NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 09. Juni 2026 | Lesedauer: ca. 8 Minuten
Die NIS2-Richtlinie der Europäischen Union ist seit der Umsetzung in deutsches Recht durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für zehntausende Unternehmen in Deutschland bindend. Doch noch immer herrscht in vielen Geschäftsführungen und IT-Abteilungen Unsicherheit: Bin ich überhaupt betroffen? Diese Frage ist nicht trivial – und die Konsequenzen einer falschen Einschätzung können teuer werden.
Dieser Artikel liefert Ihnen eine strukturierte NIS2-Betroffenheitsprüfung für Ihr Unternehmen in Deutschland, erklärt die maßgeblichen Kriterien aus §3 NIS2UmsuCG, und zeigt Ihnen, welche Pflichten und Risiken konkret auf Sie zukommen.
Warum die Betroffenheitsprüfung so wichtig ist
Viele Unternehmen gehen davon aus, NIS2 betreffe nur große Konzerne oder klassische IT-Dienstleister. Das ist ein gefährlicher Irrtum. Die NIS2-Richtlinie (EU 2022/2555) und ihre deutsche Umsetzung durch das NIS2UmsuCG erweitern den regulatorischen Geltungsbereich erheblich gegenüber der alten NIS1-Richtlinie. Laut Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) fallen allein in Deutschland mehrere zehntausend Unternehmen neu unter die Regelungen.
Wer die eigene Betroffenheit nicht rechtzeitig erkennt, riskiert:
- Empfindliche Bußgelder nach §65 BSIG (dazu später mehr)
- Fehlende Sicherheitsmaßnahmen, die im Ernstfall zu Haftungsrisiken führen
- Reputationsschäden durch unzureichende Incident-Response-Kapazitäten
- Wettbewerbsnachteile gegenüber compliance-fähigen Mitbewerbern
Die zwei Kernfragen: Sektor und Größe
Die Betroffenheitsprüfung nach §3 NIS2UmsuCG basiert auf zwei unabhängigen Dimensionen: dem Tätigkeitssektor Ihres Unternehmens und dessen Unternehmensgröße. Beide Kriterien müssen erfüllt sein – mit einer wichtigen Ausnahme für sogenannte kritische Infrastrukturen und Sonderfälle.
Kriterium 1: Welchem Sektor gehört Ihr Unternehmen an?
Das NIS2UmsuCG unterscheidet zwei Kategorien von Sektoren, die in Anlage 1 (hochkritische Sektoren) und Anlage 2 (sonstige kritische Sektoren) aufgeführt sind.
Anlage 1 – Hochkritische Sektoren (wesentliche Einrichtungen)
Unternehmen in diesen Sektoren unterliegen den strengsten Anforderungen:
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Öl, Fernwärme, Wasserstoff |
| Verkehr | Luft-, Schienen-, Wasser-, Straßenverkehr |
| Bankwesen | Kreditinstitute |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| Gesundheit | Krankenhäuser, Labore, Pharmahersteller |
| Trinkwasser | Wasserversorgung und -verteilung |
| Abwasser | Abwasserentsorgung |
| Digitale Infrastruktur | IXPs, DNS, TLD-Register, Cloud, RZ, CDN |
| IKT-Dienstleistungsmanagement | Managed Service Provider, MSSP |
| Weltraum | Bodenstationen, Betreiber von Weltrauminfrastruktur |
| Öffentliche Verwaltung | Bundesbehörden, Länderbehörden |
Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen)
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paketdienstleister |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Herstellung, Erzeugung, Handel |
| Lebensmittel | Herstellung und Vertrieb |
| Verarbeitendes Gewerbe | Medizinprodukte, Elektronik, Maschinenbau, Kfz |
| Digitale Dienste | Online-Marktplätze, Suchmaschinen, Soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Praxis-Hinweis: Die Sektorzuordnung richtet sich nach dem Haupttätigkeitsfeld Ihres Unternehmens. Mischkonzerne sollten jeden Geschäftsbereich separat prüfen.
Kriterium 2: Erfüllt Ihr Unternehmen die Größenschwellen?
Gemäß §3 Abs. 1 NIS2UmsuCG gilt die Richtlinie grundsätzlich für Unternehmen, die folgende Schwellenwerte überschreiten:
- Mindestens 50 Mitarbeiter (Vollzeitäquivalente, im Jahresdurchschnitt)
- ODER Jahresumsatz und Jahresbilanzsumme von jeweils mehr als 10 Millionen Euro
Das bedeutet konkret: Bereits ein Unternehmen mit 50 Beschäftigten kann unter NIS2 fallen, wenn es im richtigen Sektor tätig ist – unabhängig vom Umsatz.
