NIS2-Betroffenheitsprüfung 2025: Fällt Ihr Unternehmen unter die Richtlinie?
Veröffentlicht am 10. Juni 2026 | Lesezeit: ca. 8 Minuten
Die NIS2-Richtlinie ist seit der Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht überführt – und sie betrifft deutlich mehr Unternehmen, als viele Verantwortliche zunächst annehmen. Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zufolge fallen in Deutschland rund 29.000 bis 40.000 Unternehmen und Einrichtungen in den Anwendungsbereich der Richtlinie. Dennoch ist bei vielen Geschäftsführern und IT-Verantwortlichen noch immer unklar, ob das eigene Unternehmen betroffen ist.
Dieser Artikel liefert Ihnen eine strukturierte NIS2-Betroffenheitsprüfung für Unternehmen in Deutschland 2025 – mit klaren Kriterien, einem praxisnahen Selbsttest und konkreten Handlungsempfehlungen.
Was ist die NIS2-Richtlinie und warum ist sie relevant?
Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete Fassung der ursprünglichen Netz- und Informationssicherheitsrichtlinie von 2016. Sie verpflichtet Unternehmen und Einrichtungen in kritischen Sektoren zu erhöhten Cybersicherheitsmaßnahmen, zur Meldung von Sicherheitsvorfällen und zur Einführung eines strukturierten Risikomanagements.
In Deutschland wurde die Richtlinie durch das NIS2UmsuCG in nationales Recht umgesetzt, das die relevanten Regelungen vor allem im novellierten BSI-Gesetz (BSIG) verankert. Die zentrale Norm für die Bestimmung der betroffenen Einrichtungen ist § 3 NIS2UmsuCG in Verbindung mit den Anlagen 1 und 2 des Gesetzes.
Wer ist betroffen? Die drei Kernfragen der Betroffenheitsprüfung
Die NIS2-Betroffenheit eines Unternehmens ergibt sich aus dem Zusammenspiel von Sektorzugehörigkeit, Unternehmensgröße und der daraus resultierenden Einrichtungskategorie. Alle drei Faktoren müssen gemeinsam bewertet werden.
1. Frage: Gehört Ihr Unternehmen zu einem relevanten Sektor?
Gemäß § 3 Abs. 1 NIS2UmsuCG unterscheidet das Gesetz zwischen besonders wichtigen und wichtigen Einrichtungen, die jeweils unterschiedlichen Sektoren zugeordnet werden.
Anlage 1 – Sektoren mit hoher Kritikalität (besonders wichtige Einrichtungen):
| Sektor | Beispiele |
|---|---|
| Energie | Strom-, Gas-, Fernwärme- und Kraftstoffversorgung |
| Transport und Verkehr | Luft-, Schienen-, Straßen- und Schifffahrt |
| Bankwesen | Kreditinstitute, Kreditvermittler |
| Finanzmarktinfrastrukturen | Handelsplätze, zentrale Gegenparteien |
| Gesundheitswesen | Krankenhäuser, Labore, Medizingerätehersteller |
| Trinkwasser | Wasserversorgungsunternehmen |
| Abwasser | Abwasserentsorgungsbetriebe |
| Digitale Infrastruktur | Internet-Knoten, DNS-Resolver, TLD-Registries, Rechenzentren, Cloud-Dienste |
| ICT-Servicemanagement (B2B) | Managed Service Provider, Managed Security Service Provider |
| Öffentliche Verwaltung | Bundesbehörden, Landesbehörden |
| Raumfahrt | Betreiber von Bodeninfrastruktur |
Anlage 2 – Sonstige kritische Sektoren (wichtige Einrichtungen):
| Sektor | Beispiele |
|---|---|
| Post- und Kurierdienste | Paket- und Briefdienste |
| Abfallbewirtschaftung | Entsorgungsunternehmen |
| Chemie | Herstellung und Handel mit Chemikalien |
| Lebensmittel | Produktion, Verarbeitung, Vertrieb |
| Verarbeitendes Gewerbe | Hersteller von Medizinprodukten, Elektronik, Maschinenbau, Kfz |
| Digitale Dienste | Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke |
| Forschung | Forschungseinrichtungen |
Wichtiger Hinweis: Auch wenn Ihr Unternehmen nicht direkt in einem dieser Sektoren tätig ist, kann es als Zulieferer oder Dienstleister mittelbar betroffen sein – insbesondere durch vertragliche Verpflichtungen gegenüber betroffenen Hauptunternehmen.
