwortlichkeiten und Prozesse.

  5. Meldeprozesse etablieren: Richten Sie interne Prozesse ein, die eine fristgerechte Meldung von Sicherheitsvorfällen sicherstellen – innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Zwischenbericht) nach §32 BSIG.

  6. Lieferkette prüfen: NIS2 gilt auch für die Absicherung der Lieferkette. Führen Sie Risikobeurteilungen Ihrer wesentlichen Dienstleister und IT-Zulieferer durch.

  7. Schulungen und Awareness: Sensibilisieren Sie Ihre Mitarbeitenden und insbesondere die Geschäftsleitung. §38 BSIG schreibt vor, dass Leitungsorgane an Schulungen teilnehmen und die Umsetzung aktiv steuern.

Sonderfall: Kleine Unternehmen mit NIS2-Relevanz

Nicht jedes kleine Unternehmen ist automatisch ausgenommen. Das NIS2UmsuCG sieht in §3 Abs. 4 vor, dass auch Kleinst- und Kleinunternehmen betroffen sein können, wenn:

  • Sie der einzige Anbieter eines für die öffentliche Sicherheit wesentlichen Dienstes sind,
  • eine Störung erhebliche Auswirkungen auf die öffentliche Ordnung, Sicherheit oder Gesundheit hätte,
  • die Behörden besondere Abhängigkeiten von diesen Diensten festgestellt haben.

Auch DNS-Resolver-Betreiber, TLD-Registrare und qualifizierte Vertrauensdiensteanbieter sind unabhängig von ihrer Größe erfasst.

Fazit und nächste Schritte

Die NIS2-Betroffenheitsprüfung ist keine einmalige Aufgabe, sondern ein laufender Prozess – denn Unternehmen wachsen, Sektordefinitionen können sich ändern, und auch Unternehmensstrukturen (Fusionen, Zukäufe) können die Einstufung beeinflussen.

Ihre unmittelbaren nächsten Schritte:

  1. Prüfen Sie anhand der Checkliste in diesem Artikel Ihre vorläufige Betroffenheit.
  2. Holen Sie eine rechtliche Einschätzung zur finalen Einstufung ein.
  3. Starten Sie die BSI-Registrierung, sofern eine Betroffenheit festgestellt wurde.
  4. Beauftragen Sie eine Gap-Analyse gegenüber §30 BSIG.
  5. Beginnen Sie mit dem Aufbau oder der Anpassung Ihres ISMS.

Die Zeit drängt: Das BSI hat seine Aufsichtstätigkeit deutlich intensiviert, und erste Bußgeldverfahren nach §65 BSIG gegen säumige Unternehmen wurden bereits eingeleitet.

💡 Werkzeugkasten für Ihre NIS2-Compliance

Für IT-Verantwortliche und Compliance-Manager, die den Prozess effizient gestalten wollen, empfiehlt sich der Einsatz einer NIS2-Compliance-Software. Spezialisierte Tools unterstützen Sie bei der Betroffenheitsprüfung, der automatisierten Erstellung von ISMS-Dokumenten, der Verwaltung von Maßnahmenplänen und der BSI-konformen Dokumentation von Sicherheitsvorfällen. Viele Anbieter bieten interaktive Selbsttest-Module an, mit denen Sie Ihre Einstufung als wesentliche oder wichtige Einrichtung in wenigen Minuten prüfen können – ein sinnvoller erster Schritt vor der juristischen Feinprüfung.

Dieser Artikel wurde auf Basis des NIS2UmsuCG und des novellierten BSIG (Stand: Mai 2026) erstellt. Bei konkreten Rechtsfragen empfehlen wir die Konsultation eines auf IT-Recht spezialisierten Anwalts sowie die aktuellen Hinweise des BSI unter bsi.bund.de.