Ausnahmen und Sonderfälle:
Einige Einrichtungen fallen unabhängig von ihrer Größe unter NIS2, darunter:
- Betreiber kritischer Anlagen nach §28 BSIG (KRITIS)
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Vertrauensdienstanbieter und qualifizierte Vertrauensdienstanbieter
- DNS-Resolver und TLD-Registrare
- Einrichtungen, die als einziger Anbieter eines Dienstleisters in einem Mitgliedstaat gelten
Wesentliche vs. wichtige Einrichtungen: Was ist der Unterschied?
Die Einstufung Ihres Unternehmens als wesentliche Einrichtung (WE) oder wichtige Einrichtung (WiE) hat direkte Auswirkungen auf die Aufsichtsintensität und die Bußgeldhöhen.
| Merkmal | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektorzugehörigkeit | Anlage 1 | Anlage 2 |
| Größe (Regel) | Groß: >250 MA oder >50 Mio. € Umsatz | Mittel: 50–249 MA oder 10–50 Mio. € |
| BSI-Aufsicht | Proaktiv (ex ante) | Reaktiv (ex post) |
| Max. Bußgeld | 10 Mio. € oder 2 % des Weltumsatzes | 7 Mio. € oder 1,4 % des Weltumsatzes |
| Registrierungspflicht | Ja, beim BSI | Ja, beim BSI |
| Meldepflichten | Ja, innerhalb 24h/72h/1 Monat | Ja, innerhalb 24h/72h/1 Monat |
Wichtig: Beide Kategorien unterliegen denselben technischen und organisatorischen Sicherheitspflichten nach §30 BSIG. Der Unterschied liegt primär in der Aufsichtsintensität, nicht in den Schutzanforderungen selbst.
Selbsttest: Ist Ihr Unternehmen von NIS2 betroffen?
Arbeiten Sie die folgenden Fragen der Reihe nach ab. Bereits ein „Ja" in Schritt 1 und 2 führt zur Betroffenheit.
Schritt 1: Sektorcheck
- [ ] Ist mein Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig?
- [ ] Erbringt mein Unternehmen Dienstleistungen oder Produkte, die direkt oder indirekt zu einem dieser Sektoren beitragen?
- [ ] Bin ich als Zulieferer oder Dienstleister für ein bereits betroffenes Unternehmen tätig (Lieferkette)?
Schritt 2: Größencheck
- [ ] Beschäftigt mein Unternehmen 50 oder mehr Mitarbeitende?
- [ ] Übersteigt mein Jahresumsatz 10 Millionen Euro?
- [ ] Übersteigt meine Jahresbilanzsumme 10 Millionen Euro?
Schritt 3: Sondertatbestände
- [ ] Bin ich Betreiber einer kritischen Anlage nach §28 BSIG?
- [ ] Biete ich öffentliche Kommunikationsdienste oder -netze an?
- [ ] Bin ich als Vertrauensdienstanbieter tätig?
Auswertung:
- Schritt 1 + Schritt 2 → Ja: Sie sind mit hoher Wahrscheinlichkeit betroffen. Prüfen Sie die genaue Einstufung (WE oder WiE).
- Schritt 3 → Ja: Sie sind unabhängig von Ihrer Größe betroffen.
- Alle Antworten Nein: Aktuell keine direkte NIS2-Pflicht – aber prüfen Sie Ihre Lieferkettenposition und beobachten Sie legislative Änderungen.
Was droht bei Nichterfüllung? Die Bußgeldregelungen nach §65 BSIG
Die finanziellen Konsequenzen einer Pflichtverletzung sind erheblich und sollten jeden Geschäftsführer aufhorchen lassen. §65 BSIG sieht folgende Sanktionen vor:
- Wesentliche Einrichtungen: Bußgelder bis zu 10.000.000 Euro oder 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens (der höhere Betrag gilt)
- Wichtige Einrichtungen: Bußgelder bis zu 7.000.000 Euro oder 1,4 % des gesamten weltweiten Jahresumsatzes
Darüber hinaus können folgende Maßnahmen ergriffen werden:
- Vorübergehende Untersagung der Geschäftstätigkeit für Führungspersonen (§64 BSIG)
- Anordnung von Audits und Sicherheitsüberprüfungen durch das BSI
- Öffentliche Bekanntmachung von Verstößen (Naming & Shaming)
- Persönliche Haftung von Geschäftsführern und Vorständen bei grober Fahrlässigkeit
Das BSI hat signalisiert, dass es nach einer initialen Übergangsphase konsequent von seinen Aufsichts- und Sanktionsbefugnissen Gebrauch machen wird. Die Zeit für ein "Abwarten" ist vorbei.