2. Frage: Erfüllt Ihr Unternehmen die Größenkriterien?
Neben der Sektorzugehörigkeit sind die Unternehmensgrößenkriterien entscheidend. Laut § 3 Abs. 2 NIS2UmsuCG gelten grundsätzlich folgende Schwellenwerte:
| Unternehmensgröße | Mitarbeiter | Jahresumsatz oder Jahresbilanzsumme |
|---|---|---|
| Mittleres Unternehmen | ≥ 50 | ≥ 10 Mio. € |
| Großes Unternehmen | ≥ 250 | ≥ 50 Mio. € Umsatz oder ≥ 43 Mio. € Bilanzsumme |
Unternehmen, die beide Schwellenwerte (Mitarbeiterzahl UND Umsatz/Bilanzsumme) eines der beiden Größenklassen erreichen oder überschreiten und einem der genannten Sektoren angehören, fallen grundsätzlich in den Anwendungsbereich von NIS2.
Ausnahmen von der Größenregel: Bestimmte Einrichtungen fallen unabhängig von ihrer Größe unter NIS2, darunter:
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Qualifizierte Vertrauensdiensteanbieter
- TLD-Registries und DNS-Dienstanbieter
- Einrichtungen der öffentlichen Verwaltung
- Einrichtungen, die als KRITIS-Betreiber nach bisherigem Recht eingestuft waren
3. Frage: Wesentliche oder wichtige Einrichtung – was ist der Unterschied?
Die Unterscheidung hat unmittelbare Auswirkungen auf die Intensität der Aufsicht und die Höhe möglicher Bußgelder:
| Kriterium | Wesentliche Einrichtung | Wichtige Einrichtung |
|---|---|---|
| Sektorzugehörigkeit | Anlage 1 (§ 3 Abs. 1 NIS2UmsuCG) | Anlage 2 (§ 3 Abs. 2 NIS2UmsuCG) |
| Unternehmensgröße | Groß (≥ 250 MA, ≥ 50 Mio. € Umsatz) | Mittel (≥ 50 MA, ≥ 10 Mio. € Umsatz) |
| Aufsicht durch BSI | Proaktiv (ex ante) | Reaktiv (ex post, anlassbezogen) |
| Max. Bußgeld (§ 65 BSIG) | 10 Mio. € oder 2 % des weltweiten Jahresumsatzes | 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes |
| Registrierungspflicht | Ja, aktiv beim BSI | Ja, aktiv beim BSI |
Interaktiver Selbsttest: Ist Ihr Unternehmen NIS2-pflichtig?
Beantworten Sie die folgenden Fragen der Reihe nach. Wenn Sie eine Frage mit Ja beantworten, gehen Sie zur nächsten Frage. Sobald Sie eine Frage mit Nein beantworten, ist Ihr Unternehmen voraussichtlich nicht direkt NIS2-pflichtig (eine rechtliche Einzelfallprüfung bleibt dennoch empfohlen).
Schritt 1: Sektorzugehörigkeit
Ist Ihr Unternehmen in einem der Sektoren aus Anlage 1 oder Anlage 2 des NIS2UmsuCG tätig – entweder als primärer Betreiber oder als wesentlicher Dienstleister für diesen Sektor?