7 konkrete Handlungsempfehlungen für betroffene Unternehmen
Wenn Sie nach dem Selbsttest zu dem Ergebnis gekommen sind, dass Ihr Unternehmen unter NIS2 fällt, sollten Sie jetzt handeln:
-
Formelle Betroffenheitsanalyse dokumentieren: Halten Sie die Ergebnisse Ihrer Prüfung schriftlich fest – inklusive der herangezogenen Kriterien, Datengrundlagen (Mitarbeiterzahl, Umsatz) und der resultierenden Einstufung (WE oder WiE).
-
Registrierung beim BSI vornehmen: Betroffene Einrichtungen sind verpflichtet, sich beim BSI zu registrieren. Nutzen Sie das offizielle BSI-Portal und halten Sie Kontaktdaten des IT-Sicherheitsbeauftragten bereit.
-
Gap-Analyse gegenüber §30 BSIG durchführen: Vergleichen Sie Ihre aktuellen technischen und organisatorischen Maßnahmen mit den 10 Sicherheitsbereichen des §30 BSIG (u. a. Risikoanalyse, Incident Management, Business Continuity, Supply Chain Security, Kryptographie).
-
ISMS implementieren oder ausbauen: Ein Informationssicherheits-Managementsystem nach ISO/IEC 27001 bildet das solide Fundament für die NIS2-Compliance und wird vom BSI explizit empfohlen.
-
Meldeprozesse für Sicherheitsvorfälle etablieren: NIS2 schreibt eine 24-Stunden-Erstmeldung bei erheblichen Sicherheitsvorfällen vor, gefolgt von einer detaillierten Meldung innerhalb von 72 Stunden und einem Abschlussbericht nach einem Monat.
-
Lieferkette prüfen: Analysieren Sie, welche Ihrer Dienstleister und Zulieferer sicherheitsrelevant sind, und integrieren Sie NIS2-konforme Anforderungen in Verträge und Lieferantenaudits.
-
Schulungen und Awareness-Programme starten: §38 BSIG verpflichtet Geschäftsleitungen zur aktiven Beteiligung an Cybersicherheitsmaßnahmen. Regelmäßige Schulungen für Führungskräfte und Mitarbeitende sind keine Kür, sondern Pflicht.
Fazit: Handeln Sie jetzt – nicht erst nach dem ersten Bußgeld
Die NIS2-Betroffenheitsprüfung ist kein einmaliges Projekt, sondern sollte als kontinuierlicher Prozess verstanden werden. Unternehmen wachsen, Sektorgrenzen verschieben sich, und der Gesetzgeber kann den Anwendungsbereich weiter ausweiten. Wer heute seine Betroffenheit kennt, kann systematisch und budgetschonend handeln – statt unter Druck und mit teuren Beratern kurzfristig zu reagieren.
Ihre nächsten Schritte im Überblick:
- Führen Sie den Selbsttest durch und dokumentieren Sie das Ergebnis
- Registrieren Sie sich beim BSI, falls noch nicht geschehen
- Beauftragen Sie eine Gap-Analyse Ihrer bestehenden Sicherheitsmaßnahmen
- Erstellen Sie einen priorisierten Umsetzungsfahrplan
- Überprüfen Sie Ihre Einstufung mindestens einmal jährlich
Nächster Schritt: NIS2-Compliance digital verwalten
Die Umsetzung der NIS2-Anforderungen erzeugt erheblichen Dokumentations- und Nachweisaufwand. Spezialisierte NIS2-Compliance-Software und ISMS-Plattformen helfen Ihnen dabei, die Betroffenheitsprüfung zu formalisieren, Maßnahmenpläne zu verwalten, Meldeprozesse zu automatisieren und audit-sichere Nachweise zu erzeugen. Achten Sie bei der Auswahl auf eine nahtlose Integration der §30-BSIG-Anforderungen sowie Schnittstellen zu bestehenden IT-Service-Management-Systemen. Ein strukturiertes Tool spart nicht nur Zeit – es schützt Sie im Zweifel auch vor Bußgeldern, weil Sie die geforderte Nachweisführung jederzeit erbringen können.
Haben Sie Fragen zur NIS2-Betroffenheitsprüfung für Ihr Unternehmen? Teilen Sie diesen Artikel mit Ihrem IT-Sicherheitsteam und starten Sie noch heute mit der strukturierten Analyse.