- ✅ Ja → Weiter zu Schritt 2
- ❌ Nein → Voraussichtlich nicht direkt betroffen. Prüfen Sie jedoch Lieferkettenverpflichtungen.
Schritt 2: Mitarbeiterzahl
Beschäftigt Ihr Unternehmen 50 oder mehr Mitarbeiter (Vollzeitäquivalente, inklusive verbundene Unternehmen gemäß EU-KMU-Definition)?
- ✅ Ja → Weiter zu Schritt 3
- ❌ Nein → Voraussichtlich nicht betroffen (Ausnahme: Sonderregelungen für kritische Infrastruktur beachten)
Schritt 3: Umsatz oder Bilanzsumme
Überschreitet Ihr Unternehmen einen Jahresumsatz von 10 Mio. € oder eine Bilanzsumme von 10 Mio. €?
- ✅ Ja → Weiter zu Schritt 4
- ❌ Nein → Voraussichtlich nicht betroffen
Schritt 4: Einrichtungskategorie bestimmen
Handelt es sich um ein großes Unternehmen (≥ 250 MA UND ≥ 50 Mio. € Umsatz) in Anlage 1?
- ✅ Ja → Sie sind wahrscheinlich eine wesentliche Einrichtung.
- ❌ Nein → Sie sind wahrscheinlich eine wichtige Einrichtung.
Hinweis: Dieser Selbsttest ersetzt keine rechtliche Beratung. Für eine verbindliche Einschätzung empfehlen wir die Nutzung des offiziellen BSI-Betroffenheitsprüfers unter bsi.bund.de sowie die Konsultation eines auf IT-Recht spezialisierten Rechtsanwalts.
Konsequenzen bei Nichterfüllung: Bußgelder nach § 65 BSIG
Viele Unternehmen unterschätzen die finanziellen Risiken bei Verstößen gegen NIS2-Pflichten. § 65 BSIG sieht empfindliche Sanktionen vor:
Bußgeldrahmen für wesentliche Einrichtungen
- Bis zu 10.000.000 € oder
- 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist
Bußgeldrahmen für wichtige Einrichtungen
- Bis zu 7.000.000 € oder
- 1,4 % des gesamten weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
Darüber hinaus sieht das BSIG in § 38 eine persönliche Haftung der Geschäftsleitung vor. Geschäftsführer und Vorstände können bei Pflichtverletzungen im Bereich der Cybersicherheits-Governance persönlich in Anspruch genommen werden – ein Aspekt, der in der Praxis häufig unterschätzt wird.
Zusätzlich drohen bei schwerwiegenden Verstößen:
- Öffentliche Bekanntmachung des Verstoßes (sog. "Naming and Shaming")
- Temporäre Untersagung von Führungsfunktionen
- Einstweilige Maßnahmen durch das BSI
Konkrete Handlungsempfehlungen für betroffene Unternehmen
Wenn Sie nach dem Selbsttest zu dem Ergebnis kommen, dass Ihr Unternehmen in den Anwendungsbereich der NIS2 fällt, empfehlen wir folgende Schritte:
-
Registrierung beim BSI durchführen: Wesentliche und wichtige Einrichtungen sind zur Registrierung beim BSI verpflichtet. Nutzen Sie das BSI-Portal und halten Sie die gesetzlichen Meldefristen ein.
-
Bestandsaufnahme der IT-Sicherheitsmaßnahmen: Dokumentieren Sie den aktuellen Stand Ihrer technischen und organisatorischen Sicherheitsmaßnahmen (TOMs) und gleichen Sie diese mit den Anforderungen aus § 30 BSIG ab.
-
Risikomanagement-Prozess etablieren: Implementieren Sie einen systematischen Prozess zur Identifikation, Bewertung und Behandlung von Cyberrisiken – idealerweise auf Basis von ISO 27001 oder dem BSI IT-Grundschutz.
-
Incident-Response-Prozesse definieren: Legen Sie klare Meldeprozesse für Sicherheitsvorfälle fest. NIS2 verlangt eine Frühwarnung innerhalb von 24 Stunden nach Erkennen eines erheblichen Vorfalls, gefolgt von einem detaillierten Bericht innerhalb von 72 Stunden (§ 32 BSIG).
-
Lieferkettensicherheit prüfen: Analysieren Sie die Cybersicherheitsrisiken in Ihrer Lieferkette und stellen Sie vertragliche Anforderungen an kritische Zulieferer und Dienstleister.
-
Geschäftsleitung sensibilisieren und einbinden: Da § 38 BSIG die persönliche Verantwortung der Geschäftsleitung festschreibt, müssen Geschäftsführer und Vorstände aktiv in das Cybersicherheitsmanagement eingebunden sein – und entsprechend geschult werden.
-
Dokumentation aufbauen: Erstellen Sie alle erforderlichen Richtlinien, Verfahrensanweisungen und Nachweisdokumente. Dazu gehören unter anderem eine Informationssicherheitsrichtlinie, ein Notfallplan und eine Risikoanalyse.
-
Rechtliche Prüfung veranlassen: Beauftragen Sie einen auf IT-Recht spezialisierten Rechtsanwalt mit der Überprüfung Ihrer NIS2-Compliance – insbesondere im Hinblick auf branchenspezifische Sonderregelungen.
Fazit: NIS2-Betroffenheitsprüfung als erster Schritt zur Compliance
Die NIS2-Richtlinie stellt für viele Unternehmen in Deutschland eine erhebliche Herausforderung dar – aber auch eine Chance, die eigene Cybersicherheitsreife nachhaltig zu steigern. Der erste und wichtigste Schritt ist die klare Klärung der eigenen Betroffenheit auf Basis von Sektorzugehörigkeit und Unternehmensgröße gemäß § 3 NIS2UmsuCG.
Die wichtigsten nächsten Schritte auf einen Blick:
- ✅ Betroffenheitsprüfung anhand der Anlagen 1 und 2 durchführen
- ✅ Einrichtungskategorie (wesentlich vs. wichtig) bestimmen
- ✅ Beim BSI registrieren
- ✅ Gap-Analyse der bestehenden Sicherheitsmaßnahmen durchführen
- ✅ Maßnahmenplan zur NIS2-Compliance erstellen und umsetzen
Warten Sie nicht auf eine Anfrage des BSI oder – schlimmer noch – auf einen Sicherheitsvorfall. Die Bußgeldrisiken nach § 65 BSIG und die persönliche Haftung der Geschäftsleitung nach § 38 BSIG sind real und können existenzbedrohend sein.
Nächster Schritt: NIS2-Compliance strukturiert angehen
Die Umsetzung der NIS2-Anforderungen erfordert eine Vielzahl von Dokumenten, Prozessen und Nachweisen. Spezialisierte ISMS- und NIS2-Compliance-Softwarelösungen können Ihnen dabei helfen, die Betroffenheitsprüfung zu strukturieren, alle erforderlichen Richtlinien und Verfahrensanweisungen zu erstellen und Ihre Compliance lückenlos zu dokumentieren. Viele Lösungen bieten vorkonfigurierte Vorlagen für NIS2-konforme Sicherheitsrichtlinien, automatisierte Risikoanalysen und integrierte Meldeworkflows für Sicherheitsvorfälle – und sparen damit erheblichen manuellen Aufwand. Eine frühzeitige Investition in die richtigen Werkzeuge zahlt sich angesichts der drohenden Bußgelder und der wachsenden Bedrohungslage schnell aus.
Quellen: BSI-Gesetz (BSIG) in der Fassung des NIS2UmsuCG; NIS2-Richtlinie EU 2022/2555; ENISA Threat Landscape 2024; BSI-Lagebericht zur IT-Sicherheit in Deutschland 